Fast Fast Forward

Hacker, Betrüger und Datenmissbrauch

Wie sich Unternehmen vor Cyber-Kriminalität schützen können

Wie sich Unternehmen vor Cyber-Kriminalität schützen können

By

Unsere Abhängigkeit vom Netz

Immer mehr Unternehmensprozesse werden über die Cloud abgewickelt. Damit steigt die Abhängigkeit. Wenn wir von der Cloud reden, meinen wir meistens mehr als externe Server. Es ist vielmehr eine Beschreibung für die Datenströme und Vernetzungen, die nicht mehr in der Hand des Unternehmens liegen, sondern bei denen man abhängig ist von einer Vielzahl von Dienstleistern, mit denen häufig gar kein direktes Geschäftsverhältnis besteht.

 

Dabei geht es immer weniger um Websites und dafür verwendete Daten. Es geht um Datenumgebungen – von mobilen Endgeräten über vernetzte Autos, Gebäude, Fabriken, Maschinen.

 

Seit 2009 benutzen Hacker die Suchmaschine Shodan, um sich über mit dem Netz verbundene Geräte und Dienste illegalen Zugang zu verschaffen zu Unternehmenszentralen, Banken, Gebäuden aller Art, Hotels, Konferenzzentren.

 

Im „Internet der Dinge“ scheint nichts mehr sicher, denn Unternehmen wissen selbst gar nicht mehr, wie und mit wem sie vernetzt sind. Nicht einmal die Firmen, die die Entwicklung des Internets maßgeblich vorantreiben, wie Google, Apple, eBay, sind immun gegen Angriffe.

 

Der kriminelle Hacker

In den letzten Jahren haben kriminelle Hacker tausende von Viren, Trojanern und Schadprogrammen verbreitet. Betroffen waren Unternehmen, Verwaltungen, Regierungen, aber auch hunderttausende von privaten Nutzern. Gestohlen wurden Kreditkarteninformationen, Unternehmensdaten, Entwicklungspläne, Verbraucherprofile und vieles mehr. 

 

Besorgt um Angriffe auf kritische Teile der Infrastruktur, hat die EU-Kommission vorgeschlagen, dass alle Betreiber wichtiger Infrastruktur Cyber-Attacken einem zentralen Register melden, so dass Regierungen über Angriffe informiert sind und Gegenmaßnahmen ergreifen können.

 

Die Deutsche Telekom ist bereits dazu übergegangen, elektronische Fallen aufzustellen, sogenannte Honigtöpfe, die vortäuschen, sensible Daten zu enthalten. In Wirklichkeit sind sie jedoch vollkommen isoliert, so dass Unternehmen überwachen können, wer versucht, sich illegal Zugang zum Unternehmensnetz zu verschaffen. Die Zahlen sind erschreckend. Die Deutsche Telekom zählt 800.000 Angriffe – pro Tag.

 

Nicht alle Attacken führen zu Datenverlusten. Doch dem IBM Poneman Cyber Report 2014 zufolge ist rund ein Fünftel aller Unternehmen alle zwei Jahre von einem Angriff betroffen, bei dem jeweils bis zu 100.000 Datensätze gestohlen werden.

 

Datenschutzverletzungen oder Datenverluste werden häufig von den betroffenen Unternehmen gar nicht bemerkt. Nur 1% alle Fälle wird entdeckt, und häufig ist es dann schon zu spät, um den Verlust von Daten zu verhindern.

 

Die spektakulären Cyber-Attacken dominieren die Medienberichterstattung über Hacker. Dabei wird von vielen Unternehmen übersehen, dass nur 40% aller Verstöße oder Angriffe auf das Konto externer Hacker gehen; bei 30% aller Verletzungen von Datenschutzvorschriften sind Mitarbeiter oder externe Dienstleister die Ursache.

 

Unbeabsichtigtes Hacking

Oft steht gar keine Absicht dahinter. Das Smartphone, mit dem sich der Mitarbeiter auf dem Unternehmensserver einloggt, hat eine Malware, also ein Schadprogramm, und schon ist es passiert. Zwei Millionen dieser Schadprogramme sind im Netz unterwegs. Wenn die Unternehmens-IT dann bei Schutz- und Antiviren-Programmen nicht auf dem letzten Stand ist, bedarf es gar nicht böswilliger Hacker, um Schaden anzurichten.  

