Aufrufe
vor 2 Jahren

PT-Magazin - Ausgabe 6 2021

PT-Magazin für Wirtschaft und Gesellschaft Die Top-Themen: • Premiers, Preisträger, Finalisten - Mittelstandswettbewerb 2021 abgeschlossen • Neuausschreibung 2022 - Jahresmotto „Zu neuen Horizonten“ • Mut am Arbeitsplatz in 4 Schritten - Wie wir trotz unserer Ängste handeln können • Das Feuer des Unternehmertums entfachen - Das Beste aus 2 Welten: Mittelstand & Startups

62 Wirtschaft ©

62 Wirtschaft © pixabay.com | Sammy-Sander Wie KMU sich vor Hackerangriffen schützen Mitarbeiter und Systeme im Visier. Achim Barth gibt die wichtigsten Tipps! Wer aufmerksam die Nachrichten verfolgt, sieht die Einschläge immer näher kommen: Kein Tag vergeht, an dem die Presse nicht von versuchten oder erfolgreichen Cyberangriffen berichtet. Die Opfer kommen querbeet aus allen Branchen. Die meisten Angriffe zielen nicht auf ein bestimmtes Unternehmen ab, sondern es trifft diejenigen, die ihre IT-Systeme, Web- und Mailserver oder Homeoffice-Arbeitsplätze nicht ausreichend gesichert haben. Von 2019 auf 2020 meldete das Bundeskriminalamt (BKA) einen Anstieg der Cyberangriffe um mehr als 15 Prozent auf 100.514 angezeigte Angriffe auf Unternehmen in Deutschland. Die größte Bedrohung sind Angriffe mit Ransomware: Angreifer verschicken Phishing-E-Mails an Mitarbeiter, mit dem Ziel, dass diese den Anhang öffnen oder auf einen Link klicken. Tappt jemand im Unternehmen unbedarft in diese Falle, lädt sich ein Schadprogramm herunter, das zunächst inaktiv bleibt bzw. in Ruhe das firmeneigene IT-System analysiert. Erst nach einigen Tagen oder Wochen startet der Schädling damit, alle verfügbaren Daten im Unternehmen zu verschlüsseln. Für die Entschlüsselung fordern die Kriminellen einen Geldbetrag, der in Kryptowährung bezahlt werden soll. Viele Firmen sind nicht nur Opfer dieser Erpressung, gleichzeitig werden so auch personenbezogene Infos abgesogen, zum Beispiel E-Mail-Adressen von Kunden oder sensible Firmendaten, die sich im Darknet zu Geld machen lassen. Beide Fälle sind Datenpannen, die Unternehmen der Aufsichtsbehörde melden müssen. Und die Taktiken der Angreifer werden immer perfider. Inzwischen sind die Phishing-Mails von solch authentischer Qualität – teilweise sogar mit persönlichem Bezug (Spearfishing-Mail) – dass Empfänger nur mit entsprechender Unterweisung und Sensibilisierung den kriminellen Charakter der Nachricht erkennen. Gezielte Suche nach geeigneten Opfern PT-MAGAZIN 6 2021 PT-MAGAZIN 6 2021 irrtümlich-vertrauenswürdige Kontakte überwiesen haben. Bei allen war das Geld am Ende unwiederbringlich weg. Wie können Unternehmen sich vor solchen Angriffen schützen? 1. Management-Aufgabe: technische und organisatorische Maßnahmen Zunächst müssen Firmen ihre organisatorischen Hausaufgaben machen. Dazu gehört, die gesetzlichen Vorgaben umzusetzen, die die DSGVO von jedem Unternehmensverantwortlichen verlangt. Egal, ob es sich um einen Soloselbständigen, ein DAX-Unternehmen oder eine kritische Infrastruktur wie ein Kreiskrankenhaus handelt. Für die Sicherheit der IT insgesamt betrachten Unternehmen natürlich nicht nur die personenbezogenen Daten, die die DSGVO in Schutz nimmt, sondern alle vorhandenen Informationen, wie zum Beispiel Patente oder Pläne. Verantwortliche machen sich daher Gedanken darüber, mit welchen allgemeinen Maßnahmen sie den Schutz der Daten sicherstellen können. Bewährt hat sich dabei eine Aufteilung in Vertraulichkeit. Darunter fallen: • Zutrittskontrolle von Büroräumen / Serverraum physisch vor unberechtigtem Zutritt • Zugangskontrolle der IT-Systeme vor unberechtigtem Zugang • Zugriffskontrolle – Sicherstellung, dass Mitarbeiter nur die für sie relevanten Daten einsehen • Trennungskontrolle – Daten verschiedener Kunden nicht vermischen • Pseudonymisierung – durch technische Maßnahmen die Daten so speichern, dass ein Personenbezug nicht direkt ersichtlich ist. Inhaber, Führungskräfte oder der Vorstand überlegen sich darüber hinaus gemeinsam mit den IT-Verantwortlichen, wie sich Datenintegrität (Richtigkeit der Daten) und Datenverfügbarkeit (z.B. bei Stromausfall) sicherstellen lassen. Diesen IT-Sicherheit-Basisschutz muss jedes Unternehmen und jeder Soloselbständige mit Augenmaß umsetzen. Es ist nicht notwendig, Unsummen an Geld für technische IT- Sicherheit oder IT-Dienstleistungen auszugeben. Wichtig ist ein angepasstes Konzept, das Datenschutz- und IT- Anforderungen ausreichend würdigt. 