Durch den hohen Digitalisierungsgrad in unserer Gesellschaft ergeben sich für Unternehmen nicht nur Chancen, sondern er schafft auch viel Raum für Bedrohungen und Risiken.
Nahezu alle wertschöpfenden Geschäftsprozesse in Unternehmen werden heutzutage durch IT-Systeme unterstützt bzw. sind von diesen abhängig. Zusätzlich wurden mit dem Aufkommen digitaler Kryptowährungen den Angreifern diverse Möglichkeiten geboten, relativ risikolos und losgelöst vom traditionellen Bankensystem, Lösegeldforderungen umzusetzen.
Diese „Anreize“ haben auch Cyberkriminelle dazu verleitet, ihr Geschäftsmodell stark auszubauen. Allein in Österreich wurden im vergangenen Jahr rund 46.200 Straftaten im Cyberbereich angezeigt (ca. 10.000 Fälle mehr als im Jahr 2020)1).
Viele dieser Verbrechen stellen für Unternehmen ernsthafte Krisensituationen dar. Dabei werden Geschäftsprozesse teilweise tagelang lahmgelegt, die langjährig aufgebaute Reputation durch negative Nachrichtenmeldungen geschädigt und zusätzlich Lösegeld im 6-stelligen Bereich gefordert. All das gipfelt schlussendlich darin, dass die Angriffe nicht vollständig zurückverfolgt bzw. aufgeklärt werden können.
Aus diesem Grund lohnt es sich, proaktiv in Cyber Security Maßnahmen zu investieren, um einen nachhaltigen Schutz für Ihr Unternehmen aufzubauen.
Wie Sie einem Cyberangriff in Ihrem Unternehmen vorbeugen und Schwachstellen bereits erkennen können, bevor diese durch Cyberkriminelle ausgenutzt werden, erfahren Sie in diesem Beitrag.
Cyberkriminelle nutzen Schwächen in Ihrem System gnadenlos aus!
Was fällt eigentlich alles unter Cyber Security?
Cyber Security befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Dabei werden sämtliche Maßnahmen umfasst, die sich mit der Absicherung Ihrer Geschäftsprozesse, IT-Systeme, Netzwerke, Anwendungen und Daten beschäftigen. Durch die Vielschichtigkeit des Begriffs kann Cyber Security in verschiedene Teilbereiche unterteilt werden: 2)
- Netzwerksicherheit: Hierbei handelt es sich um Verfahren zur Sicherung Ihrer IT-Netzwerke und IT-Systeme (sowohl intern als auch aus dem Internet erreichbar) vor gezielten Angriffen oder Malware.
- Programmsicherheit: Bei der Entwicklung Ihrer Software muss IT-Sicherheit bereits in der Designphase bedacht werden, damit Sie Risiken möglichst früh erkennen und beheben können.
- Informationssicherheit: Im Zuge der Informationssicherheit werden technische und organisatorische Maßnahmen verstanden, die die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherstellen sollen.
- Betriebssicherheit: Darunter fallen Entscheidungen und Prozesse zum Schutz der bestehenden IT-Infrastruktur. Dies betrifft bspw. Themen wie Back-ups, Zugriffsberechtigungen, On- und Offboarding von Benutzer:innen etc. Die Sicherheit der gespeicherten Daten sowie der Betrieb von IT-Systemen steht hier im Vordergrund.
- Disaster Recovery und Business Continuity: Hierbei handelt es sich um die Wiederherstellung von betrieblichen Abläufen und Daten, die aufgrund einer Cyberattacke oder eines anderen Ereignisses von einem Totalverlust betroffen sind. Das Business Continuity Management beschäftigt sich mit dem Erhalt und Wiederanlauf der betrieblichen Geschäftsprozesse im Rahmen eines Notfalls.
- Awareness / Sicherheitsbewusstsein: Hier geht es um den unberechenbarsten Faktor im Bereich Cyber Security – den Menschen. Jede:r Ihrer Mitarbeiter:innen kann unwissentlich das Tor für Malware öffnen, indem er:sie im Unternehmen definierte Sicherheitsauflagen verletzt.
Wie können Sie Schwachstellen erkennen?
Grundsätzlich sollte Cyber Security im Unternehmen immer ein proaktives Tools sein, um sicherheitsrelevante Fehler möglichst früh zu entdecken. Daher ist es ratsam, einen Risikomanagementprozess zu etablieren, der in regelmäßigen Abständen die auf das Unternehmen einwirkenden Risiken erhebt und bewertet.
