Von digitalen Businessmodellen erwarten sich Unternehmen zu Recht neue Chancen. Doch sie bieten Hackern auch neue Angriffsziele. Eine Webinfosession der Computerwoche schildert, wie sich Firmen schützen können.
Dabei geht es nicht nur um die Bedrohungen, denen jedes Unternehmen heute schon täglich ausgesetzt ist. Das betrifft sowohl den Verlust eigener Daten als auch den von Daten Dritter. Es geht auch um technologische Fragen - Stichwort Internet of Things (IoT) - und um den berühmten "Faktor Mensch".
Christian Larsen, Senior Consultant SWS Computersysteme, und Johannes Glasl, Geschäftsbereichsleiter bei der Euroassekuranz, skizzieren den Status Quo in deutschen Unternehmen und empfehlen Maßnahmen für mehr Schutz. Detlef Korus von der Computerwoche moderiert die Webinfosession. Er steigt mit einer launigen Frage ein: "Haben Sie WhatsApp auf Ihrem Smartphone? Sie vielleicht nicht, aber ihre Mitarbeiter vermutlich, und schon haben Sie möglicherweise ein Problem." Dem kann Larsen nur zustimmen: "WhatsApp gehört zum Facebook-Konzern. Und der verhält sich leider so, dass es mit dem deutschen Datenschutzrecht im Konflikt steht." So werden Daten automatisch bei Facebook hochgeladen. Und: Angreifer aus der Ferne können zum Beispiel unbemerkt das Mikro einschalten. Larsens Fazit: "Dann tragen Sie bei Konferenz eine Wanze mit sich herum. Handys bei Konferenzen also bitte weglegen!"
Unabhängig von diesem Beispiel stellen sich die fünf größten Bedrohungen so dar: Erstens Denial of Service-Attacken mit Botnetzen, zweitens das gezielte Hacking von Webservern, drittens Drive-by-Exploits und viertens Schadsoftware-Infiltration durch Social Engineering sowie fünftens Spam. "Eine erste Einschätzung des Bitkom zeigt, dass der deutschen Wirtschaft voriges Jahr rund 50 Milliarden Euro Schaden entstanden sind", resümiert Glasl. Es geht dabei nicht nur um Bußgelder und Schadenersatzansprüche, sondern beispielsweise auch um Audits oder Prozessanpassungen, die nötig geworden sind.
609.000 Euro Schaden bei Verletzung von Geschäftsgeheimnissen
Laut einer Umfrage wissen 51 Prozent der Unternehmen, dass sie von Cyber-Kriminalität betroffen sind. Weitere 28 Prozent vermuten, dass das auch für sie gilt. Dazu ein paar Zahlen: 2016 beliefen sich die Pro-Kopf-Kosten durch Datenpannen in Deutschland auf 213 US-Dollar. Die durchschnittliche Schadenhöhe pro E-Crime-Fall betrug im schlimmsten Fall - bei der Verletzung von Geschäfts- und Betriebsgeheimnissen nämlich - 609.000 Euro.
Und diese Kosten steigen, beobachtet Glasl. Nicht zu vergessen: Im Mai 2018 wird die EU-Datenschutznovelle in Kraft treten.
Dennoch sichern sich derzeit nur 23 Prozent der Unternehmen sich gegen Datenabfluss ab, 29 Prozent nutzen Angriffserkennungssysteme. Stichwort "Faktor Mensch": Nach wie vor ist es "gang und gäbe, dass die Nutzer nur ein Passwort haben", weiß Larsen. Er fügt an: "Oder sie wandeln es nur geringfügig ab. Auch Passwortspeicher im Web-Server sind eine unsichere Sache."
Auf technologischer Seite bringt die Vernetzung von immer mehr Systemen vor dem Hintergrund des "Internet of Things" (IoT) mehr Risiken mit sich. Denn zu viele Unternehmen passen ihre Sicherungssysteme nicht an. Das heißt konkret: Wird ein Player in der Lieferkette angegriffen, kann das die gesamte Wertschöpfungskette lahm legen. "Wahrlich eine Kettenreaktion", kommentiert Korus.
Container-Lösungen statt Abschottung
Doch Abschottung wird nicht funktionieren, sagt Larsen. Er rät Entscheidern, Container-Lösungen - sogenannte MDM-Systeme - einzusetzen. Wichtig ist dabei eine gute Usability, damit die Nutzer die Lösung akzeptieren. Er empfiehlt außerdem die Trennung von Office- und Produktionsnetzen oer die Trennung von Anlagen-Subnetzen.
Glasl betont, dass sich Unternehmen gegen Schäden aus Cyber-Kriminalität versichern können. Da hakt ein Zuschauer der Webinfosession ein. Welche Anbieter gibt es? "Inzwischen ist der Markt der Anbieter recht groß und es kommen laufend neue Anbieter hinzu", erklärt Glasl. "Hieraus entstehen unterschiedliche Deckungskonzepte die vor einem Abschluss sorgfältig analysiert werden sollten." Ein weiterer Zuschauer will wissen, wie der Abschluss einer solchen Versicherung funktioniert. Dazu Glasl: "Wichtig ist, sehr genau zu analysieren, wo die Angriffspunkte und Risiken des Unternehmens liegen. Ein Krankenhaus hat beispielsweise völlig andere Angriffspunkte als ein Steuerberater. Auf Basis der Risikoanalyse erfolgt die Abstimmung mit möglichen Versicherern und gegebenenfalls auch ein Audit."
Beide Experten betonen die Dringlichkeit des Themas. "Heute ist es schwer, gute Mitarbeiter zu finden, und so akzeptieren viele Unternehmen die private Nutzung am Arbeitsplatz", beobachtet Larsen. Das kann dazu führen, dass der IT-Chef gar nicht mehr weiß, was der Nutzer da draußen tut. Doch gerade angesichts der nahenden EU-Datenschutzgrundverordnung weiß Glasl: "Das Bewusstsein für Cyber-Security steigt!"