Datendiebstahl kostspieligstes Risiko

Cybercrime wird für Unternehmen immer kostspieliger

06.05.2019 von Marc Wilczek
Ausgefeiltere Angriffstechniken verlangen ein Umdenken der CIOs, um Datenverluste und Systemausfälle zu begrenzen. Der Faktor Mensch wird zum Engpass. Weitere Ergebnisse einer Accenture-Studie lesen Sie in diesem Artikel.

Nicht nur die Wirtschaft ins in vollem Schwung die Digitalisierung voranzutreiben, auch Kriminelle haben für sich das Schlaraffenland entdeckt und expandieren eifrig in neue Geschäftsfelder. Alleine die Schäden hierzulande beziffert der Branchenverband BITKOM im Milliardenbereich - Tendenz steigend.

Laut der 2019 Annual Cost of Cybercrime Studie des Beratungshauses Accenture, brauchen Unternehmen jedoch immer länger, um Angriffe zu erkennen und abzuwehren und verlieren dadurch mehr Geld.
Die Studie basiert auf Interviews mit 2.647 Führungskräften von 355 Unternehmen aus 11 Ländern und 16 Branchen.

Die Folgekosten für Cyber-Angriffen werden heute auf digitale Weise erfasst und in Tabellenform dargestellt. Interessant wäre dennoch die Länge der Papierstreifen nach einem erfolgten Angriff.
Foto: Stokkete - shutterstock.com

Demnach verändern sich die heutigen Cyberangriffe vielfältig: von den Unternehmen im Visier, über Angriffstechniken, bis hin zu den Arten von Schäden die sie anrichten. Im vergangenen Jahr gab es in jedem der befragten Unternehmen durchschnittlich 145 Sicherheitsverletzungen, die in die Kernnetze der Unternehmen oder Unternehmenssysteme eingedrungen sind. Das sind 11 Prozent mehr als im Vorjahr und ganze 67 Prozent mehr als vor fünf Jahren.

Die Kostenspirale dreht sich weiter nach oben

Nicht nur die Angriffe selbst steigen, so auch die Kosten. Der Studie zufolge belaufen sich diese im Schnitt nunmehr auf 13 Millionen Dollar pro Unternehmen. Dies sind 1,4 Millionen Dollar Zusatzkosten gegenüber dem Jahr 2018.

Die Kosten berücksichtigen, wie viel die betroffenen Unternehmen aufwänden, um einen Datenverstoß über einen ununterbrochenen Zeitraum von vier Wochen zu finden, zu untersuchen und einzudämmen sowie die Wiederherstellungskosten und Aufwände um eine Wiederholung künftig zu verhindern. Ebenso sind Aufwendungen zur Bewältigung von Betriebsstörungen und Kundenverluste in die Kalkulation einbezogen.

US-amerikanische Unternehmen verzeichneten die größten Kostensteigerungen bei der Cyberkriminalität: Diese sind gegenüber dem Vorjahr um 29 Prozent gestiegen. Im Schnitt betrugen die Kosten 27,4 Millionen US-Dollar pro Unternehmen - doppelt so viel wie die von Unternehmen in allen anderen Ländern, die in der Umfrage erfasst wurden.

An zweiter Stelle kam Japan mit Schäden in Höhe von 13,6 Mio. US-Dollar. Deutsche Unternehmen folgten mit den dritthöchsten Schadenssummen von 13,1 Mio. US-Dollar. Unternehmen in Großbritannien belegten mit 11,5 Mio. US-Dollar den dritten Platz. Die niedrigsten durchschnittlichen Gesamtkosten pro Unternehmen lagen in Brasilien und Australien mit 7,2 Mio. US-Dollar bzw. 6,8 Mio. US-Dollar.

Angriffe werden zunehmend intelligenter und zielgerichteter

Der Datendiebstahl ist das kostspieligste und am schnellsten wachsende Risiko der Cyberkriminalität - nicht zuletzt auch aufgrund der DSGVO-Bußgelder bei Verstößen.

Aber Daten sind nicht das Einzige, was im Fadenkreuz der Bösewichte steht. Dem Bericht zufolge sind zunehmend geschäftskritische Dienste und Industriesysteme (Fertigungs-, Steuerungs-, Gebäudetechnik usw.) im Visier, um möglichst große Schäden zu verursachen. Gerade durch das Internet der Dinge, Sensorik und zunehmende Vernetzung steigen die Risiken. So können beispielsweise Distributed Denial of Service (DDoS)-Angriffe stundenlang Online-Dienste nachhaltig stören beziehungsweise Unternehmen sogar zum Stillstand bringen.

