Im Jahr 2023 verzeichnete das Federal Bureau of Investigation 880.418 Fälle von Cyberkriminalität mit einem Gesamtschaden von 12,5 Milliarden Dollar. Weltweit belief sich der Schaden auf 9,22 Billionen Dollar. Das häufigste gemeldete Verbrechen war Phishing mit 14.722.361 Fällen, bei dem sich jemand als vertrauenswürdiger Kontakt ausgibt, um an sensible Informationen und die Anmeldedaten zu gelangen.
Im Durchschnitt waren 2022 in Österreich 67% Unternehmen von Cyberattacken betroffen. Eigentlich ist es nur eine Frage der Zeit, bis jedes Unternehmen in irgendeiner Form von Cyberangriffen betroffen sein wird. Die Frage ist nur: Wurden dann auch schon Vorkehrungen getroffen, um diese zu verhindern und abzuwehren bzw. zu minimieren?
Sichere Systeme haben drei entscheidende Faktoren:
- Die Menschen
- Die Arbeitsprozesse
- Die Technologie
Sie müssen zusammenspielen und harmonieren. Es bringt nichts, wenn die Menschen die Technik nicht bedienen können und die Prozesse nicht leben. Durch das Umgehen dieser entstehen Sicherheitslücken. Das offensichtlichste Beispiel dazu sind Infizierungen mit Ransomware durch klicken von irgendwelchen Links.
Es sind nicht nur dubiose E-Mails mit Links das Problem. Dabei häufen sich die Berichte über Deepfake-Nachrichten, wo z.B. ein vermeintlicher Finanzvorstand oder der Chef die Anweisung gibt, einen Geldbetrag zu überweisen. Einen Millionen Betrug gab es schon in Hongkong . Das wird noch eine riesen Herausforderung in nächster Zeit.
Doch auch technisch ist es wichtig, am neuesten Stand zu sein. Speziell mit den Updates und Upgrades, da diese bekannte Sicherheitslücken schließen und Cyberattacken vorbeugen können. Nicht jede IT Firma ist davon überzeugt, dass ständig Updates gemacht werden sollten, da es passieren kann, dass es in mehr Arbeit ausartet, weil etwas nicht mehr so funktioniert wie davor. Deswegen ist es wichtig, eine IT Firma zu haben, welche Wartungsverträge anbietet, weil sie proaktiv das System warten und sich bemühen, das System gesund und funktionell zu halten, ohne dass etwas davor kaputt sein muss.
Doch was bedeutet es wirklich Opfer zu sein?
In vielen Köpfen sind nur die Spam-Mails in fast unleserlicher Sprache, die am Ende des Tages ein paar hundert oder tausend Euros Verlust bedeuten. Was ist aber, wenn eine gezielte Attacke auf das Unternehmen durchgeführt wird. Und vor allem wie sieht es damit aus, geschäftsfähig zu bleiben bzw. wieder zu werden? Dazu kommen wir später.
Es enstehen auch teilweise horrende Kosten, welche die Weiterführung von Unternehmen gefährden oder sogar nicht mehr möglich machen. Der erste große Kostenanteil ist der Austausch und die Erweiterung der technischen Einrichtung. Von Handy bis zu Server kann und ist meistens alles getroffen, da nicht mit Sicherheit gesagt werden kann, was infiziert oder noch gefährlich sein könnte.
Bei diversen Cyberangriffen waren die Kriminellen schon Monate lange im System, bevor sie den Angriff starten. Bei solch einem Ausmaß muss man sich die Frage stellen, ob die Backups noch sauber und einwandfrei sind. Die altbewährte Backupstrategie 3-2-1 ist hier zum Teil nicht mehr ausreichend, speziell wenn es um Randsomware geht. Backupstrategien wie die 3-2-1-1-0 und die 4-3-2 bieten da besseren Schutz.
Im Jahr 2022 betrugen die durchschnittlichen Kosten für eine Datenpanne 4,45 Millionen Dollar. Diese Verstöße gegen das DSGVO sind an enorme Strafen und Sanktionen geknüpft. Je nach der Schwere des Verstoßes gibt es zwei Stufen von Sanktionen. Die erste Stufe gilt für weniger schwerwiegende Verstöße und beläuft sich auf bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Die zweite Stufe für schwerwiegendere Verstöße beträgt bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist, zuzüglich Schadensersatz.
Was kann ein Unternehmen gegen Datenpannen unternehmen?
