Hacking-Top-15

Die größten Cyberangriffe auf Unternehmen

16.01.2017
Von  , und


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.


Arved Graf von Stackelberg hat mehr als 12 Jahre Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungs-, Sicherheits- und Entwicklungsumfeld. Daneben bringt er beinahe 20 Jahre Führungserfahrung aus der IT-Industrie mit. Graf Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, das diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.

Schwerpunkte von Frank Kölmel, der auf mehr als 20 Jahre Erfahrung in der Netzwerk- und Internetbranche zurückblicken kann, sind Ausbau und Festigung der Position des Unternehmens in der D-A-CH-Region und Osteuropa. 

"Mitarbeiter müssen sensibilisiert werden"

Wie also sollen Unternehmen der wachsenden Bedrohung durch Cyberkriminelle begegnen? Wir haben einige namhafte IT-Security-Experten zur aktuellen Lage im Unternehmensumfeld und den künftigen Entwicklungen befragt.

CW: Welche Strategie sollten IT-Verantwortliche für den maximalen Schutz ihres Unternehmens fahren?

Thorsten Urbanski, G Data / ITSMIG: "Unternehmen müssen definieren, welche Bereiche besonders geschützt werden müssen."
Thorsten Urbanski, G Data / ITSMIG: "Unternehmen müssen definieren, welche Bereiche besonders geschützt werden müssen."
Foto: Sascha Reklau

THORSTEN URBANSKI, Leiter Unternehmenskommunikation G Data und Leiter der Arbeitsgemeinschaft TeleTrust-Bundesinitiative "IT-Security made in Germany": Unternehmen müssen zunächst definieren, welche Bereiche besonders sensibel sind und geschützt werden müssen. Auf Basis dieser Ergebnisse sollte ein ganzheitliches IT-Sicherheitskonzept speziell für die ermittelten Bedürfnisse hin entwickelt und umgesetzt werden.

Hierzu gehört nicht nur der Einsatz einer umfangreichen Sicherheitslösung, die auch Mobilgeräte in den Abwehrring mit integriert und die fortlaufende Installation von Software-Updates, sondern unter anderem auch die Einbindung der eigenen Mitarbeiter. Diese müssen im sicheren und vertrauenswürden Umgang mit den IT-Systemen geschult und für Online-Gefahren sensibilisiert werden.

HOLGER SUHL, General Manager DACH bei Kaspersky Lab: Neben klassischem IT-Schutz für das gesamte Netzwerk spielen heute intelligente Ansätze, die wir als 'Security Intelligence' bezeichnen, eine entscheidende Rolle. Diese Intelligenz beinhaltet die über die Jahre hinweg erworbene Erfahrung im Kampf gegen Cyberbedrohungen sowie die Integration dieser Expertise in Technologien und Lösungen.

Bereits heute erfordern Sicherheitsansätze für sensible Bereiche wie kritische Infrastrukturen oder Banken die Einbeziehung von Security Intelligence. Hinzu kommen für spezielle Zielgruppen entwickelte Dienstleistungen wie forensische Analysen, Botnetz-Tracking oder Cybersecurity-Reports.

RÜDIGER TROST, Senior Sales Engineer, F-Secure GmbH: Die Devise sollte lauten, kein einfaches Ziel zu sein. Cyberkriminellen ist die Größe und Branche eines Unternehmens erstmal egal. Mit ihren großflächigen Angriffen werden sie versuchen, größtmöglichen Schaden zu erzielen. Mehrstufiger Schutz auf den Clients, Antivirus-Lösung mit mehreren Technologien, ein aktuelles System, Password Manager, Browser-Schutz und verhaltensbasierte Analysetechnologie um neue und aufkommende Bedrohungen abzuwehren, sollte für die meisten Angriffe ausreichend sein.

Nicht zu vernachlässigen ist auch die Schulung der Mitarbeiter. Sie sind und bleiben immer das schwächste Glied in der Kette und Social Engineering ist ein beliebtes Mittel, um über naive Mitarbeiter in ein Firmennetz zu gelangen. Auch die Backup-Strategie sollte öfter überarbeitet beziehungsweise geprüft werden. Der Restore von kritischen Systemen sollte für den Fall eines Suer-GAUs regelmäßig getestet werden.

"Managed-IT-Services können KMUs helfen"

CW: Wie sind deutsche Unternehmen für die wachsenden Cyber-Risiken gerüstet?

URBANSKI: Die Absicherung der IT-Infrastruktur ist für Unternehmen von existenzieller Bedeutung. Hier sollte nicht der Fehler begangen werden, nur auf eindimensionale Abwehrkonzepte zu setzen - so werden Mobile Devices häufig immer noch außen vor gelassen. Wichtig ist IT-Security als permanenten Prozess innerhalb der Organisation zu verstehen.

Unserer Einschätzung nach haben kleinere und mittelständische Unternehmen hier Nachholbedarf, zudem sehen sie sich häufig nicht im Fokus von Cyberangreifern. Unserer Einschätzung nach ist das ein fataler Fehler, denn gerade KMUs gelten nicht zu Unrecht als Innovationsmotor der deutschen Wirtschaft und verfügen über ein entsprechend großes und wertvolles Know-How, das es effektiv zu schützen gilt.

SUHL: Als Cybersicherheitsexperten können wir Aussagen über die Angriffe auf Unternehmen treffen. Kaspersky Lab beauftragt seit 2011 eine Studie zur Sicherheitslage von Unternehmen. Die Ergebnisse aus dem vergangenen Jahr zeigen: Deutsche Unternehmen werden verstärkt attackiert. So hat sich die Situation in den Bereichen Spam und Phishing mit einem Zuwachs von jeweils zwölf Prozent am deutlichsten verschlimmert, gefolgt vom Diebstahl mobiler Geräte mit einem Zuwachs von neun Prozent und Hacking mit sieben Prozent.

Zudem sehen wir den Trend, dass Unternehmen - egal welcher Größe - verstärkt über Spear-Phishing attackiert werden. Vor diesen Gefahren können jedoch technologische als auch "erzieherische" Ansätze erfolgreich schützen.

Rüdiger Trost, F-Secure GmbH: "Große Unternehmen sind besser gerüstet als KMUs."
Rüdiger Trost, F-Secure GmbH: "Große Unternehmen sind besser gerüstet als KMUs."
Foto: Patrick Kaut

TROST: Große Unternehmen sind auf Grund von Compliance-Richtlinien besser gerüstet als kleine oder mittlere Unternehmen, wo beispielsweise Budget für die entsprechende IT-Sicherheit beziehungsweise das Know-How fehlt.

Darüber hinaus denken insbesondere kleine Unternehmen "Bei mir gibt es doch eh nichts zu holen" und verlassen sich auf einen Basisschutz. Dabei können sogenannte Managed-IT-Services gerade Unternehmen mit weniger als 100 Mitarbeitern unterstützen und das entsprechende Know-How liefern, um diesem Risiko nicht ausgesetzt zu sein.