Cyberabwehr – Wie sich kleine Unternehmen schützen

Cyberkriminalität im kleinen Stil lohnt sich nicht, heißt es zuweilen. Das sehen die vor allem diejenigen Unternehmer nicht so, die genötigt wurden die Forderungen von Online-Gangstern zu erfüllen. Anders als die schlagzeilenträchtigen Angriffe auf große Konzerne, hört man von den millionenfachen Angriffen auf kleine Firmen nichts in den Medien, obwohl die Schadenssumme viele Milliarden Euro beträgt. Solange für das Öffnen von infizierten E-Mails durch die Mitarbeiter, keine technische Lösung gefunden ist, stellt sich eine Frage: Was können kleine Unternehmen tun, um sich zu schützen?

Datenschutz-Anwalt warnt: Einfallstor E-Mail
Laut dem Bericht einer US-amerikanischen Versicherungsgesellschaft richteten sich 71 Prozent der Ransomware-Angriffe an kleine und mittlere Unternehmen. Dabei betrug die durchschnittliche Lösegeldforderung 116.234 US-Dollar. Was für diese Unternehmen ärgerlich ist, dass 93 Prozent von ihnen irgendeine Art von Cyberschutz implementiert hatten. Leider erwies sich dieser als ineffektiv. Die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) führt eine jährliche Umfrage zu Computerbedrohungen durch. Das Ergebnis überrascht nicht. Die E-Mail ist das dominierende Mittel um solche Angriffe durchzuführen. Sie ist für 92,4 Prozent aller Malware-Infektionen verantwortlich.

Datenschutz-Anwalt warnt: Gezieltes Phishing
Der Bericht der ENISA wies darauf hin, dass Phishing-Angriffe immer gezielter geführt werden. Gangs passen E-Mails für bestimmte Personen an, indem sie die Interessen der Personen vorher sorgfältig ermitteln. Des Weiteren werden die E-Mails an diejenigen gerichtet, die privilegierten Zugang zu wertvollen Daten wie Finanzunterlagen haben.

Datenschutz-Anwalt warnt: Business Email Compromise
Dabei handelt es sich um eine immer häufiger auftretende Form das Angriffs. Dabei senden die Angreifer typischerweise scheinbar echte Rechnungen an die Mitarbeiter der Finanzabteilung, um sie zu überreden, Geld auf die Bankkonten der Betrüger zu überweisen. Alternativ werden E-Mails, die vom CEO oder anderen hochrangigen Mitarbeitern zu kommen scheinen, an das untergeordnete Finanzpersonal geschickt, das sie davon überzeugt, Geld auf ein bestimmtes Konto zu überweisen oder den Betrügern Zugang zu den persönlichen Dateien der Mitarbeiter zu gewähren, die dann von den Betrügern gestohlen werden.

Datenschutz-Anwalt warnt: Social Engineering
Die dahinter steckende Methode heißt Social Engineering. Je überzeugender oder ansprechender die E-Mail ist, die die Schwächen eines Mitarbeiters anspricht oder ihm schmeichelt, desto größer ist die Chance, dass er den Betrug nicht bemerkt. Es ist eine Tatsache, dass den Mitarbeitern meist völlig unbewusst ist, wie leicht sie manipuliert werden können. Dadurch spielen sie eine entscheidende Rolle bei derartigen Betrugsfällen. Es gibt eine Geschichte von einem Katzenliebhaber, der eine E-Mail, mit einem angehängten PDF-Dokument über eine zur Adoption freigegebenen Katze, angesprochen wurde. Leider war das PDF mit Malware übersät, die den Kriminellen nach dem Öffnen den Zugang zum gesamten Netzwerk des Arbeitgebers des Katzenliebhabers ermöglichte.

Datenschutz-Anwalt warnt: Dateifreie Malware
Das gute alte PDF hat sich zu einem Waffenträger für Cyberangriffen entwickelt. Eine der darauf geschleusten Waffen ist die sogenannte dateifreie Malware. Dies ist eine Art Software, welche ausschließlich im RAM des infizierten Computers ausgeführt wird. Sie belegt keinen Speicher, was die Erkennung ziemlich schwierig macht. Die ENISA nennt solche dateifreien Infiltrationen die "neue Norm", denn 77 Prozent der erfolgreichen Angriffe wurden mit dateifreier Malware geführt.

Datenschutz-Anwalt warnt: Unzureichende Wachsamkeit
Angriffe per E-Mail und PDF sind gefährlich, weil sowohl E-Mails als auch PDFs eine Selbstverständlichkeit im täglichen Geschäft sind. Darum neigen Menschen dazu, beim Empfangen und Öffnen weniger wachsam zu sein. Ein weiteres Problem ist, dass viele Unternehmen nicht glauben, dass sie es wert sind, gehackt zu werden. Sie vergessen, dass sie Teil einer Kette sind. Jede unnötig herausgegebene Information, kann bei späteren Angriffen Teil eines Türöffners sein.

Datenschutz-Anwalt warnt: Leichtfertiger Umgang mit Interna
Kriminelle haben von Mitarbeitern profitiert, die Links über sich selbst oder das Unternehmen veröffentlicht haben, die trivial erscheinen. Wo trinken die Mitarbeiter gerne? Wie sind die Verkehrsanbindungen? Wenn die Kriminellen diese Informationen haben, macht es die Annäherung an das Unternehmen glaubwürdiger. Es sind nicht nur Einzelpersonen, die solche Informationen online stellen. Unternehmen tun es auch auf ihren Websites. Das können Fotos von einem Tag der Teambildung oder Informationen über einen Großauftrag sein. Es wurden schon Fotos mit Computern im Hintergrund veröffentlicht, auf denen das verwendete Betriebssystem, interne Formulare oder E-Mail-Adressen zu erkennen waren

Datenschutz-Anwalt rät: Mitarbeiter müssen geschult werden
Die Cyberkriminellen haben sich weiterentwickelt. Sie begnügen sich nicht damit, bösartigen Code bei anfälligen Diensten einzuführen. Sie richten sich gezielt an die Personen, die ihn betreiben. Was kann ein kleines oder mittleres Unternehmen dagegen tun? Sie können ihre Systeme gegen Malware und bekannte Schwachstellen patchen, aber wie wollen Sie verhindern, dass Mitarbeiter die stabilen Türen von innen öffnen? Sie können Mitarbeiter schulen - sagen Sie ihnen, worauf sie achten müssen.

Datenschutz-Anwalt rät: Mitarbeiter für Social Engineering sensibilisieren
Die Cyberkriminellen haben sich weiterentwickelt. Sie begnügen sich nicht damit, bösartigen Code bei anfälligen Diensten einzuführen. Sie richten sich gezielt an die Personen, die ihn betreiben. Was kann ein kleines oder mittleres Unternehmen dagegen tun? Sie können ihre Systeme gegen Malware und bekannte Schwachstellen patchen, aber wie wollen Sie verhindern, dass Mitarbeiter die stabilen Türen von innen öffnen? Sie können Mitarbeiter schulen - sagen Sie ihnen, worauf sie achten müssen. Das Beispiel mit der Katze war eine gute Demonstration dafür, wie gezielt auf der Gefühlsebene angesetzt wird. Es gibt wichtige Verdachtspunkte, auf die Organisationen achten sollten. Das sind E-Mails, die mit Emotionen spielen. Verdächtig sind alle Inhalte die traurig oder glücklich machen oder mitteilen, dass Sie etwas gewonnen haben.

Datenschutz-Anwalt rät: Schützende Software nutzen
IT-Fachleuten verweisen gerne auf andere Systeme, wie zum Beispiel Autos. Die sind so konzipiert, dass sie auf menschliche Fehler reagieren. Airbags schützen den Fahrer, wenn etwas schief geht. Warum gibt es nicht die gleiche Art von Schutz, wenn es um E-Mails geht? Viele der E-Mail-Plattformen verfügen standardmäßig nicht über Sicherheitsmaßnahmen. Wenn sich Unternehmen schützen wollen, müssen sie zusätzliche Anstrengungen unternehmen, um einen besseren Schutz zu gewährleisten. Cyberschutz erfordert technologische Veränderungen. Kleine Unternehmen hören das nicht gerne, da sie von sich meinen, über wenig Zeit, Ressourcen und Wissen zu verfügen. Es gibt jedoch Tools, die helfen. Die sogenannten Antimalware-Toolkits der Virus Total Community identifizieren schädlichen Code in Anhängen und Downloads zu sobald sie ankommen.

Datenschutz-Anwalt rät: TLS-Kryptographie
IT-Teams können auch relativ einfache Maßnahmen ergreifen. Dazu gehört auch die Anwendung eines rigoroseren Ansatzes bei der Konfiguration ihrer E-Mail-Systeme. Ein Ansatz, der standardmäßig eingesetzt werden sollte, ist die TLS-Kryptographie, die eine Möglichkeit bietet, jede Mail auf ihre Sicherheit zu überprüfen, bevor sie vom menschlichen Empfänger empfangen und geöffnet wird. Es ist möglich, ein E-Mail-System so einzurichten, dass es Nicht-TLS-Nachrichten ablehnt.

Datenschutz-Anwalt rät: Domain Key Identified Mail (DKIM)
Sie können die E-Mail-Dienste überprüfen. Zu den Techniken gehört die Einrichtung von DKIM als Anti-Spoofing. Die stellt sicher, dass alle empfangenen E-Mails von der Domain, für die sie sich ausgibt, gesendet wurden und nicht während der Übertragung gestört wurden. Dabei wird ein verschlüsseltes Element zu einem E-Mail-Header hinzugefügt, mit dem der DNS-Eintrag der sendenden Domain überprüft wird. Schließlich können Sie die Integrität eines Absenders mit Hilfe von domänenbasierten Message Authentication Reporting and Conformance (DMARC) überprüfen. Dabei wird auch die Identität eines Benutzers mit DKIM überprüft, aber auch jeder Absender wird darüber informiert, dass DMARC in Betrieb ist, was eine weitere Schutzebene darstellt.

Datenschutz-Anwalt rät: Klare Richtlinien und keine Bestrafungen
Was den Umgang mit Angriffen betrifft, stimmen Fachleute überein, dass Strafmaßnahmen gegen Arbeitnehmer kontraproduktiv sind. Unternehmen sollten klare Richtlinien setzen, damit die Mitarbeiter wissen, was zu tun ist. Wenn eine E-Mail oder ein Telefonat Misstrauen erregt, muss klar sein, dass sie es umgehend melden und wo. Machen Sie Mitarbeitern deutlich, dass sie nicht bestraft werden, wenn sie versehentlich Malware öffnen. Deren Bestrafung würde ein Klima der Angst schaffen und wird Mitarbeiter davon abhalten, Fehler zuzugeben. Das macht es schwieriger, Maßnahmen gegen Malware sofort zu ergreifen.

Datenschutz-Anwalt: Fazit
Social Engineering durch Hacker ist so komplex und hinterhältig geworden wie der Code, den sie schreiben. E-Mail-basierte Angriffe werden uns in der Zukunft erhalten bleiben, da Hacker den Wert dieser vertrauenswürdigen und allgegenwärtigen Kommunikationsform erkannt haben. Es ist an der Zeit, dass kleine und mittlere Unternehmen eine Bestandsaufnahme machen. Sie müssen daran arbeiten, der E-Mail-basierter Malware mit wirksamen Technologien und eigenem Social Engineering entgegenzuwirken.

Resch Datenschutz – Experten für DSGVO und Expertise im Datenschutz

Wenn Sie Fragen zur DSGVO oder allgemein zum Datenschutz haben, rufen Sie an unter 030 885 9770, oder füllen Sie den Fragebogen aus. Sie erhalten dann eine kostenlose erste Einschätzung Ihres Falles.