Die IT Security in KMU hängt mitunter vom Bewusstsein der Mitarbeiter ab.
Nach wie vor denken viele Schweizer Unternehmer, dass sich Cyberkriminelle nicht für KMU interessieren. Doch genau diese nachlässige Haltung nutzen Cyberkriminelle aus und greifen immer häufiger die IT Security von KMU an. Andreas Eugster, Leiter des Fachbereichs Cyberermittlung der Zuger Polizei, hat darum viel zu tun. Und er hat eine klare Botschaft an die Unternehmerinnen und Unternehmer im Kanton Zug und der ganzen Schweiz.
Steigende Fallzahlen für Cybervorfälle – Unzureichende IT Security
Die polizeiliche Statistik des Kantons Zug weist steigende Fallzahlen für Cybervorfälle auf. Andreas Eugster und sein Team kommen ins Spiel, wenn die IT-Security nicht ausgereicht hat, die Betrüger erfolgreich waren und das Unternehmen bei den Behörden Strafanzeige erstattet.
Das digitale Ermitteln ist die Aufgabe der Cyberermittler der Zuger Polizei: Spuren suchen, Daten auswerten, Rückschlüsse ziehen, weitersuchen. Wie sie das genau machen, verrät Andreas Eugster nicht. Polizeitaktik. Aber etwas verrät er, ohne zu zögern: «Für uns gibt es immer mehr zu tun». Jedes analoge Verbrechen habe heute auch eine digitale Komponente, erklärt Andreas Eugster weiter. Bei ihm ist die Passion für seinen Job herauszuhören. Cyberkriminelle wissen genau, wo die Chancen für einen erfolgreichen digitalen Einbruch am Grössten sind.
Das Grösste Risiko ist der Mensch
Die Technologien der grossen Anbieter sind heute mit modernsten und intelligenten Sicherheitsfunktionalitäten ausgestattet. Das hat den Menschen zum schwächsten Glied in der Kette gemacht, wie Andreas Eugster aus eigener Erfahrung weiss: «Das Einfallstor ist fast immer eine menschliche Interaktion. Ein Klick auf einen unscheinbaren Link kann schon reichen und eine Täterschaft hat Zugang zum System erlangt.»
Um Leute zu solchen Handlungen zu bewegen, wenden Cyberkriminelle die Manipulationstechnik «Social Engineering» an. Sie tarnen und fingieren Aktivitäten, versenden beispielsweise Mails im Namen von Vorgesetzten oder Partnerfirmen. Getäuschte Mitarbeitende schleusen die Cyberkriminellen auch an den intelligentesten Sicherheitstechnologien vorbei – und merken davon nicht einmal etwas.
Die Ursprünge des Social Engineering
Social Engineering ist ein Phänomen in der IT Sicherheit, das durch Verknüpfung von Arbeitswelt und Privatsphäre an Aufmerksamkeit gewonnen hat. Insbesondere durch die Verbreitung von sozialen Medien und mobilen Endgeräten hat sich die Kommunikation zwischen Berufs- und Privatleben weiter vermischt.
Bis Anfang der 2000er-Jahre wurden standardisierte Kommunikationsformen aus der Arbeitswelt, wie etwa E-Mails oder Telefonanrufe, auch im Privatleben genutzt. Es war üblich, dass geschäftliche Telefonnummern und E-Mail-Adressen auch privaten Kontaktpersonen bekannt waren. Sie konnten also auch für private Kommunikation genutzt werden.
Eine Kontaktaufnahme aus dem persönlichen Umfeld über einen beruflichen Kommunikationskanal war deshalb nicht ausgeschlossen. Es war aber nur in begrenztem Umfang möglich, über fingierte Telefonanrufe oder Spam-Mails Unternehmensdaten oder Passwörter abzugreifen. Ein verbreiteter Vorgang war und ist dabei das sogenannte Phishing.
Der Begriff setzt sich aus den Wörtern «Password» und «Fishing» zusammen. Er bezeichnet den Vorgang, über manipulierte Links Passwörter zu entwenden.
Neue Formen des Social Engineering
Gegen Ende der 2000er-Jahre verbreiteten sich Smartphones und soziale Netzwerke immer weiter. Die Nutzung neuer Plattformen wurde zu einer allgemein akzeptierten Form der Kommunikation. Auch Firmen erstellten eigene Profile auf sozialen Plattformen.