Es ist jedoch nicht notwendig jedes Risiko sofort mit technischen oder organisatorischen Hilfsmitteln zu beseitigen. Alle möglichen Maßnahmen müssen mithilfe einer objektiven Kosten-/Nutzenanalyse bewertet werden. Dabei gilt es die Eintrittswahrscheinlichkeit, das Schadensausmaß und den Risikoappetit des Unternehmens zu berücksichtigen.
Nachfolgend werden relativ kostengünstige Überprüfungen beschrieben, mit denen Ihr Betrieb einen validen Einblick über die aktuelle Cyber Security Lage erhält.
Vulnerability Assessment
Bei einem Vulnerability Assessment handelt es sich um eine (teil)automatisierte Überprüfung Ihrer IT-Systeme mithilfe mehrerer Spezialtools. Unternehmen erhalten somit einen Überblick über Schwachstellen ihrer System- und Applikationslandschaft. Unterschieden wird bei dem Assessment vor allem zwischen internen und externen Netzwerken:
- Extern erreichbare IT-Systeme: Services und Systeme, die aus dem Internet erreichbar sind, sind häufig die erste Anlaufstelle für Cyberkriminelle.
- Interne Netzwerke: Gelangen Angreifer erst einmal in Ihr internes Netzwerk, können sie großen Schaden für Ihr Unternehmen anrichten.
Penetration Test
Mithilfe einer solchen technischen Sicherheitsüberprüfung können Sie Ihre IT-Systeme detailliert auf Herz und Nieren checken. Diese Methode ist sowohl für die Prüfung Ihrer internen Netzwerke als auch für eine Kontrolle Ihrer aus dem Internet erreichbaren Systeme und Dienste geeignet. Der Penetration Test kann auf folgenden Gebieten angewendet werden:
- Interne Netzwerke: Wir simulieren einen Angreifer, der sich bereits im Unternehmensnetzwerk befindet. Das Ziel ist, möglichst hohe Rechte auf sensiblen Systemen zu erlangen oder Zugriff auf vertrauliche Daten zu erhalten.
- Web-Anwendungen: Sehr viele kund:innenorientierte Services werden mithilfe von Web-Anwendungen abgewickelt. Sie stellen eine wichtige Komponente in vielen Unternehmen dar, sind aber unterschiedlichen Angriffsvektoren ausgesetzt, die es zu überprüfen gilt.
- Remote-Zugänge: Gerade in der aktuellen Krisenzeit wurden viele Möglichkeiten zum Remote-Zugriff geschaffen. Oftmals werden diese Zugänge jedoch unzureichend abgesichert und stellen ein willkommenes Einfallstor für Cyberkriminelle für Ihr eigenes Unternehmensnetzwerks dar.
- Endgeräte: Lassen Sie Ihre Endgeräte mit den darauf vorhandenen Sicherheitseinstellungen und -programmen (VPN, Verschlüsselungen, Anti-Virus-Lösung etc.) überprüfen. Ein schlecht gesichertes Gerät kann sich sonst schnell zum Unternehmensrisiko entwickeln!
- Individualsoftware: Selbst entwickelte Software erreicht aufgrund fehlender Ressourcen häufig nicht dieselben Qualitätsstandards wie jene aus dem Silicon-Valley. Potenzielle Schwachstellen können sich darüber hinaus auch fatal auf die Reputation Ihres Unternehmens auswirken.
Phishing Simulation
Trotz der Implementierung zahlreicher technischer Schutzmaßnahmen in Ihrem Unternehmen, können Angriffe von außen nicht vollständig unterbunden werden. Ein häufiger Tatbestand dabei ist Phishing, also die Täuschung Ihrer Mitarbeiter:innen mittels z.B. gefälschter E-Mails zur Erlangung vertraulicher Informationen. Wichtig ist hier gleich von Grund auf proaktiv zu handeln! Phishing Simulationen können auf jeder Ebene Ihres Personalstamms durchgeführt werden:
- Geschäftsführung: Der Empfängerkreis kann so ausgewählt werden, dass Personen aus Ihrer Führungsebene in den Fokus der Simulation gelangen.
- Risikogruppen: Bestimmte Abteilungen in Ihrem Unternehmen (HR, Controlling) sind aufgrund ihrer wichtigen und umfangreichen Funktionen vermehrt Ziele von Hackern.
- Gesamtes Personal: Auch die gesamte Belegschaft kann im Rahmen der Simulation adressiert werden. Dadurch wird eine vollumfassende und standortübergreifende Erhebung möglich.
