Nach der Veröffentlichung der Snowden-Papiere über die Tätigkeiten der Geheimdienste machte sich bei vielen kleinen und mittelständischen Unternehmen (KMU) eine Resignation und Abstumpfung breit, was das Thema Datenschutz und Datensicherheit angeht.
Jetzt ist ein ähnliches Verhalten bei den Angriffen mit den Verschlüsselungstrojanern zu beobachten.
Typische Aussagen sind „Ach, uns wird es nicht treffen. Wir sind zu klein“ oder „Kann man eh nichts gegen machen.“
Dabei ist niemand den Angriffen von Daten-Spionen oder den Angreifern aus der organisierten Kriminalität hilflos ausgeliefert.
Geheimdienste oder denen nahestehende Organisationen
Zum Thema Geheimdienste: Sich gegen ihre Aktivitäten zu wehren ist schwierig, weil sie über etwas andere Budgets verfügen als die meisten Unternehmen. Richtig kompliziert wird es, wenn die Dienste anderer Staaten (wie z.B. China, USA, Russland, Indien, Schweiz, Dänemark, GB und die anderen Freunde) explizit die Aufgabe haben, Wirtschaftsspionage zu betreiben.
Leider ist es dann noch so, dass sich in totalitär regierten Ländern Gruppen finden, die von staatlichen Stellen beauftragt werden – aber auch ihr „eigenes Ding“ machen.
Das heißt, die beschaffen sich Zugänge und verdienen an Erpressung. Solange keine Ziele im eigenen Land angegriffen werden, lässt man sie in Ruhe. Und benutzt diese dann auch noch im Sinne der Staatsführung.
Hin und wieder überreizen es diese Gruppen aber auch
So verschwand eine sehr effektiv agierende Gruppe aus Russland ganz plötzlich. Auch ein Tool zum Entschlüsseln der angegriffenen Netzwerke war auf einmal da. Warum ist offiziell nicht bekannt.
Eventuell – aber das sind Gerüchte – hing das damit zusammen, dass der amerikanische Präsident mit dem russischen Präsidenten telefoniert hat. Aber wie gesagt: Gerüchte…
Aber die Angriffe kommen aus allen Ländern. Wenn dann noch ein Hersteller von wichtiger Software erkannte Lücken in seiner Software nicht ernst nimmt, entsteht eine üble Gemengelage.
Dies konnte man gut im 1. Quartal 2021 beobachten, als ein Angriff auf den Microsoft Exchange-Server durch (mit an Sicherheit grenzender Wahrscheinlichkeit) chinesische Hacker durchgeführt wurde – die vermutlich im Auftrag von Chinas Geheimdienst unterwegs waren…
Dabei wurden 10tausende von Exchange-Servern gehackt und mit Schadsoftware versehen. Der Grund lag darin, dass Microsoft die ersten Anzeichen von Angriffen als nicht relevant abgetan hat.
Aber auch „befreundete“ Staaten spionieren sich gerne gegenseitig aus….
Natürlich macht man das laut Aussage der langjährigen, ehemaligen Bundeskanzlerin Merkel „das unter Freunden“ nicht, aber entsprechende Aufträge stehen in den nationalen Gesetzen einiger Staaten.
So heißt es beispielsweise im Intelligence Services Act zum britischen Geheimdienst GHCQ, einer der Zwecke des Dienstes sei es, „das ökonomische Wohlergehen des Vereinigten Königreichs in Beziehung zu Aktionen oder Absichten von Personen außerhalb der britischen Inseln“ zu fördern.
Aber es ist nicht zum Verzweifeln.
Denn selbst wenn ein Unternehmen in den Fokus eines Geheimdienstes gerät, kann es dessen Arbeit durch das eigene Verhalten und auch durch Umsicht massiv erschweren.
Organisierte Kriminalität
Die Angriffe erfolgen oft mit zwei Zielrichtungen.
- Gezielte Angriffe nach Ausspähungen
- Hier stehen wirtschaftlich gut aufgestellte Unternehmen im Fokus.
Es werden zuerst aus den Netzwerken Daten wie Bilanzen herausgezogen und ausgewertet.
