Ihre erste Verteidigungslinie beruht auf dem Wissen, weshalb Ihr Unternehmen angegriffen wird. Die Technik entwickelt sich immer weiter. Das Gleiche gilt für die Bedrohungen von Unternehmen. Die häufigsten Angriffsmotive sind: Diebstahl, Erpressung, Böswilligkeit und Moral.
Diebstahl:
Cyber-Kriminelle verschicken Tag für Tag 100 Milliarden Spam-E-Mails, um Informationen zu sammeln und auf dem Schwarzmarkt zu verkaufen. Da Daten wie Kreditkartennummern schon für 3 Cent angeboten werden, müssen sie ihre Netze weit auswerfen und ausgeklügelte Phishingtechniken nutzen, die gleichermaßen auf Unternehmen und Einzelpersonen abzielen. Auch Malware und Viren werden häufig eingesetzt, um Daten für Identitätsdiebstähle zu sammeln. Unternehmen verfügen über wertvolle Mitarbeiterin-formationen, die durch Investitionen in die neuesten IT-Sicherheitssysteme vor Angriffen geschützt werden müssen.
Erpressung:
Erpressung mit Ransomware hat sich mit einem Wachstum von über 100% im letzten Jahr zu einer gewinnbringenden Industrie für Hacker entwickelt. Das liegt daran, dass viele Unternehmen, die eine Geschäfts-unterbrechung oder den Verlust von geschäftskritischen Daten zu befürchten haben, oft nur die Bezahlung des „Lösegelds“ als Ausweg sehen. Die Hacker verlangen mitunter nur 300 bis 500 USD, da solch ein Betrag so niedrig ist, dass das „Angebot“ annehmbar erscheint, und gleichzeitig nicht so hoch ist, dass das FBI oder andere zuständige Behörden eingeschaltet werden. Die Verschlüsselung aller Backup-Daten und der Schutz der IT-Systeme und Geräte vor Angriffen von außen sind grundlegend, um Online-Erpressern keine Angriffsfläche zu bieten.
Böswilligkeit:
Erst letzte Woche hat die Hackergruppe Lizard Squad die Website der britischen Kriminalbehörde gehackt, um ihre Fähigkeit, nach Belieben in Systeme einzudringen, öffentlichkeitswirksam zu demonstrieren und Ihre Sache bekannt zu machen. Das Problem besteht aber nicht nur aus externen Bedrohungen – die Gefahr von böswilligen Aktivitäten innerhalb eines Unternehmens ist durchaus real. Ein verärgerter Mitarbeiter mit Zugriff auf die IT-Systeme und persönliche Daten kann bei Weitem schlimmere physische Schäden und Rufschädigungen anrichten als ein gesichtsloser Cyber-Krimineller. Damit dürfte klar sein, wie wichtig interne Schulungen und Zugriffsbeschränkungen auf sensible Daten sind.
Moral:
Moralisch begründete und so genannte „Hacktivist“-Aktivitäten beruhen auf dem Glauben, dass Cyber-Kriminelle ein begründetes und ethisches Motiv für ihr Handeln haben. Das wohl bekannteste Beispiel ist der Fall Edward Snowden, der 2013 geheime Informationen der NSA veröffentlichte. Die Debatte darüber, ob das richtig oder falsch war, hält bis heute an. Das größte Risiko in solch einem Fall ist der Imageschaden. Natürlich sind solche Angriffe nur schwer vorhersehbar. Das sollte Unternehmen aber nicht davon abhalten, Kommunikationsstrategien mit sorgfältig gewählten Formulierungen zu entwickeln, um gegebenenfalls angemessen reagieren zu können.
Bei der Entwicklung von Cyber-Sicherheitsrichtlinien und Best Practices spielt das Verstehen der Motivation von Cyber-Kriminellen eine wichtige Rolle. Wenn Sie zudem meine vier Prinzipien zum Schutz Ihres Unternehmens befolgen, können Sie Ihre Position stärken. Mit der technologischen Weiterentwicklung erschließen sich für Cyber-Kriminelle durch neue Innovation wie Microchip-Implantate im Menschen und biometrische Bezahlungsmethoden unzählige Angriffsmöglichkeiten. Unternehmen müssen diese neuen Risiken erkennen und so gering wie möglich halten, um ihre Daten und Ihren Ruf zu schützen!
==========
Ihr Ansprechpatrtner für Cyberversicherung in Deutschland: René Ehlen
Folgen Sie CNA Hardy auf XING