Geschichten aus dem Horrorhaus der Cyber-Risiken

Ein Überblick

Was ist Cyberkriminalität?

Created with Sketch.

Eine klassische Lehrbuchdefinition für Cyberkriminalität gibt es leider nicht, da die Bandbreite der illegalen Aktivitäten und Tatgelegenheiten im oder mittels des Internets vielfältig und kaum zu erfassen ist. Grundsätzlich setzt sich Cyberkriminalität aus der Computer- sowie der Internetkriminalität zusammen und beschreibt damit Straftaten, die mithilfe eines Computers oder des Internets begangen werden – also ziemlich unscharf. Tatsächlich erleben wir täglich, dass eine Trennung zwischen Cyberkriminalität und analogen Angriffen schlicht unmöglich ist und die Angriffsarten mitunter sogar aufeinander aufbauen. Über Social Media findet man schnell persönliche Informationen von (leitenden) Angestellten, die man nutzt, um sich als jemand anderes auszugeben oder um Notfälle zu konstruieren, damit man Systeme infiltrieren kann. Gegen dieses skrupellose Vorgehen ist man ohne entsprechendes Rüstzeug chancenlos. 

Zahlen, Daten, Fakten

Created with Sketch.

Das vergleichsweise junge Gebiet der Cyberkriminalität liegt im Trend. Kriminelle können heutzutage bequem von zu Hause aus und unter Berücksichtigung ihrer Work-Life-Balance effizient Angriffe auf Unternehmen und Privatpersonen durchführen – und das spiegelt sich auch in den Zahlen wider.
Von 2015 bis 2019 nahm die Anzahl der polizeilich erfassten Fälle von Cyberkriminalität im engeren Sinne um 122% zu und 75% aller deutschen Unternehmen sind laut BKA von Cyberkriminalität betroffen.
Die Krux an der polizeilichen Erfassung ist allerdings, dass das Dunkelfeld deutlich höher ist:
der Bund Deutscher Kriminalbeamter geht davon aus, dass rund 90% aller Vorfälle gar nicht erst zur Anzeige gebracht werden.

Eine Studie des Branchenverbandes bitkom beziffert den wirtschaftlichen Schaden der Cyberkriminalität in Deutschland im Jahr 2019 auf unfassbare 102,9 Milliarden Euro. Damit habe sich der Schaden zum Untersuchungszeitraum 2017/2018 fast verdoppelt.

Angriffsarten

Created with Sketch.

Die Möglichkeiten sich als Krimineller Zugang zu Unternehmenssystemen zu verschaffen ist genau wie der Erfindungsreichtum der Angreifer schier grenzenlos. Kontinuierlich wird neue Schadsoftware (Malware) entwickelt, bereits genutzte verbessert oder nach neuen systematischen Fehlern in Gerätesoftware gesucht. Dennoch lassen sich die Angriffsarten auf einige wiederkehrende Überbegriffe reduzieren:

  • Einsatz von Schadsoftware, um Systeme auszulesen, zu verschlüsseln und Unternehmen zu erpressen. Das BSI schätzt hier die Eintrittswahrscheinlichkeit als sehr hoch und das Schadenspotenzial als existenzbedrohend ein
  • Identitätsdiebstahl (z.B. mittels Phishing)
  • Botnetze, um Systeme zu überlasten oder Spam-Mails zu versenden
  • Social Engineering, wobei die Nutzer:innen durch psychologische Manipulationen dazu gebracht werden Informationen freiwillig zu überlassen
  • Advanced Persistant Threat, was den professionellen und gezielten Angriff zum Zweck der (Wirtschafts-)Spionage oder Sabotage über einen längeren Zeitraum beschreibt

Einfallstore in Ihr Unternehmen

Mitarbeiter:innen

Es klingt zunächst hart, ist aber Realität. 86% der erfolgreichen Cyberangriffe sind auf Anwender:innen zurückzuführen. Meist ist es sogar unerheblich, ob nun Unverständnis oder einfach gut geschriebene mutmaßliche Bewerbungsmails ursächlich sind. Woran das liegt, erklären wir Ihnen einen Mausklick weit entfernt. 

Kommunikation

Oft resultiert oder verschärft sich ein Schadensfall durch mangelnde Kommunikation. Nutzer:innen verstehen in komplizierten (Fach-)Weiterbildungen häufig nur "Bahnhof" oder trauen sich schlichtweg nicht bei einem Schadensfall mit der Geschäftsführung zu sprechen. Verständliche Praxisbeispiele finden Sie auf der nächsten Seite – vielleicht kennen Sie sogar eine der Situationen? 

Das Internet der Dinge 

Heutzutage ist alles mit allem und jeder mit jedem vernetzt. Tagtäglich werden immer mehr Geräte mit dem Internet verbunden und Mitarbeiter:innen bringen getreu dem Motto "bring your own device" sogar ihre privaten Endgeräte mit und surfen über das unternehmensinterne WLAN im Internet – regelmäßig ohne die professionellen Schutzmauern.
Nimmt das Risiko dadurch eher zu oder ab?

