Cyberkriminelle bedrohen Unternehmen: Der Kampf hat erst begonnen

Als ernsthaftes Risiko für den Fortbestand ihres Unternehmens identifizieren immer mehr IT-Verantwortliche und Geschäftsführer die IT-Sicherheit. Was einst als Spaß unter Informatikstudenten begann, hat sich innerhalb von drei Jahrzehnten zum virtuellen Kriegsschauplatz um unternehmerischen Erfolg entwickelt. Cyberkriminelle Wegelagerer erpressen Privatpersonen, Betriebe und sogar Krankenhäuser.

Kriminelle Erpressung

Die aktuellen Arten von Ransomware wie Locky, CryptoWall oder TeslaCrypt verschlüsseln einzelne Dateien. Andere Ransomware wie Petya verschlüsselt die gesamte Festplatte (Erkennung: „Win32.Trojan-Ransom.Petya.A“). Die aktuelle Kampagne zielt primär auf Unternehmen ab. In einer E-Mail an die Personalabteilung wird auf eine Datei verwiesen, die bei Dropbox liegt. Empfänger, die dem Link folgen, geraten in die Falle.
Das alles zeigt deutlich: Die Daten von Unternehmen sind stärker bedroht als je zuvor. Der wirtschaftliche Schaden ist zum Teil immens. So zeigt zum Beispiel eine von IBM in Auftrag gegebenen Studie, dass der Verlust oder Diebstahl von kritischen Daten Unternehmen weltweit Millionen kostet. Bei den für die Studie befragten deutschen Unternehmen betrug der Schaden im Schnitt 3,61 Millionen Euro pro Datenpanne. Die steigende Anzahl an Sicherheitsvorfällen sorgt dafür, dass Verantwortlichen in Firmen, Behörden und Krankenhäusern stärker für das Thema IT-Security sensibilisiert sind. So haben in einer Studie der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) 53 Prozent der deutschen Firmen angegeben, in diesem Jahr mehr ausgeben ausgeben zu wollen als 2015, um sich vor Wirtschaftsspionage und Cyberkriminalität zu schützen.

Was tun gegen Ransomware?

  • Benutzen Sie eine umfassende Sicherheitslösung.
  • Erstellen sie kontinuierlich funktionsfähige Backups.
  • Seien sie wachsam: Achten sie bei E-Mailanhängen darauf, ob es sich um eine ausführbare Datei mit der Dateiendung „.exe“ handelt. Wenn ja, sollten sie die Datei keinesfalls öffnen oder den Vorgang sofort abbrechen.
  • Falls das Virus dennoch aktiviert wird, nehmen Sie den Rechner unverzüglich vom Netz.
  • Zahlen sie keinesfalls ein Lösegeld, sondern schalten sie die Kriminalpolizei ein.

Erhöhte Investitionen alleine reichen jedoch nicht mehr aus, um der zunehmenden Bedrohung wirkungsvoll zu begegnen. Unternehmen müssen vielfach umdenken und eine ganzheitliche Sicherheitsstrategie entwickeln. Denn obwohl Cyberkriminelle immer professioneller vorgehen, verlassen sich viele Firmen nach wie vor auf veraltete Methoden, wenn es um den Schutz ihrer Netzwerke geht. Zudem handeln Betriebe und Behörden häufig erst dann, wenn bereits ein Angriff erfolgt und Schaden entstanden ist. Experten raten Unternehmen deshalb dringend dazu, das Thema IT-Security ganzheitlich zu behandeln und die ITK-Infrastruktur diesbezüglich umfassend zu prüfen.
Eine hilfreiche und vor allem lohnende Investition ist es, für diese Aufgabe einen Sicherheitsberater oder ein auf IT-Sicherheit spezialisiertes Systemhaus einzusetzen. Diese Experten nehmen das Firmennetz genau unter die Lupe und empfehlen dann ganzheitliche Security-Lösungsansätze, die zum eigenen Business passen. Auch die Schulung von Firmenmitarbeitern in Sicherheitsfragen sowie die Erarbeitung von Sicherheitsregeln und Notfallplänen wird häufig von diesen Dienstleistern durchgeführt. Dass vor allem die Einbindung der Mitarbeiter ein wichtiger Bestandteil in der Security-Strategie von Unternehmen sein muss, zeigt sich immer wieder: Viele aktuelle Vorfälle wären durch ein unsichtigeres, sensibleres Verhalten von Firmenmitarbeitern schlichtweg vermeidbar gewesen.

Der Faktor Mensch

  • Denken sie daran, dass insbesondere das richtige Verhalten ihrer Mitarbeiter einen entscheidenden Beitrag zur IT-Sicherheit ihres Unternehmens beitragen kann.
  • Schulen sie ihre Mitarbeiter entsprechend!
  • Stellen sie klare Sicherheitsregeln in ihrem Unternehmen auf und legen sie genau fest, war in ihrem Unternehmen erlaubt ist und was nicht. Wichtige zu klärende Punkte sind neben dem Einsatz privater Endgeräte (BYOD) zum Beispiel die Verwendung von USB-Sticks oder die Verwendung privater E-Mail-Accounts. Bei der Erstellung der Regeln empfiehlt es sich, einen Experten als Berater zu beauftragen. Wichtig: Informieren sie die Mitarbeiter regelmäßig über die Regeln.
  • Bestimmen sie einen IT-Security-Verantwortlichen in ihrem Unternehmen.
  • Stellen sie frühzeitig einen Notfallplan auf, in dem genau festgelegt ist, wer in einem IT-Security-Notfall welche Aufgaben erledigen soll. Proben sie den Ernstfall, damit bei einem tatsächlichen Notfall alles reibungslos funktioniert.

Übersicht