Mit der Brille des Hackers durch den Alltag – das ist das optimale Vorgehen, wenn es um das Aufdecken von Ransomware-Angriffen und Phishing-Mails im Büroalltag geht. Auf den ersten Blick mag das zugespitzt wirken. Doch es ist angemessen, angesichts der aktuellen Bedrohungslage deutscher wie auch internationaler Unternehmen durch Hackerangriffe: Laut Bitkom belaufen sich die Schäden in der deutschen Wirtschaft, die 2020 durch Ransomware-Angriffe entstanden sind, auf 24,3 Milliarden Euro. In Deutschland landen dadurch Cybervorfälle auf Platz 2 der gefährlichsten Risiken für Unternehmen, wie das diesjährige Allianz Risk Barometer zeigt. Im weltweiten Vergleich belegen sie sogar den 1. Platz. Einen Lösungsansatz verkündete die europäische Sicherheitsinitiative CyberSec4Europe vor Kurzem: Präventive Abwehrmassnahmen sollen künftig verpflichtend in Ausbildungspläne zahlreicher Berufe integriert werden. Denn nur dadurch kann das Gespür der Berufstätigen für Cyber-Risiken bereits frühzeitig geschult werden, was den Hackern die Arbeit erschwert. Wieso die Empfehlung eine gute Idee ist und wie sie zur Sicherheit in Ihrem Unternehmen beitragen kann, erfahren Sie hier.
Cybervorfälle führen die Liste der grössten Sorgen von Unternehmen im weltweiten Vergleich derzeit auf Platz 1 an. Das bestätigt das elfte Allianz Risk Barometer, für das jährlich über 2.650 Experten aus 89 Ländern befragt werden: Mit 44% liegen Cybergefahren auf Platz 1, gefolgt von Betriebsunterbrechungen mit 42% und Naturkatastrophen auf dem 3. Platz mit 25%. Auch die Auswirkungen der Covid-19-Pandemie scheinen die Wirtschaft nicht mehr in dem Ausmass zu belasten, wie es noch vor zwei Jahren der Fall war; sie landen nur noch auf Platz 4.
Wenn eine Erpressungstaktik nicht genügt
In Deutschland sieht die Situation ähnlich aus: Zwar fürchten sich Unternehmen mit 55% am meisten vor Betriebsunterbrechungen, jedoch dicht gefolgt von Cybervorfällen mit 50% auf Platz 2. Ausschlaggegend sind die ungewöhnlich hohe Zahl von Ransomware-Angriffen im vergangenen Jahr, bei denen Unternehmensdaten verschlüsselt und so zur Erpressung genutzt werden, sowie das Auftauchen weiterer besorgniserregender Hacker-Trends. So wenden die Kriminellen immer häufiger eine doppelte Erpressungstaktik an, bestehend aus der Verschlüsselung von Systemen und einem Datendiebstahl. Problematisch sind dabei vor allem die niedrigen Einstiegshürden für Hacker – Ransomware-Software ist preiswert, benutzerfreundlich und zulasten der betroffenen Unternehmen profitabel. Immer mehr Unternehmen verbessern daher ihre Sicherheitsvorkehrungen und arbeiten Notfallpläne aus, um im Falle von Geschäftsausfällen oder Datenlecks weiter handlungsfähig zu bleiben.
Ein Lösungsansatz: Hackerabwehr ab sofort Teil der Ausbildung
Angesichts der steigenden Anzahl von Cybervorfällen sprach sich die europäische Sicherheitsinitiative CyberSec4Europe kürzlich für eine Überarbeitung des Ausbildungsrahmens für Anwendungsbereiche aus. Das Ziel des Forschungs- und Innovationspilotprojektes: Die Stärkung, Entwicklung und Steuerung der Cybersicherheitskapazitäten, die für die Sicherung und Aufrechterhaltung der europäischen Demokratie und der Integrität des digitalen Binnenmarktes erforderlich sind. Sie soll über das Technikverständnis hinaus gehen und gezielt künftige Berufstätige wie Sekretariatskräfte oder Bürokaufleute zu den Themen Cybercrime, Schadsoftware, Spam und Co. schulen. Je früher Mitarbeiter erlernen, wie Hacker denken und handeln, desto höher die Sensibilität für deren Machenschaften und das Gefahrenbewusstsein. Mit der Folge, dass Mitarbeiter in ihren Unternehmen aufmerksam agieren und damit eigenverantwortlich zur Sicherheit im Unternehmen beitragen. Langfristig kann dadurch die Erfolgsquote der Cyberangriffe gesenkt werden.
Security education für bestimmte Anwenderbereiche
Denn während Universitäten eine Vielzahl an spezifischen Studiengängen für Sicherheitstechnik oder Kryptographie anbieten, fehlt es an Security Awareness Training für bestimmte Anwendungsbereiche. Darunter fallen etwa Arztpraxen und Krankenhäuser, die täglich mit sensiblen Patientendaten hantieren, sowie jegliche Industrie- und Handwerksbetriebe, die sich nur selten im Fokus von gezielten Hackerangriffen sehen. Doch der Schein trügt, denn die Unternehmensgrösse ist den Cyberkriminellen selten wichtig. Es geht vielmehr darum, in möglichst kurzer Zeit bei einer grösstmöglichen Personenanzahl ein hohes Schadenspotenzial zu bewirken.
Starke Sicherheitsbarrieren dank Ethical Hacker
Doch auch der Einsatz von Ethical Hackern findet in Unternehmen immer mehr Anklang. Dabei werden Experten für Computersicherheit von Organisationen ausdrücklich beauftragt, die eigenen IT-Systeme wie echte Hacker unvoreingenommen auf die Probe zu stellen – mit dem Ziel, Schwachstellen im digitalen System zu identifizieren, Sicherheitsrisiken zu beurteilen und im Anschluss gemeinsam mit dem Unternehmen konstruktiv an der Behebung zu arbeiten. Was die Methode somit von kriminellen Machenschaften unterscheidet: Ethical Hacker verfügen zwar über das gleiche Wissen und die Tools wie ihre kriminellen Pendants, doch sie haben die Zustimmung zum Hack und gehen dabei transparent vor. Denn jegliche Schritte werden lückenlos dokumentiert und um Handlungsempfehlungen ergänzt. Während somit die Mitarbeiter künftig die Unternehmen im Arbeitsalltag schützen, kontrollieren Ethical Hacker bei Bedarf die Sicherheitsbarrieren der digitalen Infrastruktur. Auf lange Sicht kann dadurch ein Sicherheitskonzept aufgebaut werden, das ein Eindringen der Hacker fast unmöglich macht.