Cybercrime

Mittelständler immer häufiger im Visier von Angriffen

Dr. Frank Hülsberg Dr. Frank Hülsberg

Sony Pictures, der Deutsche Bundestag, Kommunalverwaltungen und Krankenhäuser ("Locky") - die Berichterstattung über spektakuläre Hackerangriffe nahm in den vergangenen Wochen und Monaten einen breiten Raum in der Presse ein. Dabei ist festzustellen, dass Mittelständler zunehmend ins Visier von Angreifern geraten. Deren Motivation reichen von "sportlichem" Ehrgeiz über Wirtschafts- und Konkurrenzspionage bis hin zur simplen Erpressung - die Drohung lautet, die IT lahmzulegen oder vertrauliche Daten zu veröffentlichen. Die Auswirkungen sind für die betroffenen Betriebe desaströs. Etwa bei einem Automobilzulieferer, wo bei einem Ausfall kritischer IT-Infrastruktur die Produktion zum Beispiel mit manuellen Pick-Listen nur wenige Stunden aufrechterhalten werden kann - die Vertragsstrafen der Hersteller für den anschließenden Lieferstopp können die Existenz des Zulieferers gefährden.

Natürlich ist kein Unternehmen völlig ungeschützt - das Bewusstsein um den Schutzbedarf der eigenen IT und der sensiblen Firmendaten kann bei jeder Unternehmensleitung unterstellt werden. Die Frage ist nur, ob die tatsächliche mit der gefühlten Sicherheit Schritt hält und ob das eigene Risiko, ins Visier von Angreifern zu geraten, höher ist und gleichzeitig der vorhandene Schutz niedriger, als gedacht.

Dies muss man leider in vielen Fällen für den deutschen Mittelstand konstatieren. Während sich in Großunternehmen ganze Abteilungen ausschließlich um die IT- und Datensicherheit kümmern, fehlen im Mittelstand oft die Mittel und das Personal, um eine moderne, umfassende Sicherheitsarchitektur zu unterhalten. Oft werden Einzellösungen wie Firewalls und Virenscanner von verschiedenen Anbietern eingesetzt. Daneben treten häufig Gefahren aus einem großzügigen Einbinden privater Endgeräte (Stichwort "BYOD"), die fehlende Verschlüsselung von Daten sowie mangelnde Sensibilität der Mitarbeiter. Höflichkeit, Sorglosigkeit und mangelndes Problembewusstsein schaffen vielfältige Angriffspunkte für Cyber-Kriminelle: Bereitwillige Auskünfte am Telefon, die Benutzung von geschenkten oder gar gefundenen USB-Sticks, das Befreien und Öffnen von E-Mails samt Anhängen aus der Virenschutz-Quarantäne - die Beispiele sind zahlreich.

Jedes Dritte Unternehmen betroffen

 Neben den öffentlich bekannt gewordenen Opfern von "Locky" gehen Schätzungen inzwischen davon aus, dass rund ein Drittel aller Firmen erfolgreich attackiert wurden. Nicht jeder bekennt sich öffentlich dazu, aber vergleichbare Zahlen können wir aus unseren Informationen bestätigen - und täglich kommen neue Unternehmen dazu. Firmen können sich hiergegen mit wenigen gezielten Maßnahmen schützen - ein Schlüsselfaktor ist dabei die Sensibilisierung der Mitarbeiter: "Locky" oder vergleichbare Angriffe kommen bisher ausnahmslos über E-Mails in die Unternehmen und müssen dann durch arglose Mitarbeiter aktiviert werden. Hier kann mit relativ wenig Aufwand der Angriffspunkt "Human Firewall" deutlich gestärkt werden, zumal die meisten Mitarbeiter dieses Cyber-Wissen auch privat nutzen können und es daher gerne annehmen werden.

Auch gegen eine ähnliche, seit einem Jahr verstärkt auftretende Angriffsvariante hilft letztlich nur die Stärkung der "Cyber-Awareness" der Mitarbeiter: Das als "President-Fraud" oder "Fake President" bekannt gewordene Phänomen ist eine mit großem Aufwand der Kriminellen weiterentwickelte Form der altenbekannten Phishing-E-Mails, die die Opfer auf gefälschte Webseiten umleiten, Accountinformation für Online-Banking abfragen oder dergleichen. Die "verbesserte" neue Variante ist passgenau auf ausgewählte Zielpersonen zugeschnitten. In der gefälschten, aber täuschend echt aussehenden E-Mail werden Verantwortliche (CFO, Leiter Buchhaltung) von ihren Geschäftsführern, Vorständen oder Präsidenten ("Fake-President") aufgefordert, unter einem plausiblen Vorwand "heute noch" und "streng vertraulich" Geld ins Ausland zu transferieren. Der geneigte Leser mag überrascht sein, aber diese Technik funktioniert immer wieder. Uns sind aus unseren Untersuchungen mehrere Fälle bekannt (die Schadensummen liegen zwischen 1,0 und 2,5 Millionen Euro), über weitere Konstellationen wurde in den Medien berichtet (Mattel mit 3 Millionen US-Dollar in den USA bis zu FACC mit 50 Millionen Euro in Österreich). Klar ist: Gegen derartige Angriffe hilft keine teure Technik, sondern allein ein ausgeprägtes Gefahrenbewusstsein und Mitarbeiterschulungen, die finanziell kaum ins Gewicht fallen.

Praxishinweis

Warth Klein Grant Thornton bietet Mittelständlern im Bereich der IT-Sicherheit qualifizierte Prüfungs- und Beratungsleistungen.

Am Anfang eines typischen Projektes zur Verbesserung der IT-Sicherheit steht eine sorgfältige Inventur der Risiken. Das tatsächliche Schutzniveau des Unternehmens wird anschließend bei einem Penetration Testing ("Friendly Hacking") auf den Prüfstand gestellt, ergänzt durch Prüfung der Mitarbeiter, ob vertrauliche Informationen leichtfertig preisgegeben bzw. ob Sicherheitsstandards im Unternehmen auch wirklich eingehalten werden. Die gefundenen Lücken werden dann gemeinsam mit der Unternehmensleitung und der IT des Unternehmens geschlossen. Im Übrigen beraten WP-Gesellschaften auch bei Anwendung einschlägiger Sicherheitsstandards (etwa ISO 27001, BSI Grundschutz etc.) und bereiten eine Zertifizierung vor.

Dabei bieten Wirtschaftsprüfer generell höchste Standards im Umgang mit sensiblen Daten, gewährleisten Vertraulichkeit und genießen das Vertrauen, dass sie den Zugang zum "offenen Herzen" des Unternehmens nicht fahrlässig missbrauchen. Die eingesetzten Experten sind keine reinen Spezialisten, sondern denken und arbeiten ganzheitlich. Oft haben sie bereits selbst Angriffe simuliert ("Friendly Hacking") und erfolgreich an der Eindämmung von Schäden mitgewirkt.