Schon im Jahr 2012 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Allianz für Cybersicherheit (kurz ACS) gegründet. Im Zeitalter der Digitalisierung soll Cybersicherheit sicherstellen, dass die durch Digitalisierung erreichten positiven Effekte auch wirklich positiv bleiben, und nicht zum Risiko für innovative Unternehmen werden. Gründungsmitglied ist auch der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM).
Worum geht es bei der Allianz für Cybersicherheit?
Es geht in erster Linie darum, kleinen und mittelständischen Unternehmen (KMU) Unterstützung zu geben bei ihrem Schritt in die Digitalisierung. Die teilnehmenden Unternehmen unterbreiten Angebote und bieten Hilfestellungen an, um KMU abzusichern und ihnen eine erfolgreiche Zukunft in der Digitalisierung zu ermöglichen. Daher lautet eines der obersten Ziele: „Prävention, Detektion und Reaktion“. Durch einen Informationspool, Erfahrungsaustausch untereinander und Partnerangebote werden KMU in die Lage versetzt, ihren Bedarf beim Thema Cybersicherheit zu ermitteln und dann auch passende Maßnahmen zu ergreifen. Die Themenfelder sind dabei vielfältig: Egal ob Handwerk oder Energiewirtschaft, das BSI verfolgt sein Ziel an vielen Fronten.
Detaillierte Informationen finden Sie auch hier.
Cybersicherheit – Was kann ich zum Einstieg tun?
Wie schon angesprochen können Sie sich über die Homepage der Allianz für Cybersicherheit Informationsmaterialien herunterladen und so einen ersten Bedarf identifizieren. Alternativ können Sie auch Veranstaltungen wie den Cyber-Sicherheits-Tag besuchen und dort an Themeninseln und Workshops teilnehmen. Mit Hilfe von einfachen Checklisten erhalten Sie schnell einen Überblick, welche Schritte Sie in Ihrem Unternehmen gehen können, um die Digitalisierung sicher und erfolgreich zu meistern. Außerdem können Sie sich dort mit Experten austauschen, um auf aktuelle Trends oder auch Bedrohungen schnell reagieren zu können.
Tipp: Wir haben zusammen mit dem Mittelstand 4.0-Kompetenzzentrum Planen und Bauen eine Checkliste erstellt, die Ihnen hilft, IT-Sicherheit und Compliance für Ihren Betrieb umzusetzen. Sie finden sie zusammen mit anderen interessanten Materialien in unserem Downloadbereich oder auch direkt hier: Checkliste zu IT-Compliance
Außerdem ist es bezüglich Ihrer Website, also der Online-Darstellung Ihres Unternehmens, immer eine gute Idee, einen unserer kostenlosen Website-Checks zu buchen. Hier können wir Sie schon auf einige Verbesserungspotenziale aufmerksam machen und erste Handlungsempfehlungen aussprechen. Das betrifft sowohl Ihre Cybersicherheit als auch Ihr Marketing!
Wenn ich das Risiko nicht tragen will – was kann ich tun?
Es gibt inzwischen auch Versicherungen, die Schutz gegen Cyberangriffe bieten bzw. eine Schadensregulierung im Ernstfall. Unter anderem VHV, Hiscox, AXA, oder auch die Gothaer haben hier schon ein passendes Modell, das Privatpersonen und Unternehmern effektiv schützen kann.
Risiken können unter anderem folgende sein:
- Datenschutzverletzungen
- Hackerangriffe und Datenverluste
- Verletzung geistiger Eigentumsrechte (z. B: bei Bildern)
- Betriebsunterbrechungen infolge von IT-Ausfällen
- Erpressungen durch Hacker (z. B. durch Verschlüsselungs-Trojaner oder Veröffentlichung sensibler Daten)
Dazu kommen indirekte Risiken: Besonders wenn auch Kundendaten entwendet oder veröffentlicht werden kann das für einen Betrieb verheerende Folgen haben. Neben dem Verlust des Standings oder guten Rufs muss der Betroffene dann auch extrem hart arbeiten, um neue Kunden anzusprechen. Zusammen mit den entstehenden Kosten – die VHV beziffert diese auf durchschnittlich über 40.000 € – kann das einen Handwerksbetrieb schon aus der Bahn werfen!
Wann benötige ich eine Versicherung?
