Diese Themen könnten Sie ebenfalls interessieren
Niemand spricht gerne über Angriffe aus dem Web und ihre Folgen. Betroffene Firmenchefs und IT-Verantwortliche schon gleich gar nicht. Schließlich wollen sie Wettbewerbern und Geschäftspartnern keine Schwachstellen offenlegen. Zudem steht das gute Image des Unternehmens auf dem Spiel. Dabei sind sie nicht alleine: Mehr als die Hälfte der Unternehmen in Deutschland (53 %) sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden, so eine Studie des Digitalverbands Bitkom. Den dadurch entstandenen Schaden beziffert die Studie auf 55 Milliarden Euro pro Jahr. Wir von LEW TelNet wissen: Das betrifft auch Unternehmen in unserem Geschäftsgebiet.
Ein Blick in ein x-beliebiges Unternehmen zeigt die Schwachstellen auf. In der Praxis ist vor allem die IT in Produktionsanlagen reich an Risiken. Betriebsrechner in Industrieanlagen sind oft mit älteren Betriebssystemen wie zum Beispiel Windows XP ausgestattet und erfüllen damit nicht mehr die aktuellen Sicherheitsrichtlinien. Der Trend, die Produktion zunehmend zu digitalisieren und zu vernetzen (Stichwort: Industrie 4.0, IoT und M2M), tut ein Übriges: Wo immer mehr Sensoren dafür sorgen, dass Daten ausgelesen und analysiert werden, dadurch präventive Fernwartung und Produktionsoptimierung ermöglichen, finden auch Cyberkriminelle immer mehr Einfallstore. Unternehmen aus dem Maschinen- und Anlagenbau gelten als beliebte Ziele – und zwar unabhängig von ihrer Betriebsgröße. Entscheidend sind vielmehr die Innovationskraft und der Wert der Daten. Wir erinnern uns an Stuxnet, einen „Wurm“, der im Jahr 2010 Kontroll- und Steuerungsanlagen befiel und sabotierte. Die Produktionsnetzwerke zu schützen ist elementar, leitet sich daraus doch die Wertschöpfung der Unternehmen ab. Ein Systemausfall mit darauf folgendem Produktionsstopp und verzögerter Auslieferung an den Kunden: Die finanziellen Folgen – beispielsweise durch Haftungsschäden – können schnell existenziell werden.
Vor diesem Hintergrund ist interessant, dass in vielen Betrieben die Fertigungsanlagen wesentlich weniger kontrolliert werden als die Rechner in der Verwaltung. „Und selbst da ist manches Unternehmen schlechter geschützt, als wenn die FRITZ!Box zuhause gut eingerichtet ist“, weiß Reinhard Wrchlavsky von LEW TelNet. Maßnahmen zur Virenabwehr existieren, doch viele Unternehmen versäumen es, regelmäßige Updates einzuspielen. Die Folge: Virenscanner, die nicht auf dem aktuellen Stand sind. Laut bitkom wurden in jedem sechsten Unternehmen (17 %) in den vergangenen zwei Jahren sensible Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails (41 %) oder Finanzdaten (36 %) fielen dabei in die Hände der Angreifer. In 17 % der Fälle von Datendiebstahl wurden Kundendaten entwendet, in 11 % Patente oder Informationen aus Forschung und Entwicklung, in 10 % Mitarbeiterdaten. Der finanzielle Schaden, der durch solche Datenverluste entsteht, ist immens. Ganz abgesehen vom Vertrauensverlust, wenn sensible Daten in falsche Hände gelangen.
Auch in der Verwaltung gilt: Mit den praktischen Vorteilen des vernetzten Arbeitens sind Nachteile in der Sicherheit verbunden. E-Mails checken auf dem Smartphone, von dort auf die aktuellsten Vertriebszahlen zugreifen, den USB-Stick eines Geschäftspartners mit seiner Präsentation am Notebook mit dem Beamer andocken, abends vom Home Office nochmal vertrauliche Personaldaten auf dem Server sichten, Dokumente und Pläne über die Cloud austauschen. Und womöglich noch Berufliches und Privates miteinander vermischen: zwischendurch vom Büro-PC ein Bild auf einer Social-Media-Plattform posten, lustige GIFs per E-Mail austauschen, mit Freunden per WhatsApp auf dem Diensthandy chatten. Genau dies öffnet Cyberkriminellen die Türen. Sie verschaffen sich etwa mittels Schadsoftware unbemerkt Zugriff auf das Netzwerk. Als Folge drohen Datenverlust, Manipulationen und Systemausfälle. Um sich vor solchen Angriffen zu schützen, bedarf es spezialisierter Fachkräfte mit aktuellem Wissen, Hard- und Software.
Mitarbeiter sensibilisieren
Wo die Technik nicht weiterhilft, gilt es die Mitarbeiter zu sensibilisieren. Social Engineering nennt man die Taktik der Cyberkriminellen, Menschen zu manipulieren, um ans Ziel zu kommen. Sie schicken täuschend echte E-Mails, die angeblich von Banken stammen, um etwa Passwörter abzugreifen. Sie verschicken vermeintliche Rechnungen als PDF, die beim Öffnen Schaden anrichten. Sie veranlassen telefonisch dringende Überweisungen im Namen des Firmen- oder Finanzchefs. Getäuscht und überrumpelt, manchmal auch aus purer Neugier, klicken Mitarbeiter auf Dokumente oder Links, die zu Viren oder infizierten Seiten führen. Oder überweisen Geldbeträge auf unbekannte Konten, weil der Auftrag von oben plausibel klang. Franz Becicka, Leiter Informationssicherheit und Datenschutzkoordinator bei LEW TelNet, rät daher: „Grundsätzlich ist es immer gut, sich zu fragen, mit welchen Absendern man da gerade kommuniziert. Ist die Seite vertrauenswürdig? Kommt die Mail tatsächlich von meiner Bank oder meinem Vorgesetzten? Im Zweifelsfall ist es besser, einen zweiten Blick zu riskieren, als mit einem unbedachten Klick den Rechner mit Schadsoftware zu infizieren oder Passwörter preiszugeben. Und: Wichtige Daten regelmäßig sichern, zum Beispiel mit Veeam Cloud Backup, die Backup-as-a-Service-Lösung von LEW TelNet.“