Datenschutz

Ihr Datenschutz ist ein wichtiger Teil der Informationssicherheit Ihres Betriebs und wird von Kriminellen gerne als Einfallstor mit immenser Hebelwirkung genutzt. Datenschutzverletzungen können in Schadensansprüchen mit hohen Kosten resultieren, weshalb Datenklau eine beliebte Methode zur Erpressung von Lösegeld ist. Weiterführende Informationen zu "Tücken" des Datenschutzes finden Sie auf unserer Folgeseite.

Risiken für Ihr Unternehmen

Verlust Ihres Geldes

Im Durchschnitt kostet bereits ein erfolgreicher Cyberangriff 71.000 Euro in Deutschland. In Geldbeträgen nicht messbare Schäden, wie der Reputations- und folglich auch der Kundenverlust, fehlen in dieser Rechnung naturgemäß. Solche Schäden entstehen dadurch, dass Angreifer Ihre Daten verschlüsseln, Lösegeldforderungen stellen oder schlichtweg Zugangsdaten zu Bank- oder Kreditkartendaten sowie Ihren Accounts bei Amazon, PayPal oder Zulieferern stehlen.
Besonders schmerzhaft wird es für Unternehmen häufig dann, wenn das komplette firmeninterne Netzwerk lahmgelegt wird. Selbst große Unternehmen benötigen mehrere Tage, um ihre Systeme wieder zum Laufen zu bringen. Was kostet Sie ein Tag Technikausfall? Was kosten zwei Wochen?
Bei 1/3 der Unternehmen führt die Betriebsunterbrechung durch angegriffene Technik übrigens direkt in die Insolvenz.

Datenschutzverstöße

Je nach Art Ihrer erfassten personenbezogenen Daten oder der Anzahl Ihrer Beschäftigten, die mit sensiblen Daten arbeiten, müssen Sie von Rechts wegen Datenschutzbeauftragte bestimmen, die dann mit der Erstellung, Umsetzung und Betreuung eines Datenschutzkonzeptes beauftragt werden. Leider mussten wir in der Vergangenheit immer wieder feststellen, dass nach der Bestellung der Beauftragten der Prozess in der Regel als abgeschlossen betrachtet wird, dabei prüfen Datenschutzbehörden bereits heute stichprobenartig oder nach anonymen Hinweisen das Vorhandensein von Datenschutzkonzepten in Firmen. Ist dieses unvollständig dokumentiert oder fehlt vollständig, drohen hohe Bußgelder, Betriebsausfall oder sogar Schadensersatzansprüche bei Verlust von personenbezogenen Daten.

Zeit

Unsicherheiten aufseiten Ihrer Mitarbeiter:innen im Umgang mit neuer Technik führen häufig zur Verlangsamung Ihrer Prozesse. Wenn Fragen zur Sicherheit aufkommen, fehlt vielen Beschäftigten ein standardisiertes Vorgehen, weshalb es beim Schadensfall zu Verzögerungen und dadurch schlimmstenfalls zur Erhöhung des Schadenspotentials kommt. Momentan investieren Unternehmen viel zu wenig Zeit in die digitale Ausbildung ihrer Angestellten, um Sicherheitskompetenzen und standardisierte Abläufe in der Unternehmensstruktur zu gewährleisten.

Geschäftsführer-Haftung

An die Geschäftsführung eines Unternehmens werden viele Pflichten und hohe Ansprüche geknüpft. Zum einen müssen Geschäftsführer:innen darauf achten, dass ihre Gesellschaft stets die gesetzlichen Standards erfüllt, die an sie gestellt werden – auch die des Datenschutzes – und zum anderen müssen sie bei Ihrer Tätigkeitserfüllung sorgsam sowie zum Wohl der Gesellschaft handeln. Trifft das nicht zu, wenn zum Beispiel der Daten- oder Informationsschutz versäumt wurde, haften Geschäftsführer:innen mit ihrem persönlichen Vermögen.
Als Geschäftsführung müssen Sie a) analysieren, welche Risiken für Ihr Unternehmen bestehen und b) entscheiden, welche Risiken Sie bereit sind einzugehen und welche Risiken Sie begrenzen und absichern wollen.

Sie wollen mehr Informationen?

Und Ihr Unternehmen schon jetzt cybersicherer machen? Registrieren Sie sich jetzt kostenlos für Ihr exklusives Cyber-Sicherheits-Paket.

Mit Ihrer kostenlosen Registrierung erhalten Sie:

  • Ein anderthalbstündiges Webinar über die grundlegende Relevanz von Cyberkriminalität, potenziellen Angreifer:innen, Risiken und Auswirkungen auf Unternehmen sowie Lösungsansätze zur Erhöhung Ihrer Cybersicherheit.
  • Eine 44-seitige Informationsbroschüre zur Initiative für Cybersicherheit
  • 15-Cyber-Sicherheits-Tipps für die direkte Umsetzung am Arbeitsplatz