Obwohl Daten ein Top-Ziel sind, wollen Kriminelle sie nicht immer stehlen. Es gibt einen neuen Trend unter Cyberkriminellen: Daten nicht einfach zu kopieren, sondern diese zu manipulieren, so dass sie entweder ruiniert oder nicht mehr vertrauenswürdig sind. Die Integrität der Daten zu beeinträchtigen rückt in den Mittelpunkt.

Social Engineering: Die Methoden der Cyberkriminellen
Social Engineering bekämpfen
Die Gefahren durch Social Engineering treffen sogar erfahrene IT-Profis. Auch wenn es keine Standard-Gegenmittel gibt, geht es in erster Linie darum, die Methoden der Angreifer zu verstehen. Dann ist der Kampf schon halb gewonnen. Wir zeigen sieben perfide Wege, über die Social Engineers an ihre Daten und ihr Geld wollen.
Der "vergessene" USB-Stick
Oops, da hat doch glatt jemand einen Stick liegengelassen. Na, wollen wir mal schnell schauen, wem er gehört - also am besten eben an den Rechner gesteckt ... <br /><br />Dieser alte Bauerntrick ist immer noch einer der erfolgreichsten Angriffe auf Unternehmen. Auch wenn Microsoft beispielsweise das automatische Starten von Anwendungen auf USB-Sticks unter Windows unterbindet, helfen kreative, Neugier weckende Dateinamen enorm, unvorsichtige Mitarbeiter zum Klicken zu bewegen. Unternehmen bleibt nur, USB-Ports komplett zu sperren oder - sinnvoller - ihre Mitarbeiter entsprechend zu schulen.
Perfekt gefälschte Phishing-Mails
Den meisten Phishing-Mails sieht man ihre Herkunft: Schlecht formatiert, grausame Ausdrucksweise, billiges Zum-Klicken-Auffordern. Dennoch gibt es immer wieder Exemplare, die vortäuschen, von der Bank, der Krankenkasse, der Versicherung oder der Personalabteilung zu kommen und die ängstliche Mitarbeiter schnell am Haken haben. Dann genügt ein Klick, un das gesamte Unternehmensnetz ist infiziert. Dabei ist es gar nicht so schwer, Phishing-Mails zu erkennen - und seien sie noch so gut gemacht. Sobald das Ziel der Mail ist, einen Link zu klicken, persönliche Daten zu überprüfen oder einzugeben, sollte die Mail ganz schnell in Ablage P landen.
Mails von "Freunden" und "Kollegen"
Im Gegensatz zum generischen Phishing richtet sich Spear Phishing ganz gezielt gegen Einzelne oder eine kleine Gruppe von Menschen. Beliebt unter Angreifern ist es, in sozialen Netzen nach Opfern Ausschau zu halten, sie nach ihren Hobbys und Tätigkeiten auszuspionieren. Anschließend werden maßgefertigte Phishing-Mails entworfen und versendet - hier stimmt die Anrede, der Name der adressierten Firma und häufig auch der Anhang, der als Brief eines Arbeitskollegen oder flüchtigen Bekannten getarnt wird. Der Erfolg dieser Aktion ist natürlich höher als beim generischen Phishing. Was hilft? Konsequentes Misstrauen, persönliches Nachfragen beim vermeintlichen Absender und das Ignorieren aller E-Mail-Anhänge.
Telefonanrufe
Talentierte Angreifer schaffen es spielend, per Telefon persönliche Informationen aus einem Menschen herauszukitzeln, ohne dass dieser es überhaupt mitbekommt. Wer also von der "IT-Abteilung" angerufen wird, um ein Passwort zu verifizieren oder von der "Versicherung", seine Adresse zu bestätigen, sollte vor allem eins tun: Sich die Nummer aufschreiben und den sofortigen Rückruf anbieten. Alternativ den Anrufer über die Dinge ausfragen, die der bereits wissen müsste, wenn er der ist, für den er sich ausgibt. Grundsätzlich gilt: Sensible Informationen, vor allem Passwörter, niemals per Telefon weitergeben!
Physische Sicherheit des Büros
Ziehen Sie die typische Kleidung einer Firma an, tun Sie so, als gehörten Sie dazu und schmuggeln Sie sich in die Mitarbeitergruppe, die gerade aus der Raucherpause zurück ins Innere des Unternehmensgebäudes bummelt. Zack, schon sind Sie drin!<br /><br /> Da kann die Technik noch so sicher sein, gegen solches unbefugtes Eindringen sind vor allem große Unternehmen oft schlecht gefeilt, weil dort eben nicht jeder jeden kennt. Bläuen Sie Ihren (Empfangs-)Mitarbeitern ein, dass sie nach gefälschten Mitarbeiterausweisen Ausschau halten und sich gerade unbekannte Personen genauer ansehen.
Der freundliche Supportmitarbeiter
Ihn hatten wir schon beim Punkt "Telefonanrufe". Der Fake-Anruf aus dem IT-Support oder direkt vom Hersteller, weil das letzte Update des Betriebssystems noch final verifiziert werden muss, etwas mit der Systemkonfiguration nicht stimmt oder der bestellte neue Rechner gleich kommt und vorher noch etwas am alten System zu tun ist. Sobald jemand den Fremdzugriff (Remote Access) auf Ihren Computer haben möchte, sollte er einen guten Grund haben. Und nein, Microsoft ruft niemanden persönlich an, um etwas bei Windows zu korrigieren. Sagen Sie das den Mitarbeitern!

