Digitalisierung & Transformation

Digitalisierung und IT-Sicherheit V

Wie Cyberattacken deutlich zu reduzieren sind

Bertram Dunskus 26.05.2021
Cybervorfälle stellen in der Schweiz das häufigste Risiko für Firmen und KMU dar, mit zumeist weitreichenden Folgen. Diese reichen von Betriebsunterbrüchen bis zu Lösegeld­forderungen. Doch schon mit zwei einfachen Mitteln kann ein Grossteil der Cyberangriffe vermieden werden.
PDF Kaufen

Cyberangriffe erfolgen meist über ein Phishingmail. Die Angreifer locken da­-mit zum Beispiel auf gefälschte Websites. Loggt sich der User dann dort ein, können die Angreifer das Passwort stehlen und damit in die Firmensysteme eindringen. Die Systeme und Daten werden dann so verschlüsselt, dass der Anwender oder sogar das ganze Unternehmen nicht mehr arbeiten kann. Danach erpressen die Angreifer die Firma und fordern ein Lösegeld, damit beim Betrieb die Arbeitsfähigkeit wiederhergestellt wird. Neuerdings werden die Daten auch verkauft oder veröffentlicht, um zusätzlich Druck aufzubauen und weitere Einnahmen zu ermöglichen.

Zwei Schutzsäulen

Die Folgen von Cyberangriffen sind für KMU geschäftsgefährdend. Abgesehen von Lösegeldzahlungen oberhalb von 100 000 Franken selbst für kleinere Unternehmen entstehen auch noch Probleme mit Betriebsunterbrechungen, verzögerter Produktion, Wettbewerbsnachteilen und eventuell sogar juristischen Konsequenzen.

Obwohl es einfache und wirkungsvolle Mittel zum Schutz gibt, ist deren Gebrauch erst in wenigen KMU zu finden. Mit folgenden zwei Säulen können zwei Drittel aller Cyberangriffe vermieden werden. 

Erste Säule: Zugänge zusätzlich schützen

Angriffe durch gestohlene Passwörter können verhindert werden mit Multi­faktor-Authentifizierung (MFA). MFA bewirkt, dass der Zugang durch ein zusätzliches Merkmal geschützt wird, wie wir es oft bereits vom Online-Banking kennen, also zum Beispiel eine SMS-Prüfzahl. 

Wie gut dieser Schutz wirkt, wird klar, wenn man sich Auswertungen von Micro­softs Sicherheits-Teams ansieht. Sicherheitsgruppen haben berechnet, dass Anwender ohne MFA im Schnitt eintausend Mal häufiger Opfer von Hacking werden im Vergleich zu Usern mit MFA.

Eine sicherere und gleichzeitig bequemere Option ist die Verwendung einer Authentifizierungs-App. Diese kann zum Beispiel auf dem Handy oder teils sogar auf der Smartwatch durch Antippen den Zugang erlauben. MFA ist in vielen Systemen kostenlos verfügbar und die Anwender gewöhnen sich recht schnell an die Nutzung. Bei den MFA gibt es verschiedene Ausführungsarten, wobei nicht alle den gleichen Sicherheitswert bieten.

  • Zusendung eines Einmalcodes: Einmalcodes werden per SMS zugesandt und danach manuell im Computer eingetippt. Leider bieten die Mobilfunkstandards keinen guten Schutz für SMS-Daten, daher wird von solchen Lösungen abgeraten.
  • Authentifizierungs-App mit Einmalcodes: Diese Apps werden auf das Mobiltelefon geladen und mittels QR-Code mit dem entsprechenden Dienst (beispielsweise Buchhaltungssoftware) verbunden. Anschliessend wird alle 30 Sekunden ein neues Einmalpasswort generiert. Die Codes werden auf Basis eines Schlüssels erstellt, der nur dem Anwender und Server bekannt ist. Die User tippen den aktuellen Code im Anschluss an das Passwort ein. 
  • Authentifizierungs-App mit Bestätigungs-Click: Nach Login beim betreffenden Dienst wird über das Mobiltelefon die Anmeldung genehmigt oder abgelehnt. Wer eine Smartwatch hat, kann die Freigabe unter Umständen direkt am Handgelenk machen, ohne das Handy zu suchen. 
  • Physische Schlüssel: Diese Art von MFA ermöglicht einen sicheren Zugang direkt an der Hardware. Die physische Anmeldung wird durch einen speziellen USB-Stick geschützt. Diese Variante ist ebenfalls sicher, da der Datenaustausch direkt über die Hardware stattfindet. 
  • Geräteverwaltungssoftware: Eine Geräteverwaltungssoftware bietet eine einfache Möglichkeit, die Unternehmensdaten zu schützen, da das Gerät (PC, Laptop, Smartphone, Tablet) selbst den zweiten Faktor darstellt. Dazu wird auf dem Gerät ein digitales Zertifikat installiert. Wenn die Anwender sich mit so einem Gerät einloggen, brauchen sie nur das Passwort und haben trotzdem die Sicherheit von MFA.

