Cyberangriffe gehören heute zu den größten Geschäftsrisiken weltweit. Jedes zweite Unternehmen ist bereits einmal Opfer eines Cyber-Angriffs geworden. Grund genug für den Industrie- und Handelsclub OWL, das Thema Datensicherheit in seiner neuen Reihe „Megatrends und Zukunftsthemen“ auf die Tagesordnung zu nehmen.
Eine Kurzumfrage von Moderator und IHC-Vizepräsident Christoph Mohn ergab, dass auch 41 Prozent der rund 100 Teilnehmenden der Online-Diskussionsveranstaltung mit ihren Unternehmen schon Opfer von Cyberkriminellen wurden. Unternehmen versuchen dementsprechend intensiv, sich gegen Angriffe von Hackern zu schützen – trotzdem nimmt die Anzahl erfolgreicher Hacks immer weiter zu.
Um solche Angriffe zu verstehen und sich besser dagegen schützen zu können, infiltrieren Experten von Sicherheitsfirmen wie der Code White GmbH Firmen in deren Auftrag mit den realen Methoden echter Profi-Hacker. „Ich bin Auftragshacker im Sinne der Unternehmen“, stellte sich Code White-Geschäftsführer David Elze, damit folgerichtig den Teilnehmenden vor. Zwar schützten sich viele Firmen durch IT-Sicherheitsmaßnahmen wie Firewalls, Passwörtern und Datenschutzregelungen. Das sei jedoch nur eine „gefühlte Sicherheit“, so Elze, die nicht unbedingt vor einem echten Angriff schütze.
Die Hacker, so der Experte, suchen nach Eintrittsmöglichkeiten und kundschaften die verwendete Firmen-Software aus. Neben zu einfach gewählten Passwörtern und Phishing (Beschaffung persönlicher Daten wie Passwort oder Kreditkartennummern mit gefälschten E-Mails oder Websites) nutzen die Eindringlinge auch „Zero Day Exploit Attacks“. Das sind Angriffe, die am selben Tag erfolgen, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software entdeckt wird und bevor sie vom Softwarehersteller behoben werden kann.
Sei es den Angreifern erst einmal gelungen, das interne System eines Unternehmens zu infiltrieren, blieben sie im Durchschnitt rund drei Monate unentdeckt, wenn sie sich ruhig verhielten, so Elze. „Einmal eingedrungen, sind ihnen praktisch alle Bereiche zugänglich.“ Dabei gehe es den Hackern meist weniger um Firmengeheimnisse, sondern um digitale Erpressung. Sie verlangen Lösegeld, für die von ihnen gekaperten Daten. Laut Elze sind davon alle Firmen, „egal wie groß oder klein sie sind“, betroffen. „Wenn es gut gemacht ist“, so Elze, „ist es später unmöglich, die Täter zurückzuverfolgen“.
Neben Mitarbeiterschulungen und technischen Lösungen, hielt Elze am Schluss seines Vortrags drei Tipps bereit: Zum einen sei IT-Sicherheit aufgrund ihrer Tragweite „ein Business-Thema“ für die Geschäftsführung und organisatorisch auch hier anzusiedeln. Zweitens sollte man bei Schutzmassnahmen immer im Auge behalten, dass der Angreifer es schaffen kann, ins Unternehmen einzudringen. Darum sei eine zusätzliche klassische Offline-Sicherung der Daten immer eine gute Lösung. Als drittes empfahl David Elze die „Zero trust“-Strategie, was mehrstufige Authentifizierungen für Zugriffe auf bestimmte Bereiche bedeutet.
Trotz der immer besser werdenden Sicherheitssoftware mache der Mensch im Unternehmen den entscheidenden Unterschied: „Gute und aufmerksame IT-Mitarbeiter, die Anomalien im System schnell bemerken, schützen besser als nur Anti-Viren-Programme“, stellte David Elze zusammenfassend fest.