Wer an der falschen Stelle spart, zahlt am Ende mehr
Die gute Nachricht: Die beste Verteidigung gegen Cyber-Kriminelle ist auch die kostengünstigste. Die schlechte Nachricht: Es ist auch die am wenigsten erfolgreiche.
Der europäische Monat für Cybersicherheit liegt noch nicht lange zurück. Der “European Cybersecurity Month” (ECSM), so die korrekte Bezeichnung, ist eine seit 2012 stattfindende jährliche Kampagne der EU, die das Bewusstsein für Cybersicherheit stärken soll. Koordiniert wird das Ganze von der EU-Agentur für Cybersicherheit (ENISA) und der EU-Kommission. In Deutschland koordiniert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aktionen zu den großen Themen IT-Sicherheit, Schulungen und die generelle Sensibilisierung von Firmen und Nutzern.
Leider haben sowohl Firmen als auch einzelne deutlichen Nachholbedarf. Immer wieder gelingt es Cyberkriminellen trotz teuer eingekaufter Sicherheitslösungen, in Firmennetze einzudringen. Angeführt werden die Statistiken von Phishing, geknackten und gestohlenen Passwörtern, physischen Angriffen und Social Engineering. Aber fast alle Arten von Angriffen lassen sich, wenn nicht verhindern so doch drastisch reduzieren. Das gelingt vor allem dann, wenn Mitarbeiter die Schulungen der IT-Abteilung zu digitalen Verhaltensweisen wirklich verstanden haben und in ihrem Arbeitsumfeld konkret umsetzen können. Gleichzeitig ist es eindeutig kostengünstiger, jemandem aus der Buchhaltung beizubringen, keine verdächtigen PDF-Dateien zu öffnen, die an eine E-Mail “vom Direktor” angehängt wurden. In der Realität ist es leider nicht ganz so einfach.
Sieben von zehn Unternehmen unter Beschuss
Jeder Beschäftigte weiß mittlerweile, warum IT-Sicherheit für den Fortbestand und das Überleben des Unternehmens entscheidend ist. Die überwiegende Mehrheit kennt die notwendigen Aktionen und Sicherheitsmaßnahmen, um ein angemessenes Sicherheitsniveau aufrechtzuerhalten. Zwischen guter Absicht und praktischer Umsetzung klafft allerdings eine deutliche Lücke.
Die meisten Mitarbeitenden gehen entweder (fälschlicherweise) davon aus, dass sie durch Softwarelösungen des Unternehmens ausreichend geschützt sind, oder sie sind im beruflichen Alltag so eingespannt, dass
Sicherheitsrichtlinien und Best Practices zu kurz kommen. Wider besseren Wissens geht auch manch einer immer noch davon aus, nicht betroffen zu sein. Fehleinschätzungen wie diese führen regelmäßig dazu, dass Nutzer selbst mit den besten Absichten auf Phishing-Angriffe und CEO-Fraud hereinfallen, bösartige Dateien öffnen oder wie zufällig herumliegende USB-Sticks an ihren Rechner einstecken und automatisch eine Malware einspielen – was beispielsweise eine Ransomware-Attacke in Gang setzt.
Eine Umfrage des dänischen Unternehmerverbands hat beispielsweise ergeben, dass sieben von zehn Unternehmen in den letzten zwei Jahren Ziel von Angriffsversuchen durch Cyberkriminelle waren. Nach einer Studie des Bitkom vom August diesen Jahres entstand der deutschen Wirtschaft durch Diebstahl von Daten, Spionage und Sabotage ein Schaden von 203 Milliarden Euro. Dabei wird nach Angaben des Bitkom praktisch jedes Unternehmen zum Opfer: 84 Prozent aller Firmen waren im vergangenen Jahr betroffen, weitere 9 Prozent gehen davon aus. Zugleich haben sich die Angriffe professionalisiert. Sämtliche Statistiken zeigen zudem einen starken Anstieg nach der Corona-Pandemie. Jeder, der in der IT-Sicherheit tätig ist, weiß, dass es nur eine Frage der Zeit ist, bis es zu Angriffen kommt.
Weniger menschliche Fehler – weniger Angriffe
Welche Maßnahmen tragen also dazu bei, einen hohen Standard bei der IT-Sicherheitshygiene zu gewährleisten? Neun von zehn erfolgreichen Angriffen gehen auf menschliches Versagen zurück. Aber die Erfahrung lehrt, dass sich die Zahl der Fehler durch Aus- und Weiterbildung drastisch senken lässt.