Auf den Datenschutz und die DSGVO bezogen sollte sich jedes Unternehmen mit diesen acht Fragen auseinandersetzen. Dabei geht es um die TOMs, den technisch-organisatorischen Maßnahmen. Welche auch für Menschen verständlich sein sollten die mit IT sonst nicht viel zu tun haben:
- Wer ist für das Thema im Unternehmen verantwortlich?
- Was bzw. welche Datenkategorien werden erfasst?
- Wo werden die Daten gespeichert?
- Warum bzw. was ist der Rechtsgrund, der zur Anwendung kommt?
- Wozu – also was ist der Zweck der jeweiligen Datenverarbeitung.
- Wohin werden die Daten übergeben?
- Wie lange werden die Daten gespeichert bzw. wann muss man sie löschen?
- Und wie sicher werden die Datensicherheitsmaßnahmen ergriffen?
Es sind nicht nur die Kosten für die neue EDV was anfallen…
Nach einem Cyberangriff oder einem Datenverlust kommt dann auch noch der Imageschaden, welcher schwer in einem Betrag ausgedrückt werden kann. Erstens sind Umsatzeinbußen aufgrund von Kundenabwanderung zu erwarten, da in der heutigen Zeit Verbraucher besonders sensibel in Bezug auf Datenschutz sind, vor allem seit der Einführung der DSGVO. Kunden legen großen Wert darauf, dass Ihre Daten sicher verwahrt werden. Wenn Bestandskunden Zweifel an der Datensicherheit haben, könnten Sie zu einem anderen Anbieter wechseln. Das Risiko eines negativen Images ist im B2C-Bereich besonders hoch und kann sogar B2B-Unternehmen betreffen. Negative Public Relations können dazu führen, dass Kunden aus Prinzip das Unternehmen verlassen und stattdessen beim Konkurrenten einkaufen.
Zweitens sind Verluste von Geschäftspartnern möglich. Ein geschädigter Unternehmensruf könnte nicht nur Kunden abschrecken, sondern auch Partner wie Lieferanten dazu bringen, sich zu distanzieren. Dadurch könnten Lieferketten gefährdet oder Marketingpartnerschaften beendet werden, was wiederum zu Umsatzeinbußen führen könnte.
Drittens kann es negative Folgen für das Recruiting geben. Angesichts des Fachkräftemangels sind gut ausgebildete Arbeitskräfte sehr begehrt. Potenzielle Arbeitnehmer prüfen potenzielle Arbeitgeber sorgfältig. Ein angekratztes Unternehmensimage kann dazu führen, dass die Personalabteilung Schwierigkeiten hat, Talente für das Unternehmen zu gewinnen.
Ein Cyberangriff Scenario und was danach passiert.
Jetzt zurück zur Frage der Geschäftsfähigkeit. Spielen wir ein Scenario durch. Das Handelsunternehmen ABC AG welches mehrere Filialen besitzt und die offline und online Vertriebskanäle nutzt. Sie haben einige Vertreter und beträuen mehrere Großhändler. Es wurde vor kurzem eine Online-Shop Lösung auf der Website installiert und die internen Server erweitert, um die Datenmenge händeln zu können. Die Vertreter wählen sich über VPN ins Firmennetzwerk ein um auf ihre Daten zu kommen oder das CRM System zu benützen.
Das IT Team umfasst nach wie vor 3 Mitarbeiter. Sie sind spezialisiert auf Softwareentwicklung, Webentwicklung und Datenbankverwaltung. Dabei haben sie noch eine Basisausbildung in Netzwerktechnik und Systemadministration. Fünf Monaten nach der Servererweiterung fällt einem Mitarbeiter auf, dass sich ein Netzwerkswitch komisch verhalten hat. Er prüfte die Einstellungen nach, welche in Ordnung waren. Auch das Fernwartungstool meldete nur minimale Abweichungen, was durchaus von der neuen Server-Kofiguration abhängen konnte.
Das einzig Merkbare war, dass die internen Geschwindigkeiten im Netzwerk ab und zu schwankten, was auf die Fernzugriffe von den Vertretern geschoben wurde. Nach nochmal 2 Wochen gab es einen kurzen Ausfall von einem Server. Was nicht so schlimm war, weil es der Backupserver kompensierte. Nach dem Neustart des ausgefallenen Servers fällt einem It Mitarbeiter auf, dass der Server Dateien auf den Backupserver synkronisieren möchte. Was eigentlich umgekehrt sein sollte. Da er den Vorgang nicht stoppen konnte, eilte er zu seinen Kollegen.
