Schlagwortarchiv für: Cyberkriminalität

Cyber Risiken – für KMU (k)ein Thema?

Cyberkriminalität ein globales Milliardengeschäft. Auch mit Opfern in der Schweiz. Erpressung mittels Verschlüsselungstrojaner und Manipulation von Zahlungsflüssen unter Verwendung von Trojanern sind derzeit beliebte Maschen der Cyberkriminellen, die auf einen schnellen finanziellen Gewinn aus sind. KMUs stellen für Cyberangriffe ein leichtes Ziel dar, da sie dem Thema Daten- und Informationssicherheit oft nicht genug Aufmerksamkeit widmen.

Anfang dieses Jahres wurde publik, dass ein KMU Opfer eines Cyberangriffes wurde. Cyberkriminelle waren mittels Schadsoftware in das Netzwerk der Firma eingedrungen. Sie gaben im Namen des Unternehmens Zahlungen in der Höhe von 423’000 Franken über verschiedenen Banken in Auftrag. Nur verschieden nachgelagert Sicherheitsmechanismen bei den involvierten Banken verhinderten einen Totalverlust und hohen finanziellen Schaden.

Dieses Ereignis zeigt, welche Gefahren für KMUs durch Cyberangriffe ausgehen – verursacht durch einzelne Hacker oder professionelle kriminelle Organisationen. Das Management eines KMUs steht vor der Herausforderung sicherzustellen, dass sie die Bedrohung für das Unternehmen versteht und die richtigen Massnahmen sowie Prioritäten setzt. Dies ist, angesichts der Komplexität der Technologie und durch das Tempo der Veränderung welcher sie unterworfen ist, keine leichte Aufgabe. Für Nicht-Spezialisten in diesem Gebiet ist es oft schwierig, zu verstehen wie sie mit der Thematik umgehen sollen und wie sie sich auf die wesentlichen Massnahmen konzentrieren können.

Das Verständnis der Bedrohung sowie die Art des Angriffes sind jedoch zentral, um eine essentielle Voraussetzung zur Beurteilung zu schaffen und Aussagen darüber zu treffen, inwieweit die Organisationen ein Ziel für solche kriminellen Handlungen sind.

Was ist Cyberkriminalität und wer sind die Täter?
Unter Cyberkriminalität versteht man Straftaten unter Ausnutzung elektronischer Infrastruktur, welche bei Unternehmen materielle oder auch immaterielle Schäden verursacht. Der Begriff deckt ein breites Spektrum von Zielen und Angriffsmethoden ab. Das Verstehen von Tätern, also deren Motivation, Organisation und Auftraggeber sowie die Art der Durchführung solcher Angriffe sind unerlässlich für effektive Massnahmen gegen Cyberkriminalität.

Ein wesentlicher Teil analoger Straftaten, die einen direkten Vermögensvorteil zum Ziel haben, verschiebt sich in die digitale Welt – das heisst, dass sich diese im Internet abspielen. Verbrechen geschehen nicht mehr nur im Rahmen krimineller Strukturen, sondern jederzeit und überall. Genaue Zahlen zu Meldungen und Verurteilungen von Cyberdelikten gibt es aufgrund einer hohen Dunkelziffer zwar nicht, doch ausgehend von aktuellen Entwicklungen wird die Bedeutung von Cyberkriminalität weiter zunehmen. Dass das Ziel solcher Aktivitäten nicht nur auf grosse Unternehmen beschränkt, sondern auch kleinere Unternehmen betroffen sind, zeigt das eingangs erwähnte Beispiel.

