Sicherheitstools installieren ist zu wenig, um ein Unternehmen vor Hackerangriffen zu schützen. Axians empfiehlt, die Frage der Sicherheit ganzheitlich zu betrachten.
Seit Ende 2016 ist Mirai nicht nur der IT-Welt ein Begriff. Die Schadsoftware blockierte ungefähr zehn Stunden lang über den Dyn-DNS-Dienst die Server von Webgiganten wie Netflix, Spotify, Twitter und eBay und ist seitdem auch in der breiten Öffentlichkeit bekannt. Und wenn sich zahlreiche Unternehmen mit dem Gedanken getröstet haben, dass diese spektakulären Angriffe nur die „Großen“ betreffen, liegen sie damit völlig falsch. „2016 war jedes zweite Unternehmen Ziel eines Hackerangriffs“, warnt Cédric Cailleaux vom Bereich Planung und Beratung bei Axians (VINCI Energies). „Mittelständler und Kleinstunternehmen sind genauso betroffen wie börsennotierte Großkonzerne.“
„Das Sicherheitsprinzip ist gut etabliert, wenn es um das Tragen eines Schutzhelms oder das Besteigen einer Leiter geht, bleibt jedoch in Bezug auf Daten weiterhin eine abstrakte Angelegenheit.“
Die Dienstblockade (Denial of Service), wie im Fall von Netflix und Twitter, gehört zusammen mit Lösegeld-Trojanern (Ransomware) zu den beiden Hauptarten von Cyberangriffen, denn „diese Waffen sind im Internet frei verfügbar“, unterstreicht Cédric Cailleaux.
Satan, so der Experte, ist eine „Ransomware as a service“. Damit kann ein als „Affiliate“ bezeichneter Hacker die Daten eines Unternehmens verschlüsseln und folglich den Zugang dazu sperren. Der Entschlüsselungscode wird nur gegen Zahlung eines Lösegelds geliefert, von dem der Hacker 60% einstreicht; der Rest geht an den „Softwarelieferanten“.
„Für 30 Dollar“, führt Cédric Cailleaux weiter aus, „lassen sich im Web auch 20 Minuten Denial of Service kaufen“. Im Klartext bedeutet das für das Ziel des Angriffs, dass der Unternehmensserver durch eine Vielzahl böswillig erzeugter Anfragen überlastet wird – eine Blockade, die Einkommensverluste zur Folge haben kann.
Sicherheit ist ein Ganzes
Wie kann man sich als Unternehmen schützen? „Der erste Reflex ist eine technische Lösung: Firewall, Spam- und URL-Filter etc.“, merkt der Cybersecurity-Experte an. Damit „werden jedoch Schutzzonen geschaffen, durch die sich die Anfälligkeit des Gesamtsystems erhöht. Axians entwickelt daher ganzheitliche Sicherheitskonzepte.“ Die ICT-Marke von VINCI Energies betrachtet Systemsicherheit von allen drei, untrennbar miteinander verbundenen Aspekten – der technischen, operativen und organisatorischen Warte aus.
Die operative Sicherheit erfordert u.a. auf Ebene der IT-Abteilung und des CIO, sich ein Bild vom Gesamtsicherheitszustand des jeweiligen Informationssystems machen zu können, sowie Technology Watch, um das Bedrohungspotenzial richtig einschätzen zu können und eine Risikokultur aufzubauen. Genau so wichtig ist die ständige Sensibilisierung für diese Fragen.
In einem Unternehmen hat Axians beispielsweise gezielt Phishing-Mails an alle Bereiche versandt, um mit „anbeißenden“ Mitarbeitern einen Dialog anzubahnen, um gegen den Reflex zu klicken anzugehen. Die Logistikabteilung erhielt zum Beispiel die Nachricht „Ihre Sendung wurde nicht ausgeliefert. Bitte hier klicken.“ In den Personalabteilungen wird häufig zu Unrecht auf die Datei in der Anlage interessanter Lebensläufe geklickt, ebenfalls ein beliebter Köder diverser Hacker. Sobald Reflexe dieser Art identifiziert sind und die erste Sensibilisierung erfolgt ist, werden Schulungen in Form von E-Learning oder eines Webinars zu diesem Thema angeboten.
Risikokultur
Die organisatorische Sicherheit besteht schwerpunktmäßig im Sharing der Risikokultur als dritter Aspekt des 360°-Ansatzes, für den sich Cédric Cailleaux stark macht. „Das Sicherheitsprinzip ist gut etabliert, wenn es um das Tragen eines Schutzhelms oder das Besteigen einer Leiter geht“, so der Axians-Experte, „bleibt jedoch in Bezug auf Daten weiterhin eine abstrakte Angelegenheit“.
Risikomanagement heißt zunächst, sich die Frage zu stellen, was zu schützen ist. Generell „die sensibelsten Assets, denn alles kann man nicht schützen“, unterstreicht Cédric Cailleaux, bevor er auf eine der meist verbreiteten, bei Mittelstands- und Großunternehmen gleichermaßen anzutreffenden Sicherheitslücken verweist: „Von fünfzig unlängst bei einer Sitzung befragten Unternehmen hatten nur zwei einen IT-Sicherheitsplan erstellt.“
11/09/2017
Weitere Infos:
Axians - Security
