Cyberangriffe sind eine der größten Herausforderungen, die sich Unternehmen inzwischen stellen müssen. Deshalb ist es umso wichtiger, dass diese in allen Bereichen auf eine erhöhte Cybersicherheit und eine Sensibilisierung der Mitarbeiter setzen.
Inhaltsverzeichnis
Cyberangriffe nehmen zu – Deutschland belegt Spitzenplatz
Im Jahr 2021 waren laut einem Bericht 46 % der deutschen Unternehmen von mindestens einem Cyberangriff betroffen. International waren es 43 %, womit Deutschland knapp über dem Durchschnitt liegt. Die Kosten für solch einen Angriff lagen im Durchschnitt bei 21.818 Euro; Deutschland nimmt damit den ersten Platz ein. International lag die Durchschnittssumme „nur“ bei 11.944 Euro. Vielleicht liegt es daran, dass auch die teuerste Einzelattacke, die Kosten von 4,6 Millionen verursachte, ein Unternehmen in Deutschland traf.
Eine Cyberattacke auf den deutschen Essenslieferanten Apetito machte kürzlich Schlagzeilen und legte dessen IT-Systeme lahm, wodurch das Unternehmen viele Küchen nicht beliefern konnte. Auch wenn Apetito keine genauen Angaben zu dem Angriff machte, ist dies ein klassisches Beispiel für das Vorgehen der Hacker. Oft kommt es dann zu Lösegeldforderungen, damit Blockaden von Systemen wieder aufgehoben werden. Nicht nur die großen Unternehmen kann es treffen, sondern auch die kleineren, selbst wenn bei Unternehmen mit Millionenumsätzen finanzielle Interessen einen weiteren Anreiz für die Kriminellen bieten.
Sicherheitsrisiko öffentliches WLAN-Netzwerk
Die Pandemie hat Cyberattacken ansteigen lassen, denn mehr Mitarbeiter arbeiteten im Homeoffice und tun es vermehrt immer noch. Vor allem in Deutschland waren viele Unternehmen technisch nicht darauf vorbereitet, was auch mögliche Risiken der Cybersicherheit mit einschließt. Denn jeder Mitarbeiter, der im Homeoffice arbeitet, kann ohne entsprechende Maßnahmen eine Sicherheitslücke darstellen. Vielleicht nutzt er seinen privaten PC für die Arbeit, der nicht ausreichend geschützt ist. Oder er nimmt die Arbeit gar mit in den öffentlichen Raum und nutzt dafür ein öffentliches WLAN-Netzwerk. Ein öffentlicher Internet-Hotspot ist oftmals unzureichend oder gar nicht gesichert. So kann jeder, der sich in diesem Netzwerk befindet, schon mit einfachen Hackerkenntnissen deine Daten abfangen.
Ein VPN als wichtiges Sicherheitstool
Viele Unternehmen setzen bereits auf ein VPN (Virtuelles Privates Netzwerk), und auch im privaten Bereich ist ein solches zu empfehlen. Ein VPN ist ganz allgemein ausgedrückt eine Netzwerkverbindung, die von Unbeteiligten nicht einsehbar ist. Wenn du mit dem VPN eine Website besuchst, bleiben deine Informationen sicher. Denn während du mit einem VPN-Server verbunden bist, erhältst du dessen IP-Adresse. Im Unternehmensbereich dient ein VPN als Sicherheitslösung, die einen Tunnel zwischen den Ressourcen des Unternehmens und den Mitarbeitern, die darauf zugreifen, herstellt. Es können dann nur Mitarbeiter, die mit den VPN-Servern verbunden sind, auf Unternehmensressourcen im Netzwerk zugreifen. Da dieser Tunnel durchgängig verschlüsselt ist, müssen sich Unternehmen keine Sorgen über unerwünschte Zugriffe oder Einblicke in ihr Netzwerk machen.
Gefahr durch Phishing
Eine weitere Bedrohung der Cybersicherheit lauert in Phishing-Versuchen. Dabei handelt es sich um Versuche, über gefälschte Webseiten, E-Mails oder Textnachrichten sensible Informationen der Opfer zu stehlen. Die Webseiten und Nachrichten sehen dabei täuschend echt aus, und zugleich versuchen die Cyberkriminellen ihre Ziele emotional zu manipulieren, zum Beispiel durch Angst oder Hoffnung („Sie haben gewonnen, bitte hier klicken“), was auch als Social Engineering bezeichnet wird. Im Unternehmensbereich sind oft die Vorgesetzten im Visier, was als Whaling (die Jagd nach dem großen Fisch) bezeichnet wird. Die Hacker versuchen, die Führungsperson zu ködern und sich Zugang zum persönlichen E-Mail-Konto zu verschaffen. Sie können dann über das Konto Informationen von Mitarbeitern anfordern oder finanzielle Transaktionen tätigen.
Die Nachricht kann aber genauso gut von außerhalb stammen und an die Mitarbeiter des Unternehmens gerichtet sein. So könnte der vermeintliche Telefonanbieter dich kontaktieren, dass du bestimmte Daten erneut bestätigst. So geschehen in Österreich, als Unbekannte E-Mails von der Telekom fälschten und die Kunden baten, wegen angeblicher System-Upgrades ihre Daten zu aktualisieren. Es wird für Unternehmen immer wichtiger, ihre Mitarbeiter für solche Cyberattacken zu sensibilisieren. Auch wenn Phishing-Versuche immer raffinierter werden, gibt es Möglichkeiten, sie zu erkennen.
Phishing-Versuche lassen sich vorbeugen
Als wichtigste Regel gilt, stets misstrauisch zu sein, sowohl bei E-Mails von bekannten als auch von unbekannten Absendern. Passt der Schreibstil zum Absender? Sind ungewöhnlich viele Rechtschreibfehler enthalten? Wenn du Zweifel hast, frage beim Absender lieber nach, ob die Nachricht tatsächlich von ihm stammt. Öffne vorher auf keinen Fall unbedarft Anhänge oder klicke auf Links zu Webseiten!
Passwort-Sicherheit
Passwörter sind ebenfalls ein unerlässlicher Bestandteil des Arbeitsalltags in einem Unternehmen, aber leider oft einer der Schwachpunkte. Überlässt das Unternehmen den Mitarbeitern gänzlich die Aufgabe, Zugangsdaten selbst festzulegen, kann sich ein ähnliches Bild wie im privaten Bereich ergeben: die Mitarbeiter wählen viel zu schwache Kennwörter. Sinnvoll könnte es daher für Unternehmen sein, die Zugangsdaten im Unternehmen mithilfe eines Passwort-Managers zu verwalten. Damit werden automatisch starke Kennwörter vergeben, und das Unternehmen kann festlegen, wer welche Berechtigungen erhält.
Zwei-Faktor-Authentifizierung
Immer häufiger gibt es die sogenannte Zwei-Faktor-Authentifizierung (2FA oder auch MFA), und auch im Unternehmensbereich kann damit Betrugsversuchen vorgebeugt werden, vor allem in sensiblen Bereichen wie der Finanzbuchhaltung. Damit wird verhindert, dass Cyberkriminelle mit gestohlenen Zugangsdaten unmittelbaren Zugriff auf Funktionen haben, die zu direkten finanziellen Schäden führen können.