23
Juli
Autor: UNIVERSUM Fachredaktion
Cyberangriffe treffen heute nicht mehr nur große Konzerne. Auch kleine und mittelständische Unternehmen stehen verstärkt im Visier – ausgerechnet, weil sie vermeintlich uninteressant sind. Die Gründe: fehlende Ressourcen, mangelndes Risikobewusstsein und wachsende Abhängigkeit von IT-Systemen.
UNIVERSUM Fachredaktion:
Warum geraten zunehmend auch kleine und mittelständische Unternehmen ins Visier von Cyberangriffen?
Leonard Frank:
Das hat aktuell vor allem damit zu tun, dass sich die Taktiken der Angreifenden geändert haben. Früher musste man als Angreifender irgendeinen Wert aus dem Unternehmen raustragen, den man dann zu Geld machen konnte. Seien es jetzt Kreditkartendaten, Nutzerdaten, Pläne, Konstruktionszeichnungen, die man an Konkurrenz verkaufen kann. Und da haben dann viele zu Recht gesagt: “Was ist denn bei uns schon zu holen? Bei uns ist ja nichts von Wert.”
Das hat sich aber geändert. Denn immer mehr Unternehmen sind zu einem immer höheren Grad abhängig von IT-Infrastruktur. Und auch einen kleinen Sozialbetrieb oder einen Immobilienmakler kann man erpressen, wenn man alle Systeme lahmlegt, alle Kundendaten abzieht, sodass man nicht mehr arbeiten kann und ein unangenehmes Telefonat mit dem Datenschutz befürchtet. Was ist bei uns schon zu holen? – Ganz einfach Lösegeld! Und damit gilt dieses Argument heutzutage einfach nicht mehr.
Alexander Sperber:
Ein häufiges Problem kleiner und mittelständischer Unternehmen (KMU) sehen wir in ihren begrenzten finanziellen und personellen Ressourcen. Diese erzwungene Sparsamkeit wirkt sich direkt auf die Umsetzung von Sicherheitsmaßnahmen aus. Teilweise wird veraltete Software genutzt, die seit Jahren nicht mehr aktualisiert wurde.
Dadurch werden KMU zu einem leichteren Ziel für Angreifer im Vergleich zu Großunternehmen, die über erhebliche finanzielle Mittel, umfangreiches Personal und dedizierte Sicherheitsteams verfügen. Ransomware-Gruppen haben diese Schwachstelle erkannt und nehmen KMU gezielt ins Visier. Zwar können sie von einem KMU nicht dieselben Lösegeldbeträge erpressen wie von einem Großkonzern, doch das ist ihnen bewusst. Sie passen ihre Forderungen an die finanzielle Leistungsfähigkeit des jeweiligen Unternehmens an, basierend auf den erbeuteten Finanzdaten und Gewinninformationen.
UNIVERSUM Fachredaktion:
Warum ist es gerade jetzt besonders wichtig, sich auf eine mögliche Cyberkrise vorzubereiten?
Leonard Frank:
Aus unserer Sicht sehen wir zunächst mal einen massiven Investitionsrückstau in Deutschland. Es sind ganz viele Dinge im internationalen Vergleich aufzuholen. Da ist gerade sehr viel Bewegung drin, das ist auch sehr gut, aber insgesamt hätten wir uns das deutlich früher gewünscht, also schon vor mindestens fünf Jahren.
Denn die Angreifer professionalisieren sich. Wir haben heute nicht mehr nur einfache Malware oder Ransomware, wir haben auch Double Extortion: Unternehmen werden nicht mehr nur damit erpresst, dass die Daten verschlüsselt wurden und nicht rausgegeben werden, sondern gleichzeitig auch noch damit erpresst, dass Daten an die Öffentlichkeit gegeben werden. Angreifer üben Druck auf Kund*innen aus, drohen damit Firmen bei Behörden anzuzeigen.
Das zeigt sich auch, wenn man mal einen Blick ins Dark Web wirft: die Angreifer koordinieren sich untereinander, d. h. es ist heutzutage häufig so, dass man es nicht mehr nur mit einem Angreifer zu tun hat. Ein Beispiel: Es gibt Gruppen die kümmern sich nur um die erste Infektion des Unternehmens. Die verkaufen diesen Zugang dann an die nächste Gruppe, die eine Ransomware auf die Systeme bringt. Die Ransomware haben sie aber nicht selbst geschrieben, sondern die kommt von einer dritten Gruppe, die die Malware und Infrastruktur dafür bereitstellt und dafür einen Teil der Beute bekommt. Wir haben es heutzutage nicht mehr nur mit einzelnen Hackergruppen zu tun – das ist eine richtige Industrie. Und das liegt daran, wie viel Geld sich damit verdienen lässt.
Alexander Sperber:
Mit der fortschreitenden Digitalisierung werden die von Unternehmen genutzten IT-Infrastrukturen immer komplexer. Diese steigende Komplexität birgt ein erhöhtes Potenzial für Schwachstellen.
Dabei ist jedoch zu betonen, dass nicht jede neue Technologie oder jede komplexere Konzeption zwangsläufig zu mehr Schwachstellen führt. Vielmehr erhöht sich lediglich die Wahrscheinlichkeit von Fehlern bei der Implementierung und Konfiguration. Da Fehler menschlich sind, steigt daher mit der Komplexität unweigerlich das Risiko, dass Angriffsvektoren entstehen.