Das Verständnis für Cyber Risiken
Cyber Risiken sind eine grosse und vielfältige Herausforderung für die Führung von Unternehmen. Die Entschuldigung, die Verantwortung den Experten zu überlassen, soll dabei nicht gelten. Es ist wichtig und unerlässlich, dass die Unternehmensführung das Unternehmen in den folgenden Bereichen lenkt und verantwortet:

  1. Zuteilung von Ressourcen, um Cyber Security betreiben zu können
  2. Eine unternehmensweite Governance, welche risikobasierte Entscheidungsfindung erlaubt
  3. Eine Unternehmenskultur in der jeder um seine Verantwortung weiss

Unternehmen können die Risiken für ihr Geschäft durch den Aufbau von Kapazitäten in den folgenden drei kritischen Bereichen reduzieren: Prävention, Erkennung und Reaktion.

Prävention: Beginnt mit der Governance und Organisation des Unternehmens. Es geht neben strategischen und taktischen auch um technische Massnahmen, einschliesslich der Verantwortung für den Umgang mit Cyber Security innerhalb der Unternehmung sowie Sensibilisierungsmassnahmen für die Schlüsselmitarbeiter.

Erkennung: Durch die Überwachung von kritischen Ereignissen und Sicherheitsvorfällen, kann ein Unternehmen seine Erkennungsmassnahmen stärken. Überwachung und Aufzeichnung von Daten bilden zusammen ein ausgezeichnetes Instrument, um auffällige Muster im Datenverkehr zu erfassen und den Ort der Angriffe zu lokalisieren.

Reaktion: Bezieht sich auf die Aktivierung eines Plans, sobald ein Angriff stattfindet. Bei einem Angriff sollte die Unternehmung in der Lage sein, die betroffene Technologie sofort zu deaktivieren. Bei der Entwicklung einer Reaktion und dem Wiederherstellungsplan, sollte eine Unternehmung Informationssicherheit als kontinuierlichen Prozess etablieren und nicht als eine einmalige Aktivität ansehen.

Die 5 grössten Irrtümer im Zusammenhang mit Cyber Sicherheit bei KMUs

Irrtum 1: “100% Sicherheit”
Die Entwicklung eines Bewusstseins, dass es 100 Prozent Schutz vor Cyberkriminalität gibt. Dies ist weder machbar noch ein geeignetes Ziel. Es ist aber ein wichtiger Schritt auf dem Weg zu einer effektiven Sicherheitspolitik die es dem Unternehmen erlaubt, Entscheidungen über sein Abwehrdispositiv zu machen. Wirksame Abwehrmassnahmen setzen auf dem Verstehen der Bedrohung (d.h. der Täter und Ihrer Tathandlungen) auf. Diese beinhalten Massnahmen in Bezug auf organisatorische Schwachstellen (Prävention), die Implementierung von Mechanismen, um drohende oder tatsächliche Vorfälle (Erkennung) zu erfassen sowie die Fähigkeit auf Vorfälle (Reaktion) sofort zu reagieren zu können, um Verluste zu minimieren.

Irrtum 2: “Wir investieren in die Sicherheit in dem wir die besten erhältlichen Sicherheitstools implementieren”
Das Thema Cyber Security wird auf dem Markt durch spezialisierte Anbieter von technischen Sicherheitsprodukten geprägt. Diese Werkzeuge sind für die Basissicherheit unerlässlich und müssen in die IT-Architektur integriert werden. Sie sind aber nur ein Teil und nicht die Grundlage einer ganzheitlichen und robusten Cyber Security-Politik. Die Investition in technische Hilfsmittel sollte eine Massnahme und nicht der Treiber der Cyber Security-Strategie sein. Es ist wichtig, dass Führungskräfte Verantwortung für den Umgang mit dieser Herausforderung übernehmen. Die Technologie allein kann in dieser Hinsicht nicht helfen. Sie müssen auch bereit sein Mitarbeiter zu schulen, um das Bewusstsein für die Bedrohung durch Cyberangriffe zu fördern.