Wenn interessant – dann Angriff. - Diese erfolgen dann gezielt über soziale Angriffe durch Unterschieben von verseuchten Dateien, das Ausnutzen von Lücken in der Netzwerkstruktur des Unternehmens, durch direkte Kontakte oder über die Umwege über Dienstleister.
Das können dann IT-Dienstleister oder auch Dienstleister sein, die direkten Zugriff auf die eigenen Unternehmensdatenbanken haben. Also die Angreifer spielen über „Bande“.
- Hier stehen wirtschaftlich gut aufgestellte Unternehmen im Fokus.
- Angriffe in der Art der Schrotflinte
- Einfach draufhalten. Irgendwo wird sich eine Chance eröffnen.
- Auch hier läuft das dann über häufig über das Zusenden verseuchter Dateien.
Angriffe auf Webseite
Aber auch einfache Webseite werden angegriffen (so wie auch diese hier). Alleine hier bei dieser Webseite werden täglich Zugangsversuche in 5 bis 6-stelliger Zahl versucht.
Warum?
Ganz einfach. Die Angreifer brauchen immer wieder neue Server, über denen die Angriffe gestartet werden.
Was kann man tun?
Gute und nicht einfach zu ratenden Administratoren-Namen und mindesten 20-stellige Passwörter – je mehr umso besser und auch das Login-Verzeichnis verschleiern usw.
Angriff aus dem Umfeld
Viel gefährlicher als die eben beschriebene Bedrohung ist aber die Unbeschwertheit, mit der Mitarbeiter in Unternehmen mit Daten umgehen.
Angefangen vom unbedachten Öffnen von Anhängen ohne wirklich Nachzudenken, dem Nutzen neuer Kommunikationsmittel ohne Schutzmaßnahmen oder vermeintlich toller, nützlicher Apps (früher: Programme), dem Senden unverschlüsselter E-Mails bis hin zum Transportieren von Daten auf unverschlüsselten Laptops und/oder Smartphones.
Und es ist riskant, wie einfach Mitarbeiter heute immer noch an unternehmensrelevante Daten gelangen können die sie nichts angehen.
Die wenigsten Unternehmen haben z.B. die Rechtevergabe wirklich im Griff und für sich transparent dokumentiert.
So haben oft auch Praktikanten den gleichen Zugriff wie Festangestellte. Schließlich sollen die ja produktiv sein…
Das dann die AnwenderInnen von PC/Laptop etc. auch noch Administrator-Rechte haben, ist nur noch das i-Tüpfelchen.
Und selten ist wirklich klar definiert, was denn überhaupt unternehmensrelevante Daten sind.
Die Folge: Es ist nicht klar, was wertvoll ist und wieviel Aufwand man in diesen Schutz stecken sollte.
Dabei zeigen Studien, dass die Täter bei entdeckten Angriffen zu mehr als 50 Prozent eigene Beschäftigte (inkl. Leih-Beschäftigte und Praktikanten etc.), zu über 21 Prozent die vertrauten Kunden und Lieferanten sowie zu über sieben Prozent Dienstleister und Berater sind.
Das heißt, mehr als 75 Prozent der Täter kommen aus dem vermeintlich vertrauenswürdigen Umfeld.
Das ist nicht schön – aber die Realität.
Nebenwirkungen durch Corona?
Was viele Unternehmen völlig unterschätzen sind die Risiken durch die Nebenwirkungen der Corona-Maßnahmen.
Das mobile Arbeiten war nicht unbedingt weit verbreitet. Einzig Unternehmensleitung, IT oder der Vertrieb war mit einem Laptop „draußen“ unterwegs. Und dann plötzlich ein großer Teil der Beschäftigten.
Leider hinkte und hinkt immer noch die Infrastruktur der Sicherheit massiv den Anforderungen hinterher.
Schließlich befinden sich durch Homeoffice die Daten außerhalb des Unternehmens. Das Homeoffice auch nur eine Variante von mobilem Arbeiten ist, steht oft nicht auf dem Schirm.
Die Folge: Sicherheitslücken organisatorischer und technischer Art. Die weitere Folge: die Angreifer nutzten das massiv aus.
Verschlüsselung durch Unwissenheit
Die immer mehr um sich greifenden Verschlüsselungen von Netzwerken sind nur auf einen kleinen Teil auf fehlerhafte Software oder Hardware zurückzuführen.