Festzuhalten ist, dass jeder weitere Anmeldeschritt die Sicherheit erhöht und den Zugang zu Daten erschwert. Zudem bietet die MFA für Unternehmen eine gute und kostengünstige Möglichkeit, sensible Daten und persönliche Informationen sicher zu schützen.

Zweite Säule: Mitarbeiter schützen

Beim Schutz der Mitarbeiter gilt es zu verhindern, dass Phishingmails bei den Anwendern ankommen. Falls sie doch durch die Firewall kommen, sollen die Anwender aufmerksam sein und korrekt reagieren. Einen ersten Schutz stellen Anti-Phishing-Filter in E-Mail-Systemen dar. Diese können zirka 80 Prozent aller Angriffe verhindern. Sie blockieren dazu E-Mails, die bekannte Phishinginhalte enthalten. Die E-Mails werden laufend mit Daten bekannter Angriffe abgeglichen und gegebenenfalls in den Papierkorb oder eine elektronische Quarantäne geschickt. Die zweite Stufe aber bleibt der Anwender, da dieser im Ernstfall richtig re­agieren soll. Dazu muss er gefährliche Inhalte ­erkennen können und die E-Mail an die zuständige IT-Stelle melden oder zerstören. 

Zur ersten Überprüfung des Sicher­heits­bewusstseins aller Mitarbeiter eignen sich Phishingtests. Ein einmaliger Phishing­test ist oft kostenlos und zeigt, wie der aktuelle Stand der Mitarbeiter in Bezug auf das Erkennen von Phishing und Malware ist. Typischerweise zeigt sich eine «Phi­shingquote» von 35 bis 40 Prozent, was bedeutet, dass mehr als ein Drittel aller Mitarbeiter die Angriffe nicht erkennen und sich auf die gefälschten Websites leiten lassen. Dort geben sie oft ohne weiteres Überlegen ihre Passwörter ein. 

Mittels Security-Awareness-Trainings kön­nen die Mitarbeiter speziell in diesem Bereich trainiert werden. Über eine On­line-Plattform werden regelmässige und gezielte Phishingangriffe durchgeführt. Falls der Mitarbeiter das E-Mail nicht als solches erkennt, erfährt er dank optischer Hinweise im E-Mail, worauf er hätte achten sollen. Zusätzliche Trainings mit verschiedenen Schwerpunkten (Phishing, Ransomware et cetera) verbessern die Sen­sibilisierung der einzelnen Mitarbeitenden. Durch diese regelmässigen Trainings zeigt sich, dass die Phishing­quote nach einem Jahr auf unter fünf Prozent sinkt. 

Der ganze Lernprozess sollte als Kreis­-lauf gestaltet sein und regelmässig stattfinden. Mit E-Learnings, Videos, Games, Postern oder Newslettern werden die Nutzer für spezifische Inhalte sensibilisiert. Anschliessend werden neue und schwierigere Phishingkampagnen durchgeführt, um die Mitarbeiter wieder zu testen. Die Analyse der Kampagnen zeigt genau, wo noch Schwächen vorhanden sind und welche Mitarbeitenden die E-Mails falsch einschätzen. Aus diesen Ergebnissen werden indivi­duelle Trainingskampagnen erstellt und alle Mitarbeitenden erneut getestet. Das Ziel bleibt dabei immer, dass die An­wender echte Phishingmails erkennen und richtig reagieren. 

Für solche Sicherheitstrainings gibt es verschiedene Anbieter, wobei die Kos­ten für Online-Tests und -Trainings nur bei wenigen Franken pro Benutzer und Monat liegen. Im Vergleich zu den oben erwähnten Kosten eines erfolgreichen Hackerangriffs lohnt sich diese kleine Investition sehr.

Porträt

Bertram Dunskus (Autor)

CEO, Arco IT GmbH

Arco IT GmbH unterstützt Ihre IT-Sicherheit mit hochwertigen Sicherheitsanalysen, Strategieberatungen und technischen Dienstleistungen.

 

Kontakt

bdunskus(at)arco-it.ch www.arco-it.ch