«Cyberkriminalität? Da habe ich keine Angst!» Im Brustton der Überzeugung verkünden viele KMU, dass sie sich nicht als Ziel von Cyberattacken sehen. Doch das täuscht. Auch mittlere und kleine Firmen geraten zunehmend ins Visier von Cyberkriminellen. Diese nutzen einerseits ein ausgereiftes technisches Arsenal für ihre Attacken, schrecken aber auch nicht vor altbewährten Methoden zurück, um an begehrte Daten zu gelangen.
Technische Cyber-Attacken
Die technischen Instrumente der Cyberkriminellen sind hinlänglich bekannt. Oft wird ein Stück Software in das Netzwerk eingespeist und tut dort Dinge, die nicht erwünscht sind: Eine Einfallstür öffnen für die eigentliche Schadsoftware, Daten verschlüsseln, Daten abziehen oder schlicht beobachten und berichten, was alles passiert. Die Fachausdrücke für diese Art Software: Viren, Würmer, Malware, Ransomware, Keylogger und noch einige andere. Allen gemein ist, dass Unternehmen ihre Netzwerke und Zugänge mit technischen Mitteln gegen diese Angreifer schützen sollten. Das Mindeste: Antiviren-Software, 2-Faktor-Authentifizierung und eine leistungsfähige Firewall.
Der menschliche Faktor
Genauso schlimm sind allerdings die Angriffe, die im ersten Moment gar nichts mit der IT-Infrastruktur zu tun haben. Das sogenannte Social Engineering setzt auf die Leichtgläubigkeit, Hilfsbereitschaft und Nachlässigkeit aller Beschäftigten. Da ist die verzweifelte Mitarbeiterin des Chefs, die eine Freigabe für eine Zahlung braucht, oder da ist der harmlose Pizzabote, der spät abends noch rasch eine Pizza direkt ins Büro liefert (und bei dieser Gelegenheit gleich noch einen präparierten USB-Stick auf dem Pult hinterlässt). Hinter all diesen – realen – Beispielen stecken Cyberkriminelle, die sich ganz ohne technische Hilfsmittel Zugang zu gut gesicherten IT-Systemen verschaffen. Dort installieren sie dann in aller Regel die oben erwähnte Schadsoftware.
Lohnende menschliche Ziele werden regelrecht ausgespäht: Isst der Chef immer im selben Café sein Gipfeli (und postet das regelmässig auf Facebook)? Dann kann man sich ja mal an den Nachbartisch setzen und einen Blick auf seinen Notebook-Bildschirm werfen. Informationen zu Urlaubsreisen, Hobbys, sportliche Aktivitäten sind manchmal der erste Schritt für Social Engineering. Ebenfalls beliebt und recht verbreitet ist der Diebstahl mobiler Firmengeräte, beispielsweise Smartphones und Notebooks. Ist das Gerät erst mal in den falschen Händen, ist der Schaden meistens nicht mehr zu verhindern.
Prävention und Reaktion
Sich präventiv gegen Datendiebstahl zu wappnen, muss für Firmen heute eine Selbstverständlichkeit sein. Dies tun sie einerseits mit einem ganzen Strauss technischer Mittel. Die Ausbildung der Mitarbeitenden ist ein wichtiger Pfeiler im Abwehrdispositiv: die korrekte Verwendung von Passwörtern – möglichst mit einem Passwortmanager –, Informationen zum Thema Phishing und Social Engineering und ganz generell der sichere Umgang mit den IT-Mitteln.
Kommt es zum schlimmsten Fall, gilt es, seriös vorbereitet zu sein. Wer noch überlegen muss, was bei einer Attacke zu tun ist, hat schon verloren. Es ist von grösster Wichtigkeit, sich schnell einen Überblick über die Art der Attacke und die betroffenen Daten verschaffen. Nur so können sofort die entsprechenden Gegenmassnahmen eingeleitet werden.
Profis ins Boot holen
Die Entwicklung an der Cyberfront ist ungemein dynamisch. Branchenfremde Firmen haben keine Chance, auch nur halbwegs auf dem Laufenden zu sein. Ausserdem sind Security-Fachleute nur schwer zu bekommen und entsprechend teuer. Ein spezialisierter Dienstleister ist die bessere Wahl für ein KMU. Er ist immer auf dem neusten Stand und verfügt über bewährte Prozesse zur Prävention sowie Reaktion.
Herkömmliche Security Awareness Trainings bieten heutzutage keinen ausreichenden Schutz gegen Cyberangriffe mehr. Lernen Sie deshalb, wie Sie Ihr Unternehmen mithilfe von netgroupPREVENTION ausreichend schützen können.