Darüber hinaus entwickeln Cyberkriminelle ihre Techniken weiter. Mehr denn je zielen sie auf das schwächste Glied in einem IT-Sicherheitssystem eines Unternehmens: den Menschen. Ransomware, Phishing und Social Engineering sind nach wie vor verbreitetet Phänomene, die - allen Warnungen und Hinweisen zum Trotz - in der Praxis erschreckend oft funktionieren. Ob aus Leichtsinn, Unachtsamkeit oder purer Neugierde, nur allzu oft werden E-Mail-Anhänge geöffnet und es wird auf Links geklickt, womit sprichwörtlich die Büchse der Pandora geöffnet wird und das Unheil seinen Lauf nimmt.

Inzwischen sind das alte Tricks. Neu ist jedoch die wachsende Tendenz bestimmter Länder und ihrer bezahlten Hacker, diese Techniken zu nutzen, um Unternehmen aus geopolitischer Motivlage heraus schwere Schäden zuzuführen. Einige Gerichtsbarkeiten beginnen, solche Angriffe als "Kriegshandlungen" oder "asymmetrische Kriegsführung" einzustufen, um Cybersicherheitsverletzungen zu vereiteln. Nicht ohne Grund wurde im Jahr 2017 in der Bundeswehr eigens das Kommando Cyber- und Informationsraum (KdoCIR) geschaffen, um dem Themenkomplex mehr Raum und Gewicht zu geben.

Abwehrkräfte stärken

Die Cyberkriminalität wird immer ausgefeilter und zum Massenphänomen. Viele Unternehmen setzen jedoch noch immer auf antiquierte Technologie und den Faktor Mensch zur Erkennung und Bekämpfung von Cyber-Bedrohungen. Menschen sind bisweilen die häufigste Fehlerquelle bei der Erkennung von Datenpannen. Darüber hinaus herrscht aufgrund des Fachkräftemangels ein Nachfrageüberhang.

Die benötigten Köpfe sind schlichtweg nicht vorhanden. Dem zu Trotz setzen lediglich 28 Prozent der befragten Unternehmen auf Technologie im Bereich Automatisierung, Advanced Analytics oder Maschinelles Lernen. Mit 2,9 Millionen US-Dollar erzielten diese jedoch ausgerechnet die zweithöchsten Kosteneinsparungen bei den Sicherheitstechnologien insgesamt.

Die Studienergebnisse legen nahe, dass intelligente Cybersicherheitsmaßnahmen es ermöglichen, die Kosten für Cyberkriminalität deutlich zu senken und sich neue Umsatzmöglichkeiten zu erschließen.

Zum Video: Cybercrime wird für Unternehmen immer kostspieliger

In der digitalen Welt spielt Verfügbarkeit und Erreichbarkeit von Web-Diensten eine Schlüsselrolle. Wer zu lange braucht um Bedrohungen abzuwenden oder einen konkreten Angriff abzuwehren, spielt mit dem Feuer. Negativmeldungen kursieren dank sozialer Netze mit einem Wimpernschlag rund um den Globus und das Internet vergisst nichts.