Das Internet ist ein unverzichtbarer Teil unserer Infrastruktur geworden. Das arbeitsleben sowie auch das Privatleben finden zu einem immer grösseren Teil digital statt. Die Vorzüge der Digitalisierung sind dabei nicht von der hand zu weisen. Daten reisen im Internet annähernd mit lichtgeschwindigkeit und kosten kein Porto. Digitale Daten verbrauchen kaum Platz. es ist ohne Weiteres möglich, die gesamte literatur einer Bibliothek auf einem Stick in seiner hosentasche mit sich zu tragen. es geht aber auch knapper – selbst wenn man auch die neuen gefahren miteinbezieht.
Cyber-Kriminelle können von überall auf der Welt einen Angriff auf das digitale Hab und Gut starten. In den meisten Fällen gelingt es den Angreifern, auch ihre Spuren so weit zu verwischen, dass eine Strafverfolgung aussichtslos ist. Umso wichtiger ist es, die Bedrohungslage zu kennen und die wichtigsten Sicherheitsmassnahmen zu ergreifen. Alle Unternehmen sind potenzielle Ziele von Ransomware – nicht nur die grossen. Die meisten Angriffe werden derzeit in Form von Verschlüsselungsattacken gefahren, da sich diese Methode als besonders effizient und lukrativ erwiesen hat und durch leicht skalierbare
und – dank gestohlener Daten – auch immer öfter personalisierten Spam-Kampagnen vorangetrieben werden kann.
Erhöhte Gefahrenlage
Besonders KMU sind dabei ein attraktives Ziel für kriminelle Aktivitäten im Internet. Der Hauptgrund hierfür ist die grosse Kluft, die immer noch zwischen der vermeintlich guten Vorsorge und den tatsächlich oft unzureichenden IT-Verteidigungsstrategien in vielen Unternehmen besteht. Betriebe verlassen sich noch viel zu oft auf das Glück, dass es einen selbst schon nicht treffen wird; doch das ist ein fataler Irrglaube. Die Statistik zeichnet ein deutlich anderes Bild der Gefahrenlage: Eins von vier Unternehmen wird früher oder später Opfer eines Cyber-Angriffs. Das entspricht der Wahrscheinlichkeit, beim Münzwurf zweimal hintereinander Zahl zu erhalten. Und dennoch wird das Thema IT-Sicherheit von Verantwortlichen kleiner Unternehmen oft systematisch unterschätzt – manchmal aufgrund von unvollständiger Kenntnis aller technischer Details, meist jedoch wegen der eben beschriebenen Unterschätzung der Bedrohungslage. Ausserdem fehlt dem Thema IT-Sicherheit der Sex-Appeal. «Wie viel Umsatzsteigerung kann ich von dieser Investition erwarten?», wird häufig gefragt. Die ehrliche Antwort sollte als Gegenfrage formuliert werden: «Wie hoch ist denn Ihr Umsatz?» Wenn die Maschinen stillstehen und der Betrieb zum Erliegen kommt, ist der verlorene Umsatz nämlich hundert Prozent. Ohne Back-up-Strategie ist es auch beschwerlich bis unmöglich, den Betrieb ohne Weiteres wieder in Gang zu setzen. Im schlimmsten Fall kann dies – bei geringem finanziellem Spielraum – das Aus für ein Unternehmen bedeuten. Für das Eintreten des schlimmsten anzunehmenden Unfalls reicht bereits ein falscher Klick eines Mitarbeiters auf ein mit Schadsoftware bestücktes Dokument. Deshalb ist es mehr als ratsam, das eigene Unternehmen mit dem Mindestmass an Schutz gegen Cyber-Angriffe auszustatten.