In den meisten Fällen wurden Beschäftigte überzeugt, dass sie unbedingt den zugesendeten Anhang anklicken müssen.
Und natürlich müssen auch die neuesten Apps auf die Firmen-Smartphones.
Denn ein Management dieser Smartphones ist in der Regel nicht vorhanden. Teuer in der Anschaffung. Und wer soll das denn bedienen? Oft ist die IT-Abteilung eine interne oder externe One-Man-Show.
Diese Personen sind zwar oft gut – aber werden nur im Notfall gerufen… Kostet ja…
Wenn dann noch fehlende Absicherung wie z.B. Adminrechte am PC, fehlende Netzwerksegmentierungen oder Vollzugriff auf den gesamten Datenbestand dazukommen, dann ist es passiert.
Sensibilisierung der Beschäftigen und Unternehmensleitungen
Und die Beschäftigten und nicht zuletzt auch die Unternehmensleitungen haben häufig auch keine Kenntnis über die Gefahren.
Schulungen dazu? Regelmäßige Sensibilisierungen? Fehlanzeige. Kostet ja – äh… hatten wir ja schon das Argument.
Stattdessen aus Kostengründen einfach Onlineschulungen. Aufkommende Fragen beantworten? Und Hauptsache billig.
Denn damit ist man vermeintlich als Verantwortliche nicht in der Haftung.
Also kein Organisationsverschulden und das Gewissen ist beruhigt. Das kombiniert mit vielleicht zu frei vergebenen Rechten im Netzwerk sind der Einstieg in die Katastrophe.
Analyse statt Panik
Einige Unternehmen in der Datenschutz- und Datensicherheitsbranche fördern die Angst vor Verschlüsselung massiv – leider nicht zuletzt aus eigenem wirtschaftlichem Interesse.
Bevor ein Unternehmen die Geldbörse öffnet, sollte es unabhängig analysieren (lassen), was überhaupt zu schützen ist und wo konkret Gefahren lauern. Es muss ermittelt werden, welche Daten welchen Schaden bei Verlust oder Missbrauch anrichten können.
Sind sie zum Beispiel geeignet, Wettbewerbern Vorteile zu verschaffen, droht ein Imageverlust oder gar Erpressung?
Solche Analysen werden durch Workshops mit den Verantwortlichen durchgeführt.
Anschließend empfiehlt sich ein pragmatisches Audit – vorzugsweise in Form einer externen Beratung.
Dabei werden…
- Sensibilisierungsstand der Beschäftigen
- Gebäude
- Arten der Kommunikation nach außen und auch nach innen
- Auswahl von Beschäftigten
- Außendienst
- Home Offices und mobiles Arbeiten
- mobile Geräte
- alle Arten von Cloud-Lösungen oder das Nutzen von Software direkt beim Hersteller (SaaS)
- externe Dienstleister
- Zugriffsrechte und die IT-Struktur
unter die Lupe genommen.
Die Ergebnisse münden in klaren Anweisungen.
Die neuen Regeln werden in Schulungen vermittelt, ihre Einhaltung überprüft und Verstöße gegebenenfalls sanktioniert, schlimmstenfalls bis zur Freistellung.
Notfallplan
Und wenn alles verschlüsselt ist? Was dann?
Stellen Sie sich die Frage, wie lange kann ihr Unternehmen ohne IT, Daten und Kundenkontakt existieren.
Beantworten Sie diese Frage ehrlich – denn danach richten sich die Maßnahmen.
Und wenn Ihre Daten im Internet veröffentlich werden: Was tun Sie dann? Gibt es klare Abläufe wer was macht? Wer kommuniziert mit den Aufsichtsbehörden wie Landes- oder Bundesdatenschutzbeauftragter, Bundesnetzagentur usw.?
Ein Durcheinanderrennen, als ob der Fuchs im Hühnerstall ist, dürfte nicht hilfreich sein.
Der Fisch und der Kopf
Damit die neuen Sicherheitsstandards wirken, genügt es nicht, diese alleine zu manifestieren (also aufzuschreiben und an die PIN-Wand zu hängen) – sie müssen auch gelebt werden.
Es muss die Person des/der Unternehmer:innen / Geschäftsführende selbst als gutes Beispiel vorangehen
Denn schließlich geht es um die Existenz des Unternehmens.
Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf. Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen. |