Nach ca. 15 Minuten stellte sich herraus, dass sie nicht mehr die einzigen waren, die auf den Server Zugriff hatten. Sie gingen nach Protokoll vor und versuchten, den Eindringling abzuschotten und einzudämmen. Was sich als nicht erfolgreich herausstellte. Die Infizierung war schon zu weit fortgeschritten. Daraufhin wurde die Geschäftsleitung informiert und gebrieft. Auch ein Sicherheitsexperte von außen wurde mit einbezogen.
Sie wurden Opfer eines klassischen Cyberangriffes, welcher diese Schritte beinhält:
1. Aufklärung (Reconnaissance): Der Angreifer sammelt Informationen über potenzielle Ziele, Schwachstellen und Sicherheitslücken.
2. Erstzugriff (Initial Access): Der Angreifer gewinnt Zugriff auf das Zielsystem durch verschiedene Methoden wie Phishing-E-Mails, Schwachstellen in Software oder Hardware usw.
3. Laterale Bewegung (Lateral Movement): Nachdem der Angreifer in das System eingedrungen ist, versucht er, sich innerhalb des Netzwerks zu bewegen und Zugriff auf weitere Systeme zu erhalten.
4. Berechtigungserweiterung (Privilege Escalation): Hier versucht der Angreifer, seine Berechtigungen im System zu erhöhen, um auf sensible Informationen oder kritische Systeme zuzugreifen.
5. Datenabfluss (Data Exfiltration): Der Angreifer kopiert oder stiehlt Daten aus dem Zielsystem, um sie für finanzielle Gewinne oder andere Zwecke zu nutzen.
6. Spuren verwischen (Covering Tracks): Um unentdeckt zu bleiben, deckt der Angreifer seine Spuren im System, um die forensische Analyse zu erschweren.
7. Zugriff aufrechterhalten (Maintain Access): Der Angreifer versucht weiterhin, Zugriff auf das System aufrechtzuerhalten, um langfristigen Schaden anzurichten oder wiederholte Angriffe durchzuführen.
Beim Serverneustart fiel dem IT Mitarbeiter der Datenabgleich auf, dies war der Versuch, den Zugriff aufrechtzuerhalten. Die Angreifer waren schon seit einigen Wochen im System und hatten schon diverse Kundendaten und betriebsinterne Daten heruntergeladen.
Was tun in dieser heiklen Situation? Es muss auf jeden Fall der Vorfall gemeldet werden. Das große Thema bei einem solchen Cyberangriff, das fast immer ignoriert wird, ist, dass die Spurensicherung Logdaten, Protokolle und Abbilddateien von Servern und anderen Komponenten benötigt. Was bedeutet, dass nicht einfach alles abgeschalten werden darf und auch nicht gleich das Backup, insofern es vorhanden ist, eingespielt werden kann.
Was es noch schwieriger und aufwändiger macht, die Server wieder hochzufahren und die Systeme wieder zum Laufen zu bringen. Die Geschäftsfähigkeit ist bei fast allen Betrieben gleich 0 wenn die IT nicht funktioniert. In diesem Fall hätte das Unternehmen noch eine Garnitur Server, Switches usw. auf Reserve gebraucht, um sofort wieder weitermachen zu können.
Es gibt schon sehr wenige Unternehmen, die ein Redundates-System was bedeuten würde, 2 identische Server zu besitzen, die gespiegelt sind. Dann kommt noch das Thema mit den Backups, wie oben schon geschilder. Deswegen wird immer mehr auf virtuelle und Cloud Lösungen gesetzt und umgestiegen. Welche diverse Vorteile in solch einer Situation haben.
Wir sind nicht die Spezialisten die sie brauchen, wenn sie aktuell von einer Cyberattacke betroffen sind, aber wir können sie im Vorfeld beraten, wie sie sich technisch schützen können, was sie für Regeln und Prozesse benötigen und worauf ihre Mitarbeiter achten müssen. Wie z.B. dass ein Außendienstmitarbeiter nicht den auf der Straße gefundenen mit „The Greatest Hits 2024“ beschrifteten USB Stick in den Firmenlaptop stecken darf.
Und wir können Ihnen helfen wieder schnellstmöglich Geschäftsfähig zu werden. Melden Sie sich bei uns bezüglich einem kostenlosen Kennenlerngespräch.