2. Mitarbeiter ins Boot holen Der größte Schwachpunkt für die IT- Sicherheit ist und bleibt der Mensch. In diesem Fall die Mitarbeiter, die täglich mit Daten arbeiten. Bei den genannten Social-Engineering-Angriffen und Phishing-Mail-Attacken wählen die Hacker ganz gezielt dieses schwächste Glied in der Kette aus. Daher ist es so wichtig, dass Chefs ihre Mitarbeiter durch Schulungen sensibilisieren. Hand aufs Herz: Wann haben Sie Ihr Team das letzte Mal in IT-Sicherheit und Datenschutz geschult? Sind überhaupt alle im richtigen Umgang unterwiesen? Führungskräfte sollten ihre Mitarbeiter am besten jährlich zu einer Weiterbildung in diesem Bereich verpflichten. Auch unregelmäßige Testaktionen helfen. Es gibt zum Beispiel die Möglichkeit für geplante Phishing-Simulationen. Hierbei bekommen Mitarbeiter fingierte Spam-E- Mails in den Posteingang. Wer die Mails öffnet, landet auf einer Lernwebsite. 3. Back-up-Strategie: einführen und austesten Egal, welche Panne – ob Hackerangriff, Stromausfall oder Technikversagen: Unternehmen benötigen unbedingt ein zuverlässiges Back-up-System mit genügend Datensicherungen. Dazu gehören tagesaktuelle Sicherungen, Wochensicherungen, Monatssicherungen, eventuell sogar Jahres-Back-ups. Führungskräfte sollten sich hier gemeinsam mit dem IT-Verantwortlichen eine individuelle Strategie überlegen. Dabei sollten beide berücksichtigen, dass eventuell auch in den Back-ups ein Schadcode enthalten sein kann. Leider versäumen viele zudem, die Back-up- Einspielung regelmäßig zu testen. Wer nicht ausprobiert, ob sich die Sicherung in verschiedenen Szenarien überhaupt einspielen lässt, steht im schlimmsten Fall vor einem Scherbenhaufen. 4. Plan B: Notfallkonzept für IT und Datenschutz Apropos Notfall: Egal, was Unternehmer einrichten, planen und wie viel sie schulen und vorsorgen – einen 100-prozentigen Schutz vor Angriffen gibt es nie. Die Führungsriege sollte sich also ein klares Notfallkonzept überlegen. Was ist zu tun, wenn die Systeme längere Zeit nicht zur Verfügung stehen? Der Strom länger ausfällt? Oder die Büros wegen Brand, Hochwasser etc. nicht mehr genutzt werden können? Wenn es einmal zu einer kritischen Phase kommt, werden diese Vorabüberlegungen viel Zeit, Geld und Nerven sparen. Letzter Tipp für den Worst-Case: Prüfen Sie den Abschluss einer Cyberversicherung. ó Achim Barth kennt sie alle – die Gefahren der Datenspinne, die Tricks der Datenräuber, aber auch zuverlässige Wege, wie jeder seine Privatsphäre im Netz schützen kann. Ist Ihre Webseite sicher? Kostenloser Website-Scan: https://barth-datenschutz.de/ lp/dsgvo-compliance-check/ Über den Autor Eine weitere Strategie nennt sich Social Engineering. Hier arbeiten die Angreifer nicht mehr automatisiert mit Scannern, die wahllos im Internet nach Sicherheitslücken suchen. Die Kriminellen suchen sich vielmehr gezielt ein Opfer aus. Über die Webseite, soziale Medien und Google-Suchen ermitteln sie relevante Informationen über das Unternehmen, zum Beispiel wie der Assistent der Geschäftsführung heißt oder wer die Buchhaltung verantwortet. Durch gezielte Anrufe erschleichen sich die Betrüger weitere Informationen. So ergibt sich für sie ein stimmiges Gesamtbild. Zum passenden Zeitpunkt, zum Beispiel bei Abwesenheit der Geschäftsleitung, folgt dann ein fingierter Anruf bei relevanter Stelle mit der Bitte, dringend einen Betrag X zu überweisen. Diese Überweisung wird so gut begründet, dass schon viele Mitarbeiter mit bestem Wissen und Gewissen hohe Geldbeträge an

Jahrgänge