„Sie wurden gehackt“ – ein Satz, der wahrscheinlich jedem direkt die Schweißperlen auf die Stirn treibt. Leider ist er momentan immer häufiger zu hören, denn professionelle Hacker und Cyberkriminelle haben es in Zeiten der Pandemie leichter denn je.
Unternehmen mussten innerhalb kürzester Zeit ihre Systeme komplett umstellen, um der gesamten Belegschaft das Arbeiten trotz Social Distancing zu ermöglichen. Auf diese Weise öffneten sich die digitalen Pforten zu den betriebseigenen Systemen gleichzeitig auch für Angriffe von Außen. Denn während die einfachen Sicherheitseinstellungen daheim für Netflix, private Mails und Co. immer völlig ausreichten, ist das für den Zugriff auf den Firmenserver nicht der Fall. Bewegt man sich gar in öffentlichen Netzwerken oder dem Ferienhaus-WLAN, fehlt die Kontrolle über die Sicherheitseinstellungen in Gänze. Hinzu kommt die stetige Professionalisierung der Hacker. Was können Unternehmen machen, um sich gegen Cyber-Attacken zu schützen? Und wie kann man das Konzept „Hacking“ für die eigenen Zwecke nutzen?
Effektive Risikobewertung als Grundlage der IT-Sicherheit
Genau wie Unternehmen halten sich auch Hacker ständig darüber auf dem Laufenden, welche die neueste Sicherheitstechnik ist. Es gilt also, im Voraus zu planen und immer einen Schritt weiter zu denken. Eine Studie des Digitalverbands Bitkom, die im August dieses Jahres veröffentlich wurde, gibt an, dass Unternehmen im Durchschnitt nur sieben Prozent ihres IT-Budgets für die IT-Sicherheit einsetzen. Ein Fehler, der schnell zum Verhängnis werden kann. Die Befragten geben einen jährlichen Schaden von 223,5 Milliarden Euro durch Erpressung und Systemausfälle an. Vorausschauende Maßnahmen können solche Schäden verhindern. Neben einer kontinuierlichen Bewertung der aktuellen Risikofaktoren im Unternehmen gilt es, auch potenzielle zukünftige Risikoszenarien auf Basis eines standardisierten Frameworks in die Sicherheitsplanung mit einzubeziehen. Dazu müssen neben den Prozesse und der Technik auch die Mitarbeitenden berücksichtigt werden. Wer die Risikobewertung nicht unternehmensintern bewerkstelligen kann, der wird auf dem Markt schnell eine passende Software oder einen externen Partner mit Expertenwissen finden.
Hacking as a Service – wie gut ist die eigene Cybersecurity wirklich?
Das Wort „Hacking“ ist allgemein negativ konnotiert. Doch nicht nur im Darknet finden sich gute Hacker; Unternehmen können – und sollten – das Konzept zu ihrem Vorteil nutzen. Bei dem so genannten „Hacking as a Service“ simulieren IT- und Sicherheitsdienstleister einen Angriff von außen und hacken sich geplant in die Server und Technik eines Unternehmens ein, um die Sicherheitsstandards auf Herz und Nieren zu prüfen. Auf diese Weise werden schnell die digitalen Schwachstellen und offenen Türen analysiert – und gegen zukünftige echte Bedrohungen abgesichert.
Denn wer einmal live dabei zugesehen hat, wie auf dem eigenen Laptop E-Mails wie von Geisterhand geschrieben werden oder wie schnell vermeintlich sicher Firewalls überwunden werden, der erkennt die große Gefahr, die von Cyber-Angriffen ausgehen.
Der Faktor Mensch – IT-Risiko jenseits der Technologie
Cyber-Kriminelle wissen ganz genau, wie Menschen angesprochen werden müssen und welchen Absender, welchen Betreff sie wählen müssen, um eine gewünschte Reaktion hervorzurufen. Während schadhafte Mails früher noch leicht zu identifizieren waren, sind sie heute kaum von echten Absendern zu unterscheiden. Es gilt also immer genau hinzuschauen und auch die angebliche Nachricht von der Chefin nochmals kritisch zu überprüfen, bevor Dokumente geöffnet oder Links angeklickt werden. Hacker nutzen immer intelligentere und fortschrittlichere Technologien wie Machine Learning und KI, um die Mitarbeiterinnen und Mitarbeiter eines Unternehmens durch gezielte Maßnahmen anzugreifen. Es ist sehr wichtig, das Personal durch die richtigen Trainingsmaßnahmen und spezielle Kurse für das Thema und möglichen Bedrohungen zu sensibilisieren. Dafür bleibt die Risikobewertung unerlässlich! Hinzu kommen essentielle Maßnahmen wie z.B. Mehrfaktor-Authentifizierung, wechselnde Passwörter oder Passwortmanager, regelmäßige Updates, spezielle Sicherheitssoftware und aktuelle Hardware.
Fazit: Risiken effektiv verringern
Unternehmen sollten sich immer darüber im Klaren sein, dass niemand wirklich sicher vor einem Cyber-Angriff ist. Die oben genannte Studie belegt, dass neun von zehn Firmen betroffen sind, wobei vor allem kleine und mittlere Unternehmen mehr und mehr zum Ziel der Kriminellen werden. Unternehmen sollten also im Idealfall Risiken regelmäßig analysieren, um diese frühzeitig zu identifizieren und sich vorzubereiten! Wer sich dafür professionell hacken lässt, kann am Ende nur gewinnen. Denn nur wer sein eigenes Risikopotential kennt, kann auch die richtigen Maßnahmen treffen.
https://also.com