Cyber-Kriminalität macht Schlagzeilen. Aber nicht nur die Grossunternehmen, sondern auch KMU geraten zunehmend ins Visier. Das Phänomen lässt sich nicht mehr ignorieren. Angesagt ist eine pragmatische Analyse: Wie sieht die Entwicklung aus? Mit welchen Angriffen ist zu rechnen? Welche Gegenmassnahmen gibt es? Und wer kann helfen? KMU brauchen dringend Antworten, denn viele sind schlicht nicht «cyber-ready».
Präsentation «State of Security 2016 – Fokus auf mittelständische Unternehmen»
Was KMU im Kampf gegen Hacker und Cybercrime beachten müssen, um cyber-ready zu bleiben und ihren Platz im Beschaffungsgeschäft zu sichern.
Die Schlagzeilen über spektakuläre Cyber-Vorfälle häufen sich. Die Angriffe gestalten sich auch laufend professioneller. Laut dem Cisco Annual Security Report 2016 sinkt selbst bei Führungskräften das Vertrauen in die eigene IT-Sicherheit. Generell werden die Angriffsflächen grösser und komplexer. Hacker finden ihre Operationsziele in den Netzwerken, bei den Applikationen und nicht zuletzt auf der Ebene Mensch.
Die Angriffsflächen wachsen
Auf der Stufe Netzwerk führen die zunehmende WLAN-Nutzung, neue Protokolle, wie dem Internet Protocol Version 6 (IPv6), sowie das rasch aufkommende Internet der Dinge («Internet of Things», IoT) zur Ausdehnung der Angriffsfläche. Bei den Applikationen sind es die immer häufigeren Web- und Mobile-Apps, auch solche aus der Cloud, und die kürzer werdenden Entwicklungszyklen. Der Mensch hingegen macht sich durch den rasant wachsenden Social-Media-Einsatz und die immer stärkere Integration von Mobilgeräten zum Ziel.
Es erwischt eben nicht nur die Grossen
Dass nur Grossunternehmen lohnende Cyber-Crime-Ziele abgeben, ist längst widerlegt. KMU sind definitiv auf dem Radar der Hacker. Auch von offizieller Seite wird dieser Trend bestätigt, zum Beispiel von der Melde- und Analysestelle Informationssicherung (MELANI) oder von der Schweizerischen Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK). Letztere hält in ihrem letzten Jahresbericht unmissverständlich fest: «Vermehrt geraten auch kleine und mittlere Unternehmen ins Visier von Betrügern.»
Begehrte «Kronjuwelen»
Allgemein gelten KMU als innovativer als grössere Unternehmen. Speziell bei mittleren Unternehmen gibt es viele, die erfolgreich und hoch innovativ ihre Nische gefunden haben und über eigene «Kronjuwelen», sprich entscheidende Assets, verfügen. Diese «hidden champions» speichern ihre Geschäftsgeheimnisse überdurchschnittlich oft inhouse ab. Zudem verfügen sie häufig über viele verteilte Standorte, doch ihnen stehen weniger Mittel zur Verfügung, um die jeweilige IT zu schützen.
Hacker attackieren mittelständische Unternehmen nicht nur, um an ihre Kronjuwelen zu gelangen, sondern benutzen diese Firmen auch als Sprungbrett. Cyber-Kriminelle gehen gerne auf Firmen los, die das schwächste Glied im Business-Ökosystem darstellen. Als Teil einer Beschaffungskette werden so jene mit schwacher Security zum Einfallstor in grössere Unternehmen.
Inzwischen verlangen Grossfirmen verstärkt von ihren Lieferanten «cyber-ready» zu sein. Wer Cyber-Security hier nicht als geschäftskritisch erkennt, riskiert in Zukunft aus dem Beschaffungsgeschäft bzw. bei Ausschreibungen ausgeschlossen zu werden. Doch mit welchen konkreten Gefahren sehen sich KMU heute eigentlich konfrontiert?