Irrtum 3: “Unsere Abwehrmassnahmen reichen gegen Angriffe der Hacker aus”
Die Bekämpfung von Cyberkriminalität ist ein markantes Beispiel für einen nicht zu gewinnenden Wettlauf. Die Angreifer sind bei der Entwicklung neuer Methoden und Technologien gegenüber den Verteidigern immer einen Schritt voraus. Aber ist es wirklich sinnvoll in Abwehrmassnahmen zu investieren, um mit den immer raffinierter werdenden Werkzeugen der Angreifer Schritt zu halten? Ja, es ist wichtig den präventiven Ansatz und die damit verbundenen Abwehrmassnahmen auf dem neuesten Stand zu halten, um so einen Einblick in die Absichten der Angreifer und deren Methoden zu erhalten. Das Management muss den Wert der Informationen im Unternehmen und die Implikation bei einem Verlust dieser auf das Kerngeschäft verstehen.

Die Cyber Security-Strategie und -Politik braucht es, um Investitionen in diesem Bereich zu priorisieren, anstatt zu versuchen alle Risiken abzudecken. Kurz gesagt, sollte das Management sich der neuesten Techniken bewusst sein, diese aber risikobasiert und gezielt gegen ihre Bedrohungen einsetzen.

Irrtum 4: “Überwachung ist alles”
Nur Unternehmen die in der Lage sind externe Entwicklungen und Trends zu verstehen und diese Erkenntnis nutzen, um die Sicherheitspolitik und -strategie anzupassen, sind auf lange Sicht in der Prävention erfolgreich. Die Praxis zeigt, dass Cyber Security stark von der Compliance getrieben wird. Dies ist verständlich, denn viele Unternehmen müssen eine Reihe von Gesetzen und Vorschriften erfüllen. Allerdings ist es kontraproduktiv, die Compliance alleine als das ultimative Ziel der Cyber Security-Politik zu sehen.

Irrtum 5: „Wir stellen die besten Experten an, um uns gegen Cyberkriminalität zu schützen”
Cyber Security wird oft als Verantwortung einer Fachabteilung von Informationssicherheitsexperten gesehen.
Diese Denkweise kann ein falsches Gefühl von Sicherheit hervorrufen. Die eigentliche Herausforderung ist, Cyber Security zu einem Mainstream-Ansatz zu machen. Dies bedeutet, dass Cyber Security ein Teil der organisationsweiten Vorgaben und Richtlinien wird. Dies bedeutet aber auch, dass Cyber Security als eine zentrale Funktion bei der Entwicklung neuer IT-Systeme einbezogen wird und nicht wie häufig der Fall, erst am Ende solcher Projekte um ihre Zustimmung angefragt wird.

Zusammenfassung
Das Thema Cyber Security muss auf jeder Management-Agenda eines KMUs stehen. Alle Steakholder; der Verwaltungsrat, die Aktionäre und die Kunden erwarten, dass das Unternehmen dieser Herausforderung genügend Aufmerksamkeit schenkt. Die Unternehmensleitung muss also in der Lage sein, bei der Umsetzungen von Cyber Security die richtigen Fragen stellen zu können, um so durch die Komplexität des Themas zu navigieren und damit das Vertrauen aller Beteiligten zu gewinnen.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Januarausgabe: Wird Cybersecurity unterschätzt?

Eine besondere Stärke der Schweiz ist das stark ausgeprägte Prinzip der Selbstverantwortung, Dementsprechend gilt auch im Bereich Cyber-Gefahren: Jede und jeder muss sich selber schützen, jede Organisation ist für den eigenen Schutz verantwortlich. Das ist gut so!

Das Problem ist nur: so einfach ist das nicht und auch nicht immer leicht zu finanzieren. Vor allem aber: Jede Selbstverantwortung geht einher mit der Mitverantwortung für andere. Wer sich nicht selber schützt, bringt andere in Gefahr – egal ob er mit diesen direkt kommuniziert oder sie allenfalls gar nicht kennt.