Ein guter Tipp ist, die Schulungen so relevant, praxisnah und verständlich wie möglich zu gestalten. Denken Sie etwa an alltägliche Beispiele von Phishing-E-Mails oder CEO-Betrug, die in Ihrem Unternehmen bereits vorkommen und somit nah an der Realität sind. Dann erkennen Mitarbeiter sehr klar, dass ihre Firma aktuell bereits angegriffen wird. Machen Sie deutlich, welche Konsequenzen ein Angriff haben kann.
Dabei sollten Sie nicht zu viel auf einmal wollen. Ein Sicherheitstraining in kleinen Einheiten mit unterschiedlichen Themen über einen längeren Zeitraum ist deutlich wirkungsvoller als Marathonsitzungen. So dienen die einzelnen Einheiten auch zur Auffrischung von früheren Schulungen. Daneben sollten Sicherheitsmaßnahmen einfach umzusetzen und nachvollziehbar sein. Das heißt, Sie sollten Art und Umfang von Schulungen an den verschiedenen internen Mitarbeitergruppen ausrichten. Trainings für die Buchhaltung sind inhaltlich anders aufgebaut als solche für den Vertrieb.
Aber am wichtigsten ist: All das muss immer im Dialog mit den Mitarbeitern geschehen. Bezieht man die Nutzer nicht ein, bleibt es oft bei der guten Absicht – und in der Realität halten sich schlechte Gewohnheiten hartnäckig. Der Markt hält Spezialisten bereit, die sich mit der geeigneten Herangehensweise auskennen, und es ist nicht schlechteste Idee bei Bedarf auf externe Unterstützung zu setzen.
Online bei versicherungen.at: Daten oder Leben? – Cyberkriminalität in Österreich – PIT.at GmbH
Mindestens eine Million Österreicher werden jährlich zu Opfern von Cyberkriminalität. Am schmerzhaftesten für die meisten von ihnen sind Identitätsdiebstahl und Beeinträchtigung der psychischen Integrität. Deshalb ist es wichtig, Geräte und Daten zu schützen.
Laut Interpol entstehen allein in Europa durch Cyberkriminalität inzwischen Wirtschaftseinbußen von rund 750 Milliarden Euro pro Jahr. Damit hat sich der Schaden in den vergangenen drei Jahren verdoppelt. Und in Österreich?
Experten gehen davon aus, dass mindestens eine Million Menschen hierzulande durch Cyberkriminalität in den letzten Jahren geschädigt wurden. Die Dunkelziffer dürfte deutlich höher sein – Scham spielt hier mit rein.
Martin Puaschitz, IT-Experte von der Wirtschaftskammer Wien, warnt: „Klassische Viren und Phishingmails sind gefährlich, aber nur die Spitze des Eisbergs.“ Der Trend hochkomplexer Angriffe wird sich weiter verstärken und durch die Digitalisierung vergrößert sich die Cyberangriffsfläche.
Die ominöse Dunkelziffer
Dazu auch Wolfram Littich, Vorstandsvorsitzender der Allianz Gruppe in Österreich und Vizepräsident des österreichischen Versicherungsverbandes VVO: „Jährlich werden in Österreich Schäden von mehreren Millionen Euro verursacht.“
Wie eine gemeinsame Erhebung des österreichischen Versicherungsverbands VVO, des KFV (Kuratorium für Verkehrssicherheit) und von KPMG zeigt, ist die angenommene Dunkelziffer an Cybercrime-Delikten tatsächlich bedeutend höher als die angezeigten Delikte.
So geben 24 Prozent der Befragten an, in den letzten Jahren Opfer eines Cybercrime-Deliktes worden zu sein: Auf die webaktive Bevölkerung hochgerechnet (rund 4,2 Millionen Menschen in Österreich) bedeutet das, dass mindestens eine Million Menschen in Österreich durch zumindest ein einmaliges Vorkommnis finanziell oder psychisch in den letzten Jahren geschädigt wurden.
72 Prozent der von Schadensfällen Betroffenen geben in der Untersuchung eine „starke bis mittlere seelisch-emotionale Beeinträchtigung“ durch einen Vorfall an.
Gestohlene Kreditkartendaten, gefälschte Accounts in sozialen Netzwerken oder Missbrauch der E-Mail-Adresse für den Versand von Spam – den stärksten psychischen Beeinträchtigungsgrad zeigen Opfer von psychischer Integrität (Mobbing) und Identitätsdiebstahl.
