Zum Inhalt springen

Zunehmende Gefahr durch IT-Angriffe und fehlende Awareness

    Zunehmende Gefahr durch IT Angriffe - Cyberattacken. IT-Angriffe auf Unternehmen nehmen deutlich zu.
    IT-Angriffe auf Unternehmen nehmen deutlich zu

    Seit Jahren gibt es bei den Nachrichten über IT-Attacken auf Unternehmen nur einen Trend: Deutlich steigend! Eine zunehmende Gefahr durch IT-Angriffe und fehlende Awareness ist vorprogrammiert.

    Die aktuelle politische Lage, sowie Veränderungen in der Arbeitswelt (u. a. mobiles Arbeiten), werden diese Situation weiter ansteigen lassen. Auch die Cyberattacken auf die sogenannte kritische Infrastruktur nehmen immer weiter zu.

    Hierzu gehören die Organisationen oder Einrichtungen, welche für das staatliche Gemeinwesen eine hohe Bedeutung haben und bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen oder andere dramatische Folgen eintreten würden. Dies ist unter anderem die Versorgung mit Wasser, Energie oder Lebensmitteln. Aber auch aus anderen Branchen und Privathaushalten ist von einer stetigen Zunahme von IT-Angriffen zu hören.

    Der deutschen Wirtschaft entsteht ein jährlicher Schaden von rund 203 Milliarden Euro durch Datendiebstahl, Spionage oder Sabotage.

    Dies hat eine aktuelle Studie im Auftrag des Digitalverbandes bitkom ergeben:

    „Praktisch jedes Unternehmen in Deutschland wird Opfer: 84 Prozent der Unternehmen waren im vergangenen Jahr betroffen, weitere 9 Prozent gehen davon aus. Dabei sind die Angriffe aus Russland und China zuletzt sprunghaft angestiegen. Zugleich gehen die Angreifer immer professioneller vor. Erstmals liegen das organisierte Verbrechen und Banden an der Spitze der Rangliste der Täterkreise. Bei 51 Prozent der betroffenen Unternehmen kamen Attacken aus diesem Umfeld. Vor einem Jahr lag ihr Anteil gerade einmal bei 29 Prozent, vor drei Jahren bei 21 Prozent.“

    IT-Angriffe | die Angriffsmethoden –
    Das sind die Klassiker

    Auch bei den Angriffsmethoden gibt es die üblichen Klassiker, welche immer weiter verfeinert und professioneller durchgeführt werden um Angriffe auf computergestützte Informationssysteme, Infrastrukturen, Rechnernetze oder PC-Geräte durchzuführen. Mit verschiedenen Methoden versuchen die Angreifer dabei, Daten abzugreifen, zu manipulieren oder zu löschen bzw. Informationssysteme zu zerstören. Diese sind unter anderem,

    • Denial-of-Service (DoS) und Distributed-Denial-of-Service (DDoS)
    • Man-in-the-Middle
    • Phishing
    • Cross-Site-Scripting
    • Malware
    • Drive-by-Downloads

    All die verschiedenen Formen von Cyberattacken zu behandeln, würde in diesem Beitrag den Rahmen sprengen, so dass wir uns auf Phishing und das Einbringen von Schadsoftware (Malware) beschränken.

    Phishing – Ein Phishing-Angriff besteht darin, E-Mails, SMS oder Messenger-Nachrichten aus scheinbar vertrauenswürdigen Quellen mit dem Ziel zu versenden, persönliche Informationen abzugreifen oder den Empfänger zu einer bestimmten Handlung zu verleiten. Die Angriffe können auch über E-Mail-Anhänge erfolgen, über die Schadsoftware auf Rechner gelangt. Eine weitere Angriffsmöglichkeit sind Links zu einer Website, auf der Opfer verleitet werden, Schadsoftware herunterzuladen oder persönliche Informationen preiszugeben. Womit wir automatisch beim Thema Malware landen.

    Malware – Schadsoftware ist unerwünschte Software, die ohne Zustimmung des Nutzers auf dem System installiert wird. Sie kann sich an legitimen Code anhängen und so ausbreiten, in gewöhnlichen Anwendungen lauern oder sich selbst über das Internet replizieren. Die häufigsten Arten von Schadsoftware sind,

    • Makroviren
    • System- oder Boot-Record-Infektoren
    • Trojaner
    • Ransomware
    Ransomware

    Besonders im Blick behalten sollte man die Angriffsmethode mit Ransomware, da diese meist einen ziemlich hohen Schaden verursacht. Ransomware ist eine Form von Schadsoftware, die den Zugriff auf die Daten des Opfers verwehrt. Der Angreifer droht mit Veröffentlichung oder Löschung der Daten, sofern nicht ein Lösegeld bezahlt wird.

    Während einfachere Varianten von Ransomware das System so sperren, dass diese Sperre von einer technisch versierten Person wieder aufgehoben werden kann, verwenden komplexere Programme ein Verfahren namens kryptovirale Erpressung. Dabei werden die Dateien des Opfers so verschlüsselt, dass es nahezu unmöglich ist, sie ohne Entschlüsselungsschlüssel wiederherzustellen.

    Man könnte alleine über die Angriffsmethoden und die Möglichkeiten von professionellen Angreifern noch bücherweise schreiben, wobei fast alle erfolgreichen Angriffe auf eine Schwachstelle zurückzuführen sind. Die Schwachstelle Mensch!