 

Outsourcing und verzweigte Dienstleistungsketten erhöhen das Risiko

Nachlässigkeit bei der IT-Sicherheit ist schon bei den eigenen Mitarbeitern schwer zu kontrollieren. Noch schwerer ist es bei externen Dienstleistern, auf die Unternehmen beim Cloud-Computing immer stärker zurückgreifen oder angewiesen sind. Oft fällt es Unternehmen schwer, alle Dienstleister auf einheitliche Sicherheitsstandards zu verpflichten. Denn die Dienstleister, mit denen die Verträge abgeschlossen werden, machen ihrerseits Outsourcing und vergeben Teilaufträge an Dritte weiter. Mit jedem weiteren Glied in der Dienstleistungskette steigt das Risiko.

 

Der privilegierte Hacker

Es gibt das unbeabsichtigte Hacking durch Mitarbeiter, verursacht durch Nachlässigkeit. Aber es gibt auch Mitarbeiter, die ihren Insider-Status und ihre Zugangsberechtigungen bewusst missbrauchen. Gemäss Studien werden 8% aller Vorstöße durch Mitarbeiter begangen, die genau wissen, was sie tun. Externen Hackern geht es primär darum, ein System zu knacken, um dann im zweiten Schritt an geschützte Daten zu kommen. Insider und beauftragte IT-Berater wissen hingegen gleich, wo die sensiblen Daten zu finden sind, egal ob ein neues Designs, geistiges Eigentum, Konto- und Bankverbindungen oder vertrauliche Informationen über Kunden.

 

Diese Art Missbrauch findet man auf allen Hierarchieebenen. Der Vorstand, der einen Memory-Stick mitgehen lässt, ein Ingenieur, der einen Entwurf an seine Privatadresse mailt, Systemadministratoren, die sich als andere User einloggen, Call Center-Mitarbeiter, die sich Kreditkartennummern aufschreiben. Unternehmen brauchen in der Regel sehr lange, um undichte Stellen und Vorstöße aufzudecken.

 

Spionage, Sabotage, Diebstahl: Warum machen Mitarbeiter so etwas? Viele Mitarbeiter wollen sich rächen, besonders wenn sie gefeuert wurden. Der grösste Teil der Vergehen, über 70%, sind aber finanziell motiviert. Mitarbeiter und Berater stehlen Daten, um ihr eigenen Unternehmen zu gründen, um sie an Wettbewerber zu verkaufen oder um es einem möglichen neuen Arbeitergeber als „Mitbringsel“ anzubieten. Rund 80% aller Fälle von Diebstahl geistigen Eigentums ereignen sich im ersten Monat nach dem Ausscheiden eines Mitarbeiters. Unternehmen kann es Jahre an Forschung und Entwicklung kosten, um den Verlust wieder wettzumachen.

 

Hohe Kosten

Datenmissbrauch richtet bei Unternehmen große Schäden an, im Durchschnitt der registrierten Fälle in Höhe von 3,5 Millionen US-Dollar. 2014 verursachte allein eine Cyber-Attacke Kosten von 200 Millionen Dollar. 2013 erbeuteten Hacker auf einen Schlag die Passworte und Usernames von 110 Millionen Kreditkartenkunden. Die Folge: Schäden in Milliardenhöhe. Das sind nur zwei Beispiele dafür, dass die Schadenssummen in der Cyber-Kriminalität schnell ansteigen. 

 

Schäden durch Mitarbeiter oder Insider sind schwer zu beziffern. Das liegt auch daran, dass Unternehmen sie oft gar nicht melden, aus Sorge um ihre Reputation. Häufig geht es auch um den Diebstahl von geistigem Eigentum, dessen Wert nicht eindeutig zu bestimmen ist. Was kostet es einem Unternehmen, wenn ein neues Design gestohlen und kopiert wird? Das kann in die Millionen gehen.

 

Abwehrbereitschaft entsprechend der Bedrohung

Ohne Zweifel wird die Geschäftswelt virtueller und ist immer stärker auf Vernetzung und aufs Internet angewiesen. Damit wachsen die Gefahren von Datenverlust und die Risiken durch Datendiebstahl. Unternehmen müssen sich zunehmend schützen und in der Lage sein, sich zu verteidigen und Angriffe abzuwehren.

 

Entsprechend der wachsenden Gefahr gewinnt es an Bedeutung, in Datensicherheit zu investieren und sich gegen Datenverlust oder vor einem Hackerangriff zu schützen. Hierzu bieten sich Versicherungen an. Doch zeigen Befragungen der Federation of European Risk Management Associations (FERMA), dass 72% der europäischen und 79% der deutschen Firmen keine Versicherung gegen Cyber-Attacken haben. Woran liegt das?