Wanna Cry?
Harald Reisinger, Geschäftsführer von RadarServices, erinnert in diesem Zusammenhang an den globalen Virus-GAU im Frühling 2017: „WannaCry breitete sich in ungeahntem Ausmaß weltweit aus. Es kursierten Zahlen von 230.000 Infektionen in 150 Ländern. Die Dunkelziffer der Geräte, die von Ransomware betroffen war, ist jedoch weitaus höher, denn Unternehmen und Behörden möchten die Reputationsschäden, die eine Veröffentlichung eines erlittenen Cyberangriffs mit sich bringen würden, vermeiden.“
WannaCry ist ein Schadprogramm für Windows (tatsächlich waren fast nur Windows-7-PCs betroffen). Die Ransomware verschlüsselt beim Befall eines PCs Benutzerdateien und versucht, weitere PCs im lokalen Netz und im Internet zu infizieren. Die initiale Ausbreitung erfolgt durch schadhafte E-Mails.
Nutzer werden von der Schadsoftware aufgefordert, Lösegeld mittels Bitcoin zu zahlen, wovon Juristen freilich abraten: Erpresser sind eben selten vertrauenswürdig.
Daten oder Leben?
Unter dem Motto „Schützen Sie Ihre Daten – so lange Sie noch welche haben“ touren die WKO und das BMI alljährlich mit der Roadshow „IT-Sicherheit und Datenschutz“ durch Österreich – mit im Gepäck haben sie dabei www.it-safe.at, das kostenlose KMU-Portal der WKO für IT-Sicherheit.
Die WKO-Expertin Verena Becker weist bei der Tour darauf hin, dass bei vielen Angriffsszenarien das Internet vollautomatisch von einer Software nach Sicherheitslücken durchforstet wird. Ist eine Schwachstelle gefunden, wird diese ebenso automatisch ausgenutzt. Oft befinden sich derartige Lücken in Geräten, denen sicherheitstechnisch nicht viel Beachtung geschenkt wird, etwa in Druckern, so Becker.
Laut Leopold Löschl, Leiter des Cybercrime Competence Centers im Bundeskriminalamt, ist es wichtig, „die Mitarbeiter regelmäßig über aktuelle Sicherheitsbedrohungen und die verschiedenen Risiken, wie Phishing-Mails, Ransomware oder klassische Malware zu informieren.“
Quelle: https://www.versicherungen.at/news/daten-oder-leben-cyberkriminalitaet-in-oesterreich/
Australien: Hacker posten Daten von Krankenversicherten
Die Hacker stellten „Proben“ der zuvor erbeuteten Daten ins Darknet. Darunter waren Namen, Passnummern und medizinische Befunde der 9,7 Millionen bei Medibank Versicherten. Medibank hatte sich geweigert, Lösegeld zu zahlen.
Hacker in Australien haben am Mittwoch damit begonnen, sensible Daten von Kunden einer Krankenversicherung zu veröffentlichen. Wie die Versicherungsgesellschaft Medibank mitteilte, stellten die Hacker „Proben“ von Daten von rund 9,7 Millionen Versicherten ins Darknet. Zuvor hätten sie versucht, das Unternehmen mit den gestohlenen Daten zu erpressen, doch habe sich Medibank geweigert, Geld zu zahlen.
Betroffen seien Angaben zu Namen, Geburtsdaten, Adressen, Passnummern sowie zu medizinischen Befunden der Kunden. Medibank ging davon aus, dass demnächst noch weitere Daten veröffentlicht werden würden. Das Unternehmen begründete seine Weigerung einer Geldzahlung an die Erpresser mit dem Hinweis, dass dies weitere Kriminelle ermutigen könne und überdies nicht garantiert sei, dass die Daten dann sicher seien.
Medibank-Chef David Koczkar verwies auf die Einschätzung von Experten für Cyberkriminalität, wonach auch bei Erfüllung der Geldforderungen der Erpresser nur geringe Aussichten bestehen, die gestohlenen Daten zurückzubekommen und deren Nichtveröffentlichung zu garantieren. Die Ermittler schlossen nicht aus, dass sich die Hacker außerhalb Australiens befinden. Seit Bekanntwerden der Sicherheitslücke hat der Marktwert von Medibank mehrere hundert Millionen Dollar eingebüßt.