Eine Reihe sozialer Medien entwickelte sich zu Orten, an denen eine Überschneidung privater und beruflicher Kommunikation stattfinden. Mitarbeitende von Unternehmen nutzten nicht nur Computer, sondern auch eigene mobile Endgeräte. Dadurch konnten sie innerhalb weniger Sekunden berufliche und private Kommunikation über die gleiche Plattform abwickeln. Die Trennung von Arbeit und Privatsphäre wurde dadurch verringert.
Hinzu kommt der neue Trend, auch private IT-Geräte für Arbeitszwecke zu benutzen. Für Angreifer aus dem Bereich des Social Engineering ergaben sich damit viele neue Möglichkeiten. Statt E-Mails an umfangreiche und nicht zielgerichtete Listen von Individuen zu verschicken, können sie heute konkrete Personen ausspionieren.
Wie bedroht Social Engineering die IT Security von Unternehmen?
Über soziale Netzwerke lassen sich Individuen und ihre Arbeitgeber leicht identifizieren. Insbesondere der Abgleich von Daten aus beruflichen und privaten Netzwerken ist dabei sehr hilfreich. Im ersten Schritt kann ein Angreifer eine Zielperson aus einem bestimmten Unternehmen auswählen. Im zweiten Schritt kann sich der Angreifer über Wochen oder Monate das Vertrauen der Person erschleichen.
Bei gegebener Situation kann er dann beiläufig im Gespräch bestimmte unternehmensbezogene Information erfragen.
Angreifer können sich auch über gefälschte Profile als Mitarbeiter, Projektpartner oder Zulieferer des gleichen Unternehmens ausgeben. Eine weitere Methode ist die Manipulation von Programmen wie Browsern auf den Rechnern der Zielpersonen. Über gefälschte, aber täuschend echt aussehende Webseiten kann der Angreifer dann Login-Daten der Firma erbeuten.
Der Kreativität der Angreifer sind dabei keine Grenzen gesetzt. Die Bedrohung durch Social Engineering hat im Laufe der Jahre ein internationales Ausmass angenommen. Der Bekämpfung dieser Form von Online-Betrug hat sich auch Europol bereits angenommen. Auch IT Sicherheitsunternehmen wie redIT bieten Lösungen zum Schutz vor Phishing-Attacken an.
«Das Bewusstsein muss unbedingt erhöht werden»
Die Cyberermittlung bei der Zuger Polizei wurde im Sommer 2016 ins Leben gerufen. Seit damals hat Eugster schon viele Male zum Telefonhörer gegriffen: «Ich erhalte Anrufe von Unternehmen aller Grössen, bei denen es zu Angriffen gekommen ist. Bei den grossen Firmen sind die Abläufe oft eingespielt, aber die kleinen und mittleren Unternehmen sind meist überfordert und auf externe Hilfe angewiesen». Die KMU seien sich nach wie vor viel zu wenig bewusst, dass gerade auch sie lukrative Ziele für Kriminelle mit Bereicherungsabsichten sind. Dieses Bewusstsein müsse unbedingt erhöht werden, so Eugster.
Erpressung über Ransomware
Eine verbreitete Methode zum Angriff auf Unternehmen über ihre eigene IT-Infrastruktur ist die Nutzung von Ransomware. Dabei handelt es sich um eine speziell entwickelte Software, mit der Kriminelle Daten auf Servern von Unternehmen manipulieren.
Es gibt zwei Arten von Ransomware. Die eine verschlüsselt Daten, die andere versperrt den Zugang zum Rechner, lässt die Daten auf dem Rechner aber unverändert.
Im zweiten Fall gibt es für die Opfer des Angriffs also die Möglichkeit, die Informationen zu sichern. Dies erfolgt über den Ausbau der Datenträger aus dem digital verschlossenen Rechner. Aus diesem Grund ist es für Angreifer viel interessanter, Daten direkt auf dem Rechner zu verschlüsseln.
In einem anschliessenden Schritt wird das Unternehmen mit einer Lösegeldforderung konfrontiert. Bis vor einigen Jahren wurde dabei noch mit analogen Zahlungsmitteln wie Prepaid-Karten gearbeitet. Heute nutzen Angreifer bevorzugt digitale Währungen, die sich anonym verschicken lassen.