Gleichzeitig wird die Verteidigung von IT-Systemen dadurch immer komplexer. Während es früher ausreichend war, einige wenige Sicherheitsexperten zu beschäftigen, ist das heute nur noch bedingt der Fall. Die Angreiferseite hat sich zwischenzeitlich massiv professionalisiert. Es gibt Gruppierungen, deren alleiniger Zweck darin besteht, Unternehmen anzugreifen – nach dem Prinzip eines organisierten Geschäftsmodells, um diese zu erpressen und an ihre Daten zu gelangen. Gegen diese gut organisierten und spezialisierten Angreifer greifen die bisherigen, oft einfacheren Verteidigungsmethoden nicht mehr in vollem Umfang.
Klassische E-Mail-basierte Angriffe sind beispielsweise nach wie vor präsent, stellen aber längst nicht mehr den einzigen Angriffsvektor dar. Wir beobachten eine deutliche Zunahme wesentlich professionellerer und ausgefeilterer Angriffsmethoden.
Dem gegenüber stehen IT-Abteilungen, deren Aufgabenportfolio sich kontinuierlich erweitert hat. Neben der fundamentalen Aufgabe, Netzwerke, Systeme, Benutzer und Geschäftsprozesse zu verwalten und deren sicheren Betrieb zu gewährleisten, müssen sie eine Vielzahl weiterer IT-Aufgaben bewältigen. Dies erfordert eine konstante und oft schwierige Priorisierung der Ressourcen, um sowohl den operativen Anforderungen als auch den immer komplexer werdenden Sicherheitsanforderungen gerecht zu werden.
Wir stellen außerdem eine zunehmende Abhängigkeit von externen Dienstleistern und Softwareanbietern fest. Dies birgt neue Risiken: Wenn beispielsweise ein Anbieter gehackt wird oder ein Softwarehersteller einen fehlerhaften Patch ausrollt, kann sich das direkt auf die eigene Betriebsfähigkeit auswirken.
In diesem Kontext gewinnt Business Continuity Management (BCM) massiv an Bedeutung. Es ist unerlässlich, Prozesse zu etablieren, die gewährleisten, dass die Geschäftsprozesse auch bei Störungen ununterbrochen laufen und die Systeme jederzeit einwandfrei funktionieren. Diese externen Abhängigkeiten, gepaart mit der Notwendigkeit eines robusten BCM, tragen zusätzlich zur steigenden Komplexität der Cybersicherheit bei.
UNIVERSUM Fachredaktion:
Wie soll ich da als Unternehmerin oder als Unternehmer anfangen?
Alexander Sperber:
Das lässt sich so pauschal nicht sagen. Die Bewertung der Bedrohungslage und die daraus abzuleitenden Maßnahmen sind stets individuell für das jeweilige Unternehmen.
Leonard Frank:
Unser Rat an der Stelle ist vor allen Dingen: immer über Techniken reden, nicht über Produkte. Es gibt eine ganze Menge Hersteller, die einem das Blaue vom Himmel versprechen. Es ist aber immer wichtig, sich zu überlegen: „Was brauche ich denn genau?“. Und das kann sowas sein wie ein EDR oder eine Sandbox-Analyse. Aber nur wenn ich diese Techniken identifiziere, kann ich dann in einem zweiten Schritt schauen, welche Produkte mir diese Techniken denn liefern.
Es gibt immer wieder Hype-Themen in der Industrie und natürlich auch in der IT-Sicherheit. Ich kann da sehr empfehlen, beispielsweise den Gartner Hype-Cycle anzuschauen. Das ist eine Kurve, die besagt, dass neue Technologien sich nach einem bestimmten Muster verhalten. Am Anfang sind sie sehr unbekannt, dann gibt es einen riesigen Hype, aber im Endeffekt bringt mir das Produkt zu diesem Zeitpunkt noch gar nicht so viel. Es kommt die große Enttäuschung, wenn man feststellt, dass die Technologie gar nicht so groß oder toll ist, wie es versprochen wurde. Erst nach einer Weile kann es langsam dazu kommen, dass sich die Features entwickeln, dass eben entsprechende Funktionalitäten entstehen, die das Produkt produktiv nutzbar machen oder den entscheidenden Mehrwert bieten. Wenn man sich also besonders mit brandneuen Themen auseinandersetzt, lohnt einfach ein Blick auf den Hype-Cycle, um zu unterscheiden, was gerade Marketingversprechen sind und wobei es sich wirklich um ausgereifte Technologien handelt, auf die man setzen will.
Zusammenfassend:
Gerade Unternehmen mit wenig Ressourcen brauchen klare Strategien. Wer glaubt, zu klein für einen Angriff zu sein, ist längst im Visier der Täter*innen.
Das gesamte Interview finden Sie in unserer Lernwelt „Krisen managen“.
Wie gut funktioniert das Krisenmanagement in Ihrem Unternehmen?
Machen Sie den kostenfreien Krisencheck und erhalten Sie direkt eine erste Einschätzung!
Zum Krisencheck
Sie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen