Das eigene Unternehmen ist gegründet. Die ersten Waren und Dienstleistungen sind am Markt erfolgreich. Aber sind das junge Unternehmen und seine Daten auch sicher gegen Cyberattacken? Moderatorin und Technikexpertin Sarah Elßer, Mitgründerin von Tech Well Told, erklärt, worauf kleine und mittelständische Unternehmen bei der Datensicherheit achten sollten. Begleiten Sie Sarah Elßer auf ihrer Cyber-Security-Journey.
Kleine und mittelständische Unternehmen (KMU) sind das Rückgrat der deutschen Wirtschaft. Gut 99 Prozent der 2,6 Millionen bundesdeutschen Firmen sind KMU. Sie schaffen rund 56 Prozent aller Arbeitsplätze und erarbeiten ein Drittel aller Umsätze. Das zeigen Zahlen des Statistischen Bundesamtes.
Genau wie Großunternehmen können auch KMU Opfer von Cyberattacken werden. Schlimmer noch: Gerade junge Unternehmen sind besonders verwundbar. Denn für sie kann jeder erfolgreiche Hackerangriff das finanzielle Aus bedeuten. Ihnen fehlen schlicht die Rücklagen für die Schadensbeseitigung und einen temporären Ausfall des Geschäftsbetriebes. KMU und junge Unternehmen brauchen daher einen ganz besonderen Cyberschutz. Die „Betrifft mich nicht“-Einstellung wird nach Erhebungen des Spezialversicherers Hiscox jedes Jahr rund 46 Prozent aller deutschen Unternehmen zum Verhängnis. Sie werden Opfer gefährlicher und teurer Hackerangriffe – ein internationaler Spitzenwert.
Cyberwissen für junge Unternehmen mit Sarah Elßer von Tech Well Told
Sarah Elßer ist Mitgründerin des jungen Unternehmens Tech Well Told. Als Moderatorin und Tech-Expertin erklärt sie Technik als „Nerd Dolmetscherin“ besonders einfach. Als Unternehmerin muss sie sich auch intensiv mit dem Thema Cyber-Sicherheit beschäftigen. Elßer weiß daher, wie wichtig Cyber-Security für junge Unternehmen ist und hat sich auf eine spannende Cyber-Security-Journey begeben. Auf dieser Reise durch alle Security-Themen zeigt sie gemeinsam mit Vodafone und tatkräftiger Unterstützung von Accenture worauf kleine und mittelständische Firmen achten sollten.
Begleiten Sie Sarah Elßer auf ihrer Reise und finden Sie auf jeder Etappe heraus, wie auch Sie Ihr junges Unternehmen ein ganzes Stück weit sicherer gegen Hackerattacken machen.
Alle Fenster und Türen im eigenen Unternehmen für Hackergruppen geöffnet? Sarah Elßer zeigt Ihnen, worauf Sie achten sollten.
Diese Angriffstypen gibt es: Hackerangriffe auf Unternehmen
In diesem Abschnitt erfahren Sie mehr zu den einzelnen Angriffstypen, denen sich junge Teams häufig ausgesetzt sehen. Einige Beispiele:
Social Engineering: Bei diesem Angriffstyp spielt der Faktor Mensch die entscheidende Rolle. Hacker:innen sprechen Ihre Mitarbeiter:innen persönlich an oder nehmen über das Telefon Kontakt auf. Sie geben sich dabei als IT-Techniker: innen, Bankmitarbeiter:innen oder Behördenvertreter:innen aus.
Ransomware: Angreifer schleusen Erpressersoftware in Ihre Systeme ein. Die verschlüsselt Ihre Daten und fordert ein Lösegeld für das Entschlüsselungspasswort.
Identitätsdiebstahl: Hacker:innen stehlen persönliche Passwörter oder übernehmen Firmenaccounts, um gegenüber Dritten Ihre Identität anzunehmen. Die Angreifer:innen senden Ihnen E-Mails, die Sie auf täuschend echte Anmeldeseiten für Ihren E-Mail-Account, Ihr Amazon-Firmenkonto oder Ihren firmeneigenen YouTube-Kanal umleiten. Formen des Identitätsdiebstahls sind das Session-Hijacking und Man-in-the-Middle-Angriffe, die wir an anderer Stelle im V-Hub beschreiben.
Industriespionage: Wenn Hacker:innen ganz gezielt über längere Zeit Ihr Unternehmen attackieren und dabei gleich über mehrere Kanäle versuchen, an Ihre Passwörter zu gelangen, liegt der Verdacht nahe, dass es ein Wettbewerber auf sie abgesehen hat.
Malware: Nicht immer richten sich Cyberattacken gezielt gegen Ihr Unternehmen. Manche Angreifer:innen versenden Schadsoftware (Malware) mit darin versteckten Trojanern automatisiert an Millionen Empfänger:innen gleichzeitig.
Hintergrund Cyber-Security: Die eigenen Mitarbeiter:innen im Visier von Hacker:innen
Weltweite Hackergruppen sind inzwischen organisiert wie große Firmen in der legalen Wirtschaft. Mit Manager:innen, Netzwerkspezialist:innen und einer Forschungsabteilung, die immer die neusten Lücken in aktueller Software findet. Sie entwickeln komplexe Schadprogramme, setzen sie selbst ein oder verkaufen und vermieten sie an andere Hacker:innen. Zum Beispiel als RaaS (Ransomware-as-a-Service).
Im Median kostet ein solcher Angriff das betroffene Unternehmen rund 18.000 Euro – gerade für junge Firmen kann dies schnell das wirtschaftliche Aus bedeuten. Hinzu kommen der Reputationsverlust sowie der Verlust der eigenen Daten und der von Kund:innen.
Elßer mahnt: „Wenn Hacker:innen in Unternehmen eindringen, kann das die Arbeit von Jahrzehnten zerstören.“ Auch Mitarbeiter:innen von Sarah Elßer waren privat schon Opfer von Cyberkriminalität. Ihr Unternehmen selbst hingegen noch nicht.
Damit dies auch in Zukunft so bleibt, verfolgen die Expert:innen von Accenture und Vodafone einen holistischen Ansatz auf der Cyber-Security-Reise von Tech Well Told, der auch für andere Unternehmen gilt. Ein sicheres Unternehmen muss den Blick auf Datensicherheit in drei Dimensionen haben:
Mensch: Alle Mitarbeiter:innen müssen regelmäßig geschult werden, damit sie und das Unternehmen beispielsweise auch gegen Attacken per Social Engineering gut geschützt sind. Wie Unternehmen hier handeln können, haben wir in dem Artikel „Social Engineering – Angriffe auf die Schwachstelle Mensch“ zusammengestellt.
Technik: Die gesamte Digitaltechnik im Unternehmen muss neuesten Sicherheitsstandards entsprechen. Auch private Endgeräte, die beruflich genutzt werden, müssen dabei einbezogen werden. Was Unternehmen dabei beachten sollten, lesen Sie in dem Artikel „Was ist BYOD („Bring Your Own Device”)?“.
Prozesse: In allen Prozessen müssen die Mitarbeiter:innen Datensicherheit lückenlos mitdenken. Beispielsweise dürfen sie Geschäftsdaten und insbesondere persönliche Daten grundsätzlich nur verschlüsselt speichern und ungesicherte Endgeräte nicht unbeaufsichtigt lassen.
Um Einfallstore, zum Beispiel durch Unachtsamkeit von Mitarbeiter:innen, schnell aufzuspüren und Lücken zu schließen, ist im ersten Schritt ein Schwachstellentest sinnvoll. Ein solcher Test kann bereits viele Sicherheitslücken aufdecken. Hat das Unternehmen diese Lücken geschlossen, folgt ein ausführlicher Pentest, der auch überprüft, ob die Behebung der bereits bekannten Lücken erfolgreich war und auch die Mitarbeiter:innen für das Thema Cyber-Sicherheit nun sensibilisiert sind. Wie ein Pentest durchgeführt wird und was er aufdeckt, lesen Sie an anderer Stelle hier im V-Hub.
Tipps für die ersten Schritte zu mehr Cyber-Sicherheit
Sarah Elßer warnt, dass jedes Unternehmen – egal wie groß oder klein es ist, von Cyberattacken betroffen sein kann. Aus der Zusammenarbeit mit Vodafone und Accenture nimmt sie in einem ersten Schritt diese Tipps mit:
- Das Wahrnehmen von möglichen Cybergefahren ist extrem wichtig für Firmen. Erst diese Erkenntnis macht Unternehmen ausreichend sensibel und handlungsfähig.
- Die individuelle Awareness der Mitarbeiter:innen ist entscheidend für dauerhaften Schutz. Denn der Mensch ist das wichtigste Einfallstor für Cyberattacken.
- Die Technik sollte regelmäßig überprüft werden. Firewall und Antivirenprogramme, aber auch alle anderen in der Firma genutzten Programme müssen immer auf dem neuesten Stand sein.
- Schwachstellen sollten aktiv erkannt und behoben werden
- Externe Fachkompetenz von Securityexpert:innen liefert den wichtigen Blick von außen auf die eigene Sicherheit und schützt so das Unternehmen vor Gefahren, die sich vielleicht schon länger und unbemerkt eingeschlichen haben. Regelmäßige Pentests sichern die Erkenntnisse ab.
Im Video berichtet Sarah Elßer von ihren Erfahrungen aus dem Workshop mit Accenture und Vodafone.
Die eigenen Mitarbeiter:innen angreifen
Ein wichtiges Einfallstor für Cyberkriminelle sind E-Mails an die Mitarbeiter:innen von Unternehmen. Accenture warnt: „Wenn Unternehmen gehackt werden, dann passiert das oft mit Hilfe der Mitarbeiter:innen – ohne, dass sie es merken. Social Engineering ist für 98 Prozent aller Hackerangriffe der Ausgangspunkt.“
Daher versenden Datenschutzexpert:innen bei ihren Pentests regelmäßig fingierte E-Mails an alle Mitarbeiter:innen des Unternehmens, das sie gerade überprüfen. Über darin versteckte Inhalte checkt dann das Prüfteam, wie viele Personen die E-Mails geöffnet und der darin enthaltenen Anweisung gefolgt sind, beispielsweise zur Übermittlung des eigenen Netzwerkpassworts.
Bereits durch eine einzige geöffnete E-Mail können Mitarbeiter:innen das gesamte Firmennetz gefährden und Türen für Spyware oder Ransomware öffnen, die dann mitunter jahrelang unerkannt im internen Netz verbleibt.
Accenture schlägt daher im Geschäftsverkehr nachfolgende Checkliste für mehr Cyber-Security bei E-Mails vor. Erscheint auch nur einer dieser Punkte verdächtig, sollte eine E-Mail nicht geöffnet werden.
Absender:in prüfen: Sind die Absender:innen von E-Mails bekannt und die angezeigten E-Mailadressen plausibel?
„Call to action“: Wird in einer E-Mail zu einer ungewöhnlichen und potenziell gefährlichen Aktion aufgefordert, zum Beispiel zum Verifizieren des persönlichen Netzwerkpassworts auf einer Webseite? Wird bei Nichtbefolgen mit schweren Konsequenzen gedroht (sofortige Sperrung des eigenen Kontos, Abbuchung eines hohen Rechnungsbetrages)?
Links prüfen: Enthält eine E-Mail verdächtige Links zu unbekannten Seiten oder werden Links durch Verwendung sogenannter URL-Shortener unkenntlich gemacht?
Formulierungen: Werden ungewöhnliche oder schlecht aus anderen Sprachen übersetzte Formulierungen verwendet, die in der Geschäftswelt nicht üblich sind?
Daneben hat Accenture noch weitere Tipps für Mitarbeiter:innen, die häufig mobil arbeiten – zum Beispiel E-Mails lesen oder aus der Ferne auf ihr Firmennetz zugreifen:
- Vorsicht bei fremden WLAN-Netzen. Diese sind ein potenzieller Angriffspunkt für Cyberattacken per Man-in-the-Middle.
- Dienstliche E-Mailadressen und -konten nicht privat nutzen.
- Sichere Passwörter verwenden, die auch per Brute-Force-Angriff nur schwer zu knacken sind.
- Jedes Passwort nur einmal nutzen, um Attacken per Credential-Stuffing zu erschweren.
- Systeme möglichst per Zwei-Faktor-Authentifizierung schützen.
Außerdem sollten Unternehmen bei der internen Rechtevergabe an Mitarbeiter:innen sparsam sein und möglichst nur gestaffelte Rechte für einzelne Bereiche oder Aufgaben vergeben. So können Hacker:innen mit gestohlenen Accounts nicht das gesamte Firmennetz angreifen.
Im Video berichten die Mitarbeiter:innen, wie leicht Beschäftigte Opfer von E-Mails mit Spyware oder Ransomware werden können.
Die umfassende Checkliste: Cyber-Sicherheit kompakt
Mit dieser einfachen Checkliste prüfen Sie, wie gut Ihr Unternehmen gegen Angriffe gewappnet ist und wo Sie gegebenenfalls mit der Expertise von externen Expert:innen nachbessern sollten.
- Haben Sie Ihr Unternehmen bereits mit einem grundlegenden Sicherheitscheck auf mögliche Lücken in Ihrer Cyberabwehr überprüft?
- Führen Sie regelmäßige Pentests durch, die Ihre gesamte Technik, Ihre Prozesse und die Aufmerksamkeit Ihrer Mitarbeiter:innen berücksichtigen und Ihnen Hinweise zur Verbesserung liefern? Halten Ihre Systeme auch besonders aggressiven und gezielten Hackerattacken im APT-Umfeld (Advanced Persistent Threats) stand? Wurde dies bereits getestet?
- Gibt es ein umfassendes Datenschutzkonzept für Ihre Daten? Speichern Sie alle Ihre Geschäftsdaten verschlüsselt (beispielsweise in einer Cloud) und sichern Sie diese mehrfach gegen unerlaubten Zugriff? Wie gehen Sie mit persönlichen Daten von Kund:innen und Mitarbeiter:innen um, für die die Datenschutzgrundverordnung (DSGVO) besondere Vorgaben zum Datenschutz macht?
- Haben Sie Ihre Lieferketten und Ihre Zusammenarbeit mit Ihren Kund:innen auf Sicherheitslücken geprüft? Tauschen Sie noch Daten über ungeschützte Kanäle mit Dritten aus oder verwenden Sie Software und Webinterfaces von Geschäftspartner:innen, die nicht auf Cybersicherheit geprüft sind?
- Werden alle Ihre Mitarbeiter:innen regelmäßig, etwa in Form von Awareness-Workshops zu den neuesten Gefahren von Hackerattacken geschult?
- Binden Sie alle BYOD-Geräte wie beispielsweise Notebooks im Homeoffice oder privat und beruflich genutzte Smartphones und Tablets sicher in Ihr Firmennetz ein? Verwenden Sie hierfür ein leistungsfähiges Unified-Endpoint-Management mit Benutzerfreigaben?
- Was tun, wenn der Schadensfall eingetreten ist? Haben Sie ein Konzept für den Fall, dass Ihre Systeme mit Malware befallen oder Geschäftsdaten gestohlen wurden? Sind Ihre Systeme nach einem Schadensfall zeitnah aus Cloud-Backups wiederherstellbar?
Cyber-Security in der Übersicht
- Auch junge Unternehmen können jederzeit Opfer von Hackerattacken werden. Solche Angriffe treffen nicht allein Großunternehmen.
- Fast jede zweite deutsche Firma wurde im letzten Jahr Opfer eines Cyberangriffes. Die Schadenshöhe lag im Median bei rund 18.000 Euro.
- Zusammenarbeit macht stark und sicher: Junge Unternehmen sollten sich mit ihren Geschäftspartner:innen auf gemeinsame Sicherheitsstandards einigen.
- Aufmerksame Mitarbeiter:innen und sichere Technologien und Prozesse sind der beste Schutz gegen Angreifer:innen, insbesondere gegen Social Engineering.
- Das Wissen über Cyberattacken sollte regelmäßig erneuert werden – beispielsweise in Awareness-Workshops.
- Sahra Elßer hat auf ihrer Reise mit Vodafone und Accenture viele Tricks von Hacker:innen kennengelernt und rät daher jungen Firmen, sich von Profis regelmäßig unterstützen zu lassen, beispielsweise in Form von Security-Checks und Schulungen.
Quelle:
https://www.vodafone.de/business/featured/digitale-vorreiter/experten/cyber-sicherheit-fuer-junge-unternehmen-sarah-elsser-von-tech-well-told-zeigt-worauf-es-ankommt/