Die Drei Säulen
Die für eine ausreichende Vorsorge nötigen Massnahmen sind schnell aufgezählt. Im Groben kann man sagen, dass die digitale Hygiene von Unternehmen auf drei tragenden Säulen steht. Säule drei, die elementarste der drei Massnahmen, ist ein aktuelles Antivirenprogramm zum Schutz der firmeneigenen IT-Infrastruktur vor Ort zu verwenden. Dieser Schutz ist sozusagen der Notnagel, der auf den letzten Metern die Bedrohungen erkennt und abwehrt, die die vorhergehenden Schutzwälle überwinden konnten. Säule zwei ist eine Filtersoftware, die schädliche Eindringlinge gar nicht erst bis in die IT-Infrastruktur eindringen lässt. Schadbehaftete E-Mails werden ausgefiltert, bevor sie im Briefkasten des
Mitarbeiters landen. An diesem Schutzwall scheitern bereits die meisten Angriffsversuche. Und Säule eins ist die von vielen Firmen am wenigsten beachtete Schutzmassnahme: Mitarbeiterschulung. In 90 Prozent aller Fälle bedarf ein erfolgreicher Angriff der unfreiwilligen Mithilfe eines arglosen oder unvorsichtigen Mitarbeiters. Ein Link muss geklickt oder ein Dokument geöffnet werden, damit sich die Malware festsetzen und ihre zerstörerische Wirkung entfalten kann. Immer mal wieder gelingt es einer solchen E-Mail, die ersten beiden Säulen unentdeckt zu passieren. Der Mitarbeiter wird zum letzten Bollwerk gegen den digitalen Eindringling. Aus diesem Grund ist es immens wichtig, seine Mitarbeiter hinsichtlich der frühzeitigen Erkennung und des richtigen Umgangs mit solchen E-Mails zu schulen. Denn die Vorgehensweise der Kriminellen wird immer raffinierter. Die von ihnen versendeten Mails sehen einer legitimen Nachricht eines Kollegen oder Kunden oftmals täuschend ähnlich. In manchen Fällen sind die Computer des Absenders sogar selbst befallen, weshalb man die Quelle fatalerweise als vertrauenswürdig erachtet. Oft wird ein aus dem bisherigen E-Mail-Verlauf entnommenes, vertrautes Thema erwähnt, um das Opfer zum Öffnen eines mit Ransomware bestückten Dokuments zu bewegen. Ist ein Mitarbeiter nicht geschult, derartige Täuschungen zu erkennen, hat er keine Chance, den Angriff zu parieren.
Zunehmend mobil
Es gibt nur noch wenige Erwachsene, die sich der Notwendigkeit der Nutzung eines Smartphones nach wie vor ganz entziehen können. Für viele ist der TaschenPC im Berufsalltag unumgänglich. Doch auch im Privatleben, in Zeiten der sozialen Netzwerke und Messengerdienste wie WhatsApp, spielt der flache Begleiter eine immer zentralere Rolle im gesellschaftlichen Tagesablauf. Die Verbreitung von Smartphones unter Jugendlichen bis zwölf Jahren ist mit 95 Prozent auf einem Allzeithoch – Tendenz weiter steigend. Diese extremen Verbreitungszahlen alleine machen Flächenangriffe für Cyber-Kriminelle äusserst attraktiv. Da die finanziellen Mittel von Privatpersonen im Schnitt nicht mit denen von Unternehmen vergleichbar sind und der private Datenschatz häufiger sentimentaler als monetärer Natur ist, sind Ransomware-Attacken auf Privatnutzer in den seltensten Fällen gezielte Angriffe, sondern meist Zufallstreffer einer breit gestreuten Spam-Kampagne. Die Kriminellen sind bei Privatpersonen vornehmlich auf Zugangsdaten und digitale Identitäten aus. Smartphone-Nutzer werden deshalb häufig Opfer von Phishing-Attacken, da die meisten ihrer Zugriffe über ihr Mobilgerät abgewickelt werden. Ob Online Banking, Soziale Netzwerke oder der E-Mail-Account – wer diese Zugangsdaten abfischt, erlangt beträchtliche Eingriffsmöglichkeiten in das Leben seines Opfers. Es empfiehlt sich deshalb, immer ganz genau auf den Absender einer E-Mail zu schauen und wachsam auf Warnsignale zu achten, bevor man seine persönlichen Daten in eine Maske eingibt. Man sollte auch grundsätzlich alle Aufforderungen zur Preisgabe von persönlichen Informationen hinsichtlich ihrer Plausibilität infrage stellen. Ist die Aufforderung zur Kontoverifizierung wirklich angebracht, oder ist es nicht doch wahrscheinlicher, dass es sich hierbei um einen PhishingAngriff handelt?
Der Unsicherheitsfaktor Mensch
Antimalware und gesunde Skepsis sind der beste Schutz für ein sicheres Internet. Man kann das eine nicht mit mehr mit dem anderen kompensieren. Beide Seiten müssen abgesichert sein, um sich sicher im Internet bewegen zu können. Grosse Firmen müssen dabei besonders aufpassen, da mit jedem zusätzlichen Mitarbeiter auch der Unsicherheitsfaktor Mensch grösser wird. Hier kann man jedoch effektiv mit guter Mitarbeiterbildung gegensteuern. Im Privatleben lauern die Risiken oft in anderen Bereichen. Doch auch hier gilt, dass nur die Kombination aus technischer Absicherung in Form von Sicherheits-Apps gepaart mit einer gesunden Portion Skepsis unschöne oder im schlimmsten Fall existenzbedrohende Folgen abwehren lässt.