Proaktives handeln schützt zuverlässig gegen Cyberangriffe! Zu unseren Cyber Security Services
5 Punkte, zur Absicherung und Steigerung Ihres Cyber Security Levels
Da Cyberkriminelle häufig den Weg des geringsten Widerstands folgen und sich einfache Opfer (sog. „Low-Hanging Fruits“) suchen, können diese Maßnahmen den Unterschied zwischen Business as usual und Notfall/Krise ausmachen.
Die nachfolgenden 5 Handlungsempfehlungen aus den Themenbereichen Mensch, Technik und Prozessen beschreiben essenzielle Maßnahmen zum Erhalt bzw. zur Steigerung des Cyber Security Niveaus Ihres Unternehmens.
1. Faktor Mensch: Erhöhen Sie die Cyber Awareness
Die teuerste Firewall und die beste Schutzsoftware ist nutzlos, wenn die Menschen in Ihrem Unternehmen – von der Geschäftsführung bis zum:r Praktikant:in – Cyberangriffe wie bspw. Phishing-Versuche nicht erkennen können. Optimaler Schutz beginnt bei der regelmäßigen Awareness Schulung Ihrer Belegschaft. Zusätzlich sollten Sie Meldewege einrichten, damit Ihre Mitarbeiter:innen verdächtige Aktivitäten zentral melden können und keine wertvolle Zeit zur Behandlung von Vorfällen verloren geht.
2. Faktor Prozesse: Etablieren Sie ein unternehmensweites Risikomanagement
Nicht jedes Unternehmen ist denselben Bedrohungen ausgesetzt. Nur wer seine Risiken kennt, kann sich auch gegen diese absichern. 100%iger Schutz ist zudem niemals möglich. Viele Unternehmen investieren in teure Lösungen, ohne eine objektive Grundlage dafür ermittelt zu haben. Daher sollten die Ihnen zur Verfügung stehenden Mittel in valide und faktenbasierte Maßnahmen investiert werden!
3. Faktor Technik: Verwenden Sie eine Zwei-Faktor-Authentifizierung
Sämtliche externe Zugriffe sollten in der heutigen Zeit mit einem zweiten Faktor abgesichert werden. Dadurch sinkt das Risiko eines unautorisierten externen Zugriffs enorm.
4. Faktor Technik: Bleiben Sie auf dem neuesten Stand der Technik
Verschaffen Sie sich einen Überblick über Ihre im Betrieb verwendete Hard- und Software und sorgen Sie dafür, dass Sie stets die von den Herstellern bereitgestellten Sicherheitsupdates verwenden. Aktuelle Systeme helfen Ihnen dabei, die Wahrscheinlichkeit einer IT-Attacke zu verringern.
5. Faktor Mensch, Technik & Prozesse- Führen Sie regelmäßig IT-Sicherheitsüberprüfungen durch
Ein regelmäßiges Assessment Ihrer Prozesse und IT-Systeme in Hinblick auf Cyber Security durch unabhängige externe Expert:innen unterstützt Ihr Unternehmen bei der Identifikation und Behebung von Schwachstellen und Konfigurationsmängeln. Außerdem erhalten Sie durch die Ergebnisse ebenso einen Einblick in die Wirksamkeit der getroffenen Maßnahmen.
Es lohnt sich, in Ihre Cyber Security zu investieren!
Fazit
Die aktuelle Datenlage hat eines deutlich gezeigt: Die Zahl der Cyberangriffe steigt kontinuierlich an. So waren z.B. im Jahr 2021 bereits 37% der global tätigen Unternehmen Ziel einer Ransomware-Attacke3). Mit der zunehmenden Anzahl der virtuellen Straftaten ist es essenziell, dass Sie Ihre IT umfassend schützen.
Neben der Absicherung mithilfe modernster technologischer Errungenschaften sollten Sie stets darauf achten, dass Ihre Mitarbeiter:innen regelmäßig an Schulungen zu Cyber Security teilnehmen – der Faktor Mensch ist und bleibt stets eines der größten Sicherheitsrisiken für Unternehmen. Ebenso ist es ratsam, in ein aktiv gemanagtes und lebendiges Risikomanagement zu investieren. Unternehmen, die ihre Risiken kennen und eine gezielte, gesteuerte Maßnahmenumsetzung durchführen, sind hier klar im Vorteil!
1) Bundesministerium Inneres, Cybercrime Report 2021, Lagebericht über die Entwicklung von Cybercrime (abgefragt am 10.8.2022).
2) Kaspersky, Was ist Cybersicherheit? (abgefragt am 10.8.2022).
3) Brooks, Alarming Cyber Statistics For Mid-Year 2022 That You Need To Know (abgefragt am 11.8.2022).
Abonnieren Sie die neuesten Nachrichten von BDO!
Please fill out the following form to access the download.