Typische Angriffsformen
Als Bezeichnung für Angriffswege und –techniken hat sich der Begriff Angriffsvektor eingebürgert. Zu den am meisten verwendeten Angriffsvektoren gehört das Spear Phishing. Anders als die ungezielten Phishing (Massen-)Mailings sind Spear Phising Attacken auf spezifische Zielpersonen fokussiert.
Ein weiterer beliebter Angriffsvektor zielt auf sogenannte ungepatchte Systeme. Patches sind Korrekturauslieferungen, mit denen Sicherheitslücken geschlossen oder Fehler behoben werden. 2014 zielten rund 97% der Angriffe auf Sicherheitslücken von weit verbreiteter Standardsoftware.
Ein gefürchtetes Phänomen sind auch Malware Toolkits. Dabei handelt es sich um Softwarepakete, die den Angriffsprozess automatisieren und u.a. Schwächen in Zielsystemen identifizieren, Malware verteilen sowie Hintertüren («backdoors») für die Systemkontrolle installieren.
Zu den Klassikern unter den Angriffsvektoren gehören schwache Passwörter, also z.B. sehr kurze Passwörter, die nur alphanumerische Zeichen verwenden.
Wachsende Bedeutung als Einfallstore haben ferner schwache Web-Applikationen. Hacker scannen Web-Apps auf bekannte Schwachstellen und installieren Backdoors für spätere Einbrüche sowie Malware und Kontrollsoftware.
Schützen und schützen lassen
Am Anfang der Schutzüberlegungen steht die Identifikation der wirklich wichtigen, schützenswerten Geschäftsprozesse, Daten und Systeme sowie die Überprüfung der bereits getroffenen Sicherheitsmassnahmen. Die Angriffsfläche lässt sich reduzieren, indem Systeme aktualisiert, Berechtigungen reduziert und Passwörter verstärkt werden. Insgesamt gilt es, das Sicherheitsdispositiv auf den neusten Stand zu bringen und mit den heute verfügbaren sowie den sich abzeichnenden Security Tools zu vergleichen.
Da sich die Bedrohungen im Cyberspace laufend und rapide verändern, wollen viele Unternehmen nicht nur auf die eigenen Massnahmen setzen. Gemäss der KPMG Studie «Clarity on Cyber Security» gaben 95% der befragten Schweizer Unternehmen an, sich nicht alleine gegen die zunehmenden Cyberbedrohungen wehren zu können. In die gleiche Kerbe schlägt die Untersuchung «Cyberreadiness in kleinen und mittleren Unternehmen» aus Deutschland, die empfiehlt, „einen guten Partner zu finden, der das Thema Sicherheit ernsthaft und kompetent betreibt.“
Es erstaunt es also nicht, wenn sich KMU immer öfter an einen Managed Security Services Provider (MSSP) wenden, der über das entsprechende Know-how und Personal verfügt. Die MSSP-Option bietet unter anderem Netzwerksicherheitsleistungen wie die 7x24h Überwachung und Incident Management, d.h. Reaktionen auf erkannte oder vermutete Sicherheitsvorfälle und Störungen. Mit der Option MSSP werden die eigenen IT-Mitarbeiter entlastet, die Lücken im Sicherheitsdispositiv geschlossen und die Weichen auf «cyber-ready» gestellt.
Präsentation «State of Security 2016 – Fokus auf mittelständische Unternehmen»
Wie geht es weiter? Lernen Sie die 5 Top Angriffsvektoren 2016 kennen und erfahren Sie anhand von topaktuellen Facts und neusten Trends, was KMU im Kampf gegen Hacker und Cyberkriminelle beachten müssen, um cyber-ready zu bleiben und sich ihren Platz im Beschaffungsgeschäft zu sichern.
Martin Trachsel war bis 2016 als Business Unit Manager bei United Security Providers tätig.