Die Mitverantwortung für andere ist nur eines der Grundprobleme. Ein anderes ist, dass Cybersecurity nicht nur technische und mathematische Kompetenz verlangt, sondern zusätzlich ein ganzes Bündel anderer Kompetenzen: organisatorische, regulatorische, kommunikative und natürlich auch soziale Kompetenzen. Deshalb ist eine der bemerkenswertesten Innovationen, dass Hochschulen versuchen Nerds soziale Kompetenzen beizubringen und sie management- und karrieretauglich zu machen, beispielsweise in Australien. Ziel ist, Cybersecurity-Manager zu haben, die hohe Sachkompetenz besitzen!

Ein drittes Grundproblem stellt die Koexistenz verschiedener Paradigmen dar. Es werden geschlossene Produktionszyklen und zugleich offene Informationszirkel angestrebt. Freunde sind auch Feinde. Ende-zu-Ende Verschlüsselung ist wichtig und löst trotzdem die Probleme nicht. Es sind gleichzeitig proaktives und reaktives Sicherheitsmanagement gefragt. Und in der praktischen Umsetzung braucht es beides: geschickte Schlamperei in den Formulierungen und präzises logisches Denken, nur bei verschiedenen Gelegenheiten. Wir haben es mit komplexen Problemen zu tun, die machbare einfache Lösungen verlangen – und in denen ein mathematischer Denkfehler fatale Folgen für viele haben kann.

Deshalb ist es notwendig den öffentlichen Diskurs über einige Grundsatzfragen zu führen, lieber heute als übermorgen. Erstens, was ist die Verantwortung der öffentlichen Hand, der Unternehmen und von uns als Individuen in Bezug auf die IT-Nutzung? Wer hat welche Rolle? Wer hilft wem? Wie kann man die Quadrupel Helix etablieren? Zweitens und als spezielles Thema, wie schützen wir unsere nationale Dateninfrastruktur, die die Basis dafür ist, dass die Verwaltung als Plattform zum Lösen der gesellschaftlichen Probleme funktionieren kann? Drittens, wie schaffen wir die Voraussetzungen, dass alle Akteure proaktiv und reaktiv so handeln können, dass sie selber und wir als Gesellschaft möglichst gut geschützt sind? Welche Massnahmen zur Regulierung und zur besseren internationalen Zusammenarbeit sind sinnvoll? Wie erreichen wir, dass das Wissen über Gefahren und Schutzmöglichkeiten sich in unserer Gesellschaft möglichst gut verbreitet?

Zusätzlich zum öffentlichen Diskurs ist es wichtig, Forschung zu betreiben und insbesondere in der angewandten Forschung mit den Angreifern Schritt zu halten. Auch wenn bei den heutigen Cyber-Weltmächten gar keine bösen Absichten bestehen, müssen wir uns trotzdem selber verteidigen können. Das gelingt umso besser, wenn man im ganzen Innovationsökosystem mit zur Weltspitze gehört – von der Grundlagenforschung bis zum Design der Reaktionen auf Vorfälle.

Niemand kann sagen, ob wir die Cybergefahren richtig einschätzen. Und wir alle haben ein wenig Angst, ganz öffentlich darüber zu sprechen, weil die Gefahr gross ist, dass das Vertrauen in die Institutionen untergraben wird. Aber so lange wir nur in uns Hineinmurmeln, wenn gefragt wird, ob wir Backdoors nutzen oder schliessen sollten, sind wichtige Fragen ungeklärt. Das gleiche gilt für die inhaltliche Frage, welche fachlichen Kompetenzen denn der Staat haben muss, um Akteure so ausspähen zu können, dass Verbrechen verhindert werden, ohne dass das Leben von Unschuldigen schwer beschädigt wird, die dummerweise die falschen Daten haben.

Ich meine, wir müssen über all das reden – über fachliche, ethische und politische Grundfragen rund um Cybersecurity. Ich wünsche Ihnen eine nützliche Lektüre der Januarausgabe, verteilt über den ganzen Monat!

Herzlichst,

Ihr Reinhard Riedl

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.