Die auf der Blockchain-Technologie basierenden Währungen werden deshalb gerne für Erpressungen über Ransomware genutzt. Dies ist nicht nur die bekannte Währung Bitcoin. Auch diverse andere Währungen werden zu diesem Zweck genutzt. Dash, Zcash und Monero sind Beispiele für digitale Währungen, die den Angreifern eine höhere Anonymität ermöglichen.
Ransomware-Angriffe kosten viel mehr als nur das Lösegeld
Schlägt die Ransomware zu und verschlüsselt das ganze System, wird es kostspielig. Aber nicht in erster Linie wegen hohen Lösegeldern. Die Polizei und der Bund raten klar davon ab, Lösegeld überhaupt zu bezahlen. «Machen Sie sich einmal erpressbar, sind sie immer erpressbar», so Eugster. Was Unternehmen aber so oder so viel teurer zu stehen kommt, sind Betriebs- und nachträgliche Umsatzausfälle, Aufwände für die Wiederherstellung und den besseren Schutz der ganzen Informatik-Infrastruktur. Die Kostenschätzungen für einen Cybervorfall gehen, abhängig von der Tragweite des Angriffes, weit auseinander, je nach Quelle liegen sie bei USD 190’000, CHF 1 Mio. oder gar USD 13 Mio.
Keine Gründe mehr, die IT Security zu vernachlässigen
Unternehmen weltweit benannten 2020 die IT-Security zum ersten Mal als grösstes Risiko für den Betrieb. Und trotzdem implementieren 90% der KMUs gemäss Microsoft keinen Datenschutz. Viele Gründe dafür haben im Jahre 2020 keinen Halt mehr: Moderne IT-Lösungen bieten Sicherheit auf Enterprise-Level und sind heute zu KMU-Kosten erhältlich. Cyberkriminalität ist höchst relevant für KMU, denn mindestens jedes Dritte ist bereits damit in Berührung gekommen. Es kann einzig und allein am fehlenden Bewusstsein liegen.
Training und Bewusstsein der Mitarbeitenden
Deshalb ist das Training der Mitarbeitenden ein zentraler Punkt in den Sicherheitsvorkehrungen von KMU. Die Belegschaft muss im Anwenderverhalten geschult werden und ein erhöhtes Bewusstsein für betrügerische Verhaltensmuster entwickeln. Cyberpolizist Eugster spricht hier vor allem von einer «gesunden Skepsis» und vergleicht diese mit einem analogen Beispiel. «Hat man im Briefkasten trotz angebrachtem Werbeverbot einen Papierflyer, worauf eine Telefonnummer steht und irgendwelche Geldversprechen vorausgesagt werden, schenkt man dem kaum Glauben und wirft die Werbung ins Altpapier.» Genau dieses Verhalten muss auch im digitalen Sektor Einzug halten.
Ein geplanter Testangriff ermöglicht einen ungeschönten Blick auf die IT-Sicherheit und das Verhalten der Mitarbeitenden, ein gutes Instrument, dass viel zu einer gesunden Skepsis beitragen kann. Und diese braucht es dringend, denn Cyberkriminelle dürften das Interesse an KMU nicht so schnell verlieren.
Deshalb bieten wir speziell für KMU mit dem redCloud Phish Threat eine Dienstleistung an, womit Sie Ihre Mitarbeiter ohne Konsequenzen testen können, ob sie fit sind im Umgang mit missbräuchlichen Mails. Ebenso hilft die Lösung Security Awareness Training, den Risikofaktor Mitarbeiter so klein als möglich zu halten.
Was gehört zur IT Security?
IT Sicherheit ist auch für Ihr Unternehmen zentral. Deshalb bieten wir Ihnen eine Reihe von Dienstleistungen, die auch den Schutz und die Vorbereitung Ihrer Mitarbeiter beinhalten. Dazu gehören unter anderem:
- Security Awareness Training
- Schutz vor Phishing-Attacken
- Einrichtung von Firewalls
- Bereitstellung von SSL-Zertifikaten
- Schutz vor Spam
Gerne beraten wir Sie auch individuell in diesem Bereich. Treten Sie heute noch mit uns in Kontakt!