 

Cyber-Risiken sind schwer zu bewerten. Auch hat sich erst mit der Zeit ein Bewusstsein für die Gefahren entwickelt, auf Kundenseite wie auf Versicherungsseite.

 

Viele Cyber-Versicherungen bieten mittlerweile nicht nur weitreichende Deckung im Schadensfall, sondern auch Notfallhilfe einschliesslich 24-Stunden-Hotlines. Wenn es zu einem Störfall kommt, können Versicherungen schnell die Verbindung zu den jeweiligen Experten herstellen: kriminaltechnische Sachverständige, IT-Notfallteams, Experten für die Überwachung von Kredit- und Identitäts-Daten, Rechtsbeistand.

 

Cyber-Policen decken die Kosten für die Wiederbeschaffung von Daten, haften für die Schäden bei Cyber-Erpressung und Datenschutzverletzungen sowie für Notfallmaßnahmen, Computerkriminaltechnik, Krisenmanagement, Krisen-PR und für juristische Hilfe. Cyber-Versicherungen bieten zum Beispiel ebenfalls Absicherung gegen die Schäden durch Betriebsunterbrechungen und übernehmen die Kosten, die durch die standardmäßige Sachversicherung nicht gedeckt sind.

 

Da sich Cyber-Risiken nicht auf einen Teil des Unternehmens beschränken, sondern es als Ganzes betreffen, müssen im Schadensfall die Schadensexperten aus den Bereichen Haftpflicht-, Sach- und Vermögensschadenversicherung eng zusammenarbeiten, um Schäden schnell zu regulieren. 

 

Da die Cloud nicht nur die Geschäftswelt beflügelt, sondern auch die Computerkriminalität, wird eine genaue Risikoanalyse und Gefahrenabschätzung für Unternehmen immer wichtiger. Ein erfahrener Versicherungspartner kann hierbei wertvolle Hilfe leisten, Risiken minimieren und im Schadensfall nicht nur finanzielle Verluste abfedern, sondern auch dabei helfen, dass die Geschäfte mit der geringstmöglichen Unterbrechung weiterlaufen.
 

 

Cyber-Risiken: Die Checkliste

Cyber-Risiken nehmen zu und werden komplexer. Versicherungslösungen von der Stange helfen da wenig. Vielmehr ist eine genaue Analyse und Bewertung der Risiken nötig, damit die Police auch alle Gefahren, denen ein Unternehmen ausgesetzt ist, berücksichtigt.

  1. Unternehmen sollten zunächst ein Cyber-Risk-Mapping machen: wo genau lauern die Gefahren? Wo liegen die internen Schwachstellen, wo die externen? Bei welchen Zulieferern, bei welchen Subunternehmen? Wie gut sind unsere Sicherheitsprotokolle?
  2. Sind die Risiken durchs Risk-Mapping sichtbar gemacht worden, sollten die Eintrittswahrscheinlichkeiten und Kosten im Schadensfall berechnet werden. Die Summe aller Kosten bestimmt die nötige Deckung. Gleichzeitig ist zu untersuchen, wo Risiken gesenkt werden können durch a) interne Systemverbesserung und b) Wechsel der Zulieferer und Subunternehmen.
  3. Inwieweit sind Cyber-Risiken durch die bestehenden Sach- und Haftpflichtversicherungen gedeckt? Gibt es Lücken für den Fall von Betriebsunterbrechungen? Wer deckt die Schäden im eigenen Unternehmen, wer beim Kunden? Je besser das Risk-Mapping, desto genauer können Versicherungen die bestehenden Lücken füllen.
  4. Zu welchem Teil sollen Risiken gedeckt sein, welches Risiko ist man bereit, selber zu tragen? Welcher Selbstbehalt ist zu verkraften?
  5. Sind Risiken definiert und der Selbstbehalt festgelegt, geht es um die Auswahl des passenden Versicherers: Wer bietet die beste Deckung für den besten Preis?

Copyright 1996-2017  XL Group Ltd All Rights Reserved

XL benutzt zwei Arten von Cookies

  1. um die Seite zu betreiben und Ihre Präferenzen festzulegen; und
  2. für Analytics, um die Seite zu präzisieren und benutzerfreudlicher zu gestalten

Die Cookies sammeln keine persönlichen Informationen. Für mehr Informationen zum Einsatz von Cookies, bitte hier klicken. EU-Datenschutzgesetze verlangen Ihre Zustimmung zu unserer Verwendung von Cookies

Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies auf Ihrem Endgerät zu. Für den Fall, dass Sie in Zukunft andere Cookie-Einstellungen bevorzugen, wird Ihnen beim nächsten Besuch dieser Hinweis erneut gegeben.