    Schwachstelle Mensch

    Die beste technische Lösung hilft nichts, wenn Angreifer die Unwissenheit oder Unsicherheit der Angestellten in Unternehmen ausnutzen können – sei es mit bösartigen E-Mail-Attachments oder über manipulierte Webseiten. Wenn nach einem erfolgreichen Angriff auf ein Unternehmen die Forensiker ihre Arbeit beendet haben, ist das Ergebnis oft, dass über einen Rechner eines Angestellten die Schadsoftware den Weg auf die Systeme gefunden haben.

    Aber wie dagegen schützen? Was können Unternehmen tun?

    Gegen professionelle Angreifer mit entsprechendem Wissen und Ausrüstung wird es keinen vollumfänglichen Schutz geben. Durch die Umsetzung von Maßnahmen zur IT-Sicherheit können aber viele denkbare Attacken deutlich erschwert werden. Einige der Maßnahmen bringen geringfügige Komfort-Einbußen mit sich. Dies muss jeder selbst gegen den deutlichen Sicherheitsgewinn abwägen, der damit erzielt werden kann.

    Darüber hinaus gibt es weitere Maßnahmen, mit denen man sich vor Bedrohungen schützen kann:

    Systeme und Endpunktschutz sollten stets auf dem neuesten Stand gehalten werden, die Firewall sollte mit einer Whitelist konfiguriert werden, die ausschließlich die benötigten Ports und Hosts beinhaltet, es müssen sichere Kennwörter verwendet werden, das Berechtigungsmanagement muss sicher aufgebaut werden und IT-Systeme sollten kontinuierlich auf verdächtige Aktivitäten überwacht werden. Außerdem sollten die unternehmenseigenen E-Mail-Domains und Subdomains mittels SPF, DKIM und DMARC dagegen geschützt werden, als gefälschte Absender von Phishing-Mails missbraucht zu werden.

    IT Awareness für Mitarbeiter

    Die wichtigste Maßnahme bleibt aber nach wie vor, die Mitarbeitenden im Unternehmen so gut wie möglich gegen Cyberangriffe zu wappnen. Eins muss aber jedem Unternehmen klar sein: Die Awareness im Unternehmen herzustellen funktioniert nicht von heute auf morgen, sondern benötigt ein Awareness-Konzept, bei welchem die Awareness stetig gesteigert wird.

    Hier empfiehlt es sich, über mehrere einzelne Maßnahmen, welche wie ein Zahnrad ineinandergreifen, das Sicherheitsbewusstsein immer weiter zu steigern. Diese sind:

    • Awareness-Schulungen
      Ein wichtiger Bestandteil der IT-Sicherheit in Unternehmen ist die Durchführung von Awareness-Schulungen, in denen Mitarbeitern die Offenheit der im Internet verwendeten Technologie sowie die daraus resultierenden Gefahren gezeigt werden. Die Mitarbeiter müssen erfahren, dass die Sicherheitsmaßnahmen nicht dazu da sind, sie „zu ärgern“. Vielen Mitarbeitern ist gar nicht bewusst, dass ausgespähte und von Dritten missbräuchlich genutzte Firmendaten einen hohen Schaden anrichten können.
    • Kontinuität schaffen
      Kleine Wissenspakete, die nacheinander im Lauf der Zeit themenspezifisch zurechtgeschnitten werden, bleiben besser im Gedächtnis der Mitarbeiter haften als eine jährliche, langatmige Frontalschulung.
    • Simulationen
      Praxisnahe Awareness-Maßnahmen verstärken das Geschulte. Mitarbeitern werden oft die Augen geöffnet, wenn sie zum Beispiel auf eine simulierte Phishing-Mail hereinfallen. Bei der nächsten Phishing-Mail vertrauen sie nicht mehr blind auf die Echtheit der E-Mail.
    • Einbindung des Managements
      Unbedingte Voraussetzung für die erfolgreiche Umsetzung eines Sicherheitskonzeptes ist die Einbindung des Top-Managements in die IT-Sicherheit. Das Management trägt Verantwortung und leistet einen wichtigen Beitrag. Zum einen ist ein umfassendes Sicherheitskonzept ohne die Beteiligung der Unternehmensleitung nicht umsetzbar. Zum anderen kann man von den Mitarbeitern nicht verlangen, dass sie die IT-Sicherheit ernst nehmen, wenn es das Management nicht tut
    • Aktuelle News
      IT-Sicherheit ist ein aktiver Abwehr-Prozess, bei dem alle Beteiligten auf dem aktuellen Stand bleiben müssen. Unternehmen sollten die eigenen Mitarbeiter daher regelmäßig über neue Richtlinien, Bedrohungen und Software-Updates informieren. Die Informationen sollten dabei wenige technische Vorkenntnisse beim Mitarbeiter voraussetzen und leicht zu verstehen sein.
    Zum Autor

    Stephan Auge ist Teamleiter für den Bereich Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt. Auch bei den Angriffsmethoden gibt es die üblichen Klassiker, welche immer weiter verfeinert und professioneller durchgeführt werden um Angriffe auf computergestützte Informationssysteme, Infrastrukturen, Rechnernetze oder PC-Geräte durchzuführen. Mit verschiedenen Methoden versuchen die Angreifer dabei, Daten abzugreifen, zu manipulieren oder zu löschen bzw. Informationssysteme zu zerstören.

    Unsere Podcast Empfehlung:
    Der Datenschutz-Talk

    Wie bereite ich mich auf eine Cybersecrurity-Krise vor?

    Moderation: Heiko Gossen
    Gast: Dr. Ralf Stodt