Digitalisierung leben 08/2017
Datendiebstahl, Spionage, lahmgelegte Server oder betrügerische E-Mails – zwei von drei Unternehmen waren schon Ziel eines Hackerangriffs. Mit der beste Schutz: Aufmerksame, gut geschulte Mitarbeiter und eine offene Unternehmenskultur.
Industrie 4.0, e-Government, vernetzte Fahrzeuge und Gebäude oder Software aus der Cloud: Die Digitalisierung bietet nie dagewesene Möglichkeiten – leider auch für Straftäter.
Die jüngste Umfrage zur Cybersicherheit, durchgeführt im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik, belegt, dass zwei Drittel der deutschen Unternehmen 2016 Zielscheibe eines Cyberangriffs wurden. Zwar war nur knapp die Hälfte der Angriffe erfolgreich. Doch für die betroffenen Unternehmen, ihre Kunden oder Geschäftspartner sind die Folgen oft gravierend. Auf 50 Milliarden Euro jährlich schätzt das Bundesamt für Verfassungsschutz den jährlichen Schaden durch Angriffe aus dem Cyberspace.
Nicht nur große Konzerne geben ein lohnendes Ziel ab: „Wirklich jedes Unternehmen steht heute im Visier“, sagt Ingrid Lauterbach aus dem Chief Information Security Office (CISO) Germany bei der Deutschen Bank in Frankfurt. Das CISO gewährleistet, dass die Informationen der Bank und ihrer Kunden angemessen geschützt werden. Ziel der Sicherheitsexperten ist es, Informations- und IT-Risiken zu mindern, und entsprechende Standards und Kontrollen umzusetzen. Auch den Kunden der Bank stehen sie bei Bedarf beratend zur Seite.
Eine massive Bedrohung stellt nach Angaben der CISO-Experten derzeit vor allem der sogenannte CEO Fraud dar. „Das ist praktisch das Gegenstück zum klassischen Enkeltrick, für die Gauner jedoch noch wesentlich effizienter und fast risikolos“, erläutert Ingrid Lauterbach. Die Masche: Ein zahlungsberechtigter Mitarbeiter erhält eine gefälschte E-Mail, vermeintlich vom Unternehmenschef, einem Vorgesetzten oder einem zahlungsberechtigten Kollegen. Das Opfer wird aufgefordert, schnellstmöglich eine vertrauliche Finanztransaktion auszuführen – beispielsweise für eine angebliche Firmenübernahme oder eine dringend fällige Straf- oder Steuerzahlung, von der niemand erfahren soll. Fällt der Mitarbeiter auf den Trick herein, landet am Ende oft eine erhebliche Summe auf einem Konto im Ausland. „Das Internet und die sozialen Medien bieten Betrügern heute hervorragende Möglichkeiten, ein Opfer ganz gezielt auszuspähen und eine glaubwürdige Legende zu konstruieren“, warnt Lauterbach. Ihr Rat: Die Mitarbeiter für die Gefahr sensibilisieren und bei Zweifeln jederzeit zu telefonischen oder persönlichen Rückfragen ermutigen.
Ebenfalls eine zunehmend verbreitete Betrugsmasche sind E-Mails, in denen auf eine angeblich geänderte Bankverbindung hingewiesen wird, beispielsweise von einem ausländischen Lieferanten oder Dienstleister. Dahinter stecken oft Betrüger, die den Mail-Account gehackt haben. Auch wenn E-Mails besonders im Auslandsgeschäft wegen Sprachbarrieren und Zeitverschiebung bequem sind, sollten Sie sensible Zahlungsinformationen besser nicht ausschließlich per E-Mail austauschen, so der Rat von Sicherheitsexpertin Lauterbach: „Nutzen Sie zusätzliche Kanäle wie Fax oder Telefon, um Kontoinformationen zu verifizieren, bevor Sie größere Beträge überweisen“, empfiehlt die Expertin.
Nicht nur mit Manipulationen rund um die Kontonummer versuchen Kriminelle an Ihr Geld zu kommen, sondern auch durch Erpressung. Dazu nutzen sie Schadsoftware wie WannaCry oder Massenanfragen, die den Server lahmlegen (Denial-of-Service-Attacken). Nur gegen Lösegeld werden Daten und Server wieder freigegeben. „Diese Masche ist zwar nicht neu, doch die Angriffskraft steigt rasant“, sagt Ingrid Lauterbach. Denn für ihre Angriffe können die Gauner heute eine Vielzahl oft nur äußerst unzureichend geschützter Geräte im Netz kapern: Webcams, Babyphones, Lautsprecher, Fernseher oder Garagentore – das Internet of Things liefert massenhaft Rechenpower. Wichtigste Gegenmaßnahme: Neben technischen Schutzmaßnahmen wie Firewalls, Virenscanner, regelmäßigen Software-Updates und konsequenten Back-ups sollten Sie einen maßgeschneiderten Notfallplan für die Mitarbeiter erstellen und den Ernstfall regelmäßig proben: „Das ist genauso wichtig wie eine Räumungsübung für den Brandfall, denn in Panik reagiert niemand gut“, sagt Ingrid Lauterbach.
Wichtig: Haben Sie den Verdacht, dass Cyberkriminelle Sie im Visier haben, wenden Sie sich umgehend an Ihren Kundenberater.