Das kommt natürlich immer auf den Einzelfall an. Hier ist es die beste Maßnahme, einen Experten hinzuzuziehen, der sich die Situation im Betrieb ansieht und bewertet. Dadurch erhält man einen umfassenden Überblick über mögliche Risiken und Maßnahmen, noch deutlich tiefgreifender als durch Checklisten.18
„Was soll schon passieren?“: Methoden der Cyberkriminalität
CEO Fraud
Dieser Trick wird auch „Fake President Fraud“ oder zu Deutsch kurz Chef-Masche genannt. Er basiert darauf, dass Cyberkriminelle Daten über ein Unternehmen und seinen Geschäftsführer (CEO) sammeln, um sich dann als hochrangiger Mitarbeiter im Unternehmen auszugeben und Geldüberweisungen von Mitarbeitern anzuweisen, üblicherweise ins Ausland. Das wird mit gefälschten Emails und ggf. zusätzlich „Social Engineering“ erreicht.[1] Das heißt, dass per Mail und/oder Telefonanruf menschliche Eigenschaften wie z. B. Hilfsbereitschaft vorsätzlich und gezielt ausgenutzt werden, um die gewünschte Aktion ausführen zu lassen.[2]
Je autoritärer und folgsamer die Interkationen in dem vom Kriminellen ausgesuchten Unternehmen generell sind, desto größer die Chance, Erfolg damit zu haben – und eine Menge Schaden anzurichten. Diese Methode wird oft sehr ausgeklügelt umgesetzt und ist von technischer Seite relativ einfach. Insgesamt ist sie deswegen bei Hackern sehr beliebt: Das aktuelle Bundeslagebild Wirtschaftskriminalität 2017 bescheinigt dem CEO Fraud hohes Schadenspotenzial und große Imageschäden für Unternehmen. In den Jahren 2016 und 2017 lagen die Schäden durch CEO-Frau bei über 360 Mio. €.[3]
Man in the middle
Dieser kurz MITM-Angriff genannte Methode basiert darauf, dass der Angreifer sich selbst oder ein dafür entwickeltes Tool zwischen das Opfer und eine von ihm aufgerufene Ressource schaltet. Das klingt relativ theoretisch, in der Praxis heißt das oft: Sie und ihr Router. Und das klingt dann schon nach etwas, das Bauchschmerzen hervorrufen kann. Das bedeutet auch, dass Sie nicht aktiv Ziel eines schädlichen Programms werden, sondern im Gegenteil der „Angriff“ kaum zu erkennen ist. Die gesendeten Daten werden abgehört und versetzen den Angreifer in die Lage, sich als eine der beiden Parteien auszugeben. Das bedeutet, Sie als Opfer können z. B. gefälschte Rechnungen erhalten, oder ihre Schecks werden abgefangen.
Der Angreifer erreicht das z. B., indem er einen schädlichen Router zwischenschaltet, der sich als legitimer Router ausgibt, oder auch sich zu einen bestehenden Router Zugriff verschafft. Eine Schwachstelle in der Konfiguration oder Verschlüsselung reicht da oft aus. Auch Ihr Browser kann als Ziel dienen, um eine große Menge vertraulicher Daten zu entwenden.[4]
Schützen kann man sich gegen solche Attacken durch eine gute Verschlüsselung. Dies kann z. B. durch digitale Zertifikate für die Client-Server-Kommunikation geschehen, allerdings muss der Server dafür diese Option auch bieten. Generell wichtig ist es, dass man keine Verbindung zu offenen WLAN-Routern aufbaut, oder – wenn es denn unbedingt sein muss – sich durch Browserplugins etwas absichert, die diese sichere Verbindung aufbauen wollen. Allerdings bietet diese Maßnahme im Ernstfall keinen verlässlichen Schutz.
SQL Injection
Diese Methode nutzt die Datenbanksprache SQL dazu, Befehle eines Angreifers in eine SQL-Datenbank einzuschleusen. Eine fehlerhafte Maskierung (z. B. Benutzermaske für Werte aus der Datenbank) oder eine mangelhafte Überprüfung der Metazeichen (z. B. „%“ , „\“ oder auch „!“) können eine solche Sicherheitslücke darstellen, die dem Angreifer Zugriff gewährt. Datenbank-Treiber oder SQL-Interpreter sind oft Ausgangspunkt solcher Attacken. Danach ist es dem Angreifer nach und nach möglich, Daten auszuspähen, Werte zu verändern oder sogar Kontrolle über den Server zu erhalten. Wird beispielsweise Ihre Login-Seite so angegriffen, gelangen Kundendaten in falsche Hände und sogar Bankinformationen und Zahlungen können vom Angreifer beeinflusst werden. Schon 2014 wurden in einem Angriff über eine Milliarde Nutzernamen und Passwortinformationen erbeutet – ganz ähnlich der kürzlich veröffentlichten Angriffe die kurz „Collection 1-5“ genannt wurde.[5]
Außerdem besteht die Möglichkeit, dass nach einer ersten „Infektion“ zusätzliche Schadcodes bzw. weitere Befehle ausgeführt werden, die z. B. gezielt Windows-Prozesse starten.
Fazit
Handwerk und Cybersicherheit gehen nicht Hand in Hand – aber sie müssen sich aufeinander zubewegen. Das Fortschreiten der Digitalisierung kann nicht verhindert werden, auch nicht für Handwerksbetriebe. Und mit neuen Chancen gehen neue Risiken einher, gegen die man sich schützen muss. Aus diesem Grund gibt es Institutionen wie die Allianz für Cybersicherheit, die hier eine Hilfe bietet zum Einstieg in die Thematik Cybersicherheit für das Handwerk. Mit Checklisten, kostenlosen Informationen und Veranstaltungen erhält man rasch einen Einblick in die wichtigsten Bereiche. Stellt man fest, dass man einen bestimmten Schutzbedarf hat, kann man geeignete Maßnahmen dagegen ergreifen. Dazu eignen sich Schulungen, Workshops, geförderte Beratung oder auch der Abschluss einer Versicherung. Denn wie man sieht, sind die Risiken nicht zu unterschätzen!
Quellen:
[1] https://strafverteidigung-hamburg.com/2859/ceo-fraud/
[2] https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html
[3] Bundeslagebild Wirtschaftskriminalität 2017, S. 12.
[4] https://www.kaspersky.de/blog/was-ist-eine-man-in-the-middle-attacke/905/
[5] https://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html