Vom Hidden Champion in den Fokus von Cyberkriminellen

Überblick

Viele Hidden Champions und Unternehmen in der zweiten Reihe dachten lange, dass sie ein weniger lukratives Ziel für Cyberkriminelle sind, weil sie nicht so sichtbar sind bzw. nicht lukrativ genug seien. Diese Annahme ist ein Irrtum. Die meisten dieser Unternehmen haben gar keine oder nur kleine Sicherheitsteams. Sie hatten bisher auch kaum Berührungspunkte mit Angriffen und daher auch keine Erfahrung, was sie zu besonders attraktiven Zielen für Cyberkriminelle macht. Berichte über erfolgreiche Angriffe mit Ransomware oder den Diebstahl von Daten gerade bei Unternehmen der zweiten Reihe sind längst keine Seltenheit mehr.

In den meisten Fällen ist der Mensch das Einfallstor. Phishing-Angriffe werden mit Unterstützung von künstlicher Intelligenz immer personalisierter und ausgefeilter. Kriminelle sprechen gezielt unsere innersten Triebe wie Angst, Neugierde oder Ärger an, um an sensible Informationen zu gelangen. Unentdeckte Schwachstellen oder Fehlkonfigurationen in der IT-Umgebung machen es einem Angreifer dann leicht, das erlangte Wissen zu Geld zu machen.

Unsere Gespräche haben eindeutig gezeigt, dass alle Unternehmen über Ressourcenknappheit berichten – sowohl personell als auch finanziell. Eine massive Aufrüstung der Sicherheitsteams ist daher keine Lösung des Problems. Um diesen Unternehmen zu helfen, haben wir die aus unserer Sicht drei wichtigsten Maßnahmen in diesem Dokument zusammengefasst:

• Befähige Mitarbeiter – das richtige Verhalten der Mitarbeiter und technische Unterstützung minimieren die Angriffsfläche für Phishing
• Behebe Schwachstellen – das gezielte Schließen kritischer Schwachstellen macht einen erfolgreichen Angriff schwieriger
• Sei vorbereitet – Notfallpläne und Backupstrategien minimieren das Ausmaß

Wir glauben, dass diese drei Maßnahmen auch für mittelständische Unternehmen mit begrenzten Ressourcen gut umsetzbar sind und die Resilienz gegen Cyber-Angriffe deutlich steigern können.

Befähige Mitarbeiter

Mitarbeiter sind häufig das erste Ziel von Cyberangriffen. Das muss uns bewusst sein. Insbesondere Phishing und Social Engineering sind hier zu nennen. Ein Klick auf den falschen Link kann verheerende Folgen haben.

Die Schuld wird schnell bei den Mitarbeitern gesucht, die das Eintrittstor für Kriminelle geöffnet haben. Psychologisch ist das jedoch ein folgenschwerer Fehler, der nachhaltige Verhaltensänderungen erschwert und eine toxische Fehlerkultur etabliert.

Es ist erfreulich, dass immer mehr Arbeitgeber erkennen, dass es vor allem darum geht, den Mitarbeitern zu helfen, sich sicher zu verhalten. Das Ziel muss klar definiert sein: Cybersecurity muss mit den täglichen Prozessen der Mitarbeiter vereint werden. Die Mitarbeiter müssen befähigt werden, Bedrohungen zu erkennen und richtig zu handeln. Dazu müssen ihnen die entsprechenden Werkzeuge und das notwendige Wissen zur Verfügung gestellt werden.

Doch wie erreichen wir das?

Diese Frage beschäftigt immer mehr Experten aus den Bereichen Psychologie und Cyber Security. Es ist entscheidend, dass im Unternehmen die richtige Kultur gelebt wird. Mitarbeiter dürfen keinerlei persönliche Konsequenzen zu befürchten haben, sollten sie Sicherheitsvorfälle oder Schwachstellen melden. Es muss einfach sein, sich sicher zu verhalten. Jeder Mitarbeiter muss das Thema als seine Verantwortung verstehen. Die trotz alledem notwendigen Trainings müssen regelmäßig erfolgen und sich gleichzeitig einfach in den Arbeitsalltag integrieren lassen. Kurz um: Alle Maßnahmen müssen so ausgestaltet sein, dass sie die Mitarbeiter gezielt dabei unterstützen, sich sicher zu verhalten.

Doch wie kann das in einem mittelständischen Unternehmen mit begrenzten Ressourcen erreicht werden? Es gibt viele Möglichkeiten, Prozesse zu automatisieren. E-Mails werden automatisiert mittels künstlicher Intelligenz analysiert und Mitarbeiter werden gezielt auf bestehende Risiken hingewiesen. Trainingsplattformen setzen den Fokus auf Maßnahmen, die sich laut neuester Studien als besonders wirksam erwiesen haben und entlasten sie die Security Teams von Routinetätigkeiten.

Für uns ist es entscheidend, den Mitarbeiter als Menschen mit all seinen Bedürfnissen und Eigenschaften im Blick zu behalten.

Behebe Schwachstellen

Das beste Trainingsprogramm kann jedoch keinen hundertprozentigen Schutz vor einem erfolgreichen Phishing-Angriff bieten. Kriminelle finden zudem immer Wege, direkt in die IT-Infrastruktur eines Unternehmens einzudringen. Deshalb muss es unser Ziel sein, es einem Angreifer so schwer wie möglich zu machen, echten Schaden anzurichten.

Traditionelle Schwachstellenscanner liefern oft eine überwältigende Menge an potenziellen Sicherheitslücken. Für Unternehmen mit kleinen oder ausgelasteten Sicherheitsteams ist es schlichtweg unmöglich, all diese Meldungen zu priorisieren und zeitnah zu beheben. Hinzu kommt, dass viele identifizierte Schwachstellen in der Praxis nicht ausnutzbar sind und somit keine unmittelbare Gefahr darstellen.

Ein moderner Ansatz setzt auf automatisiertes Pentesting, wiederum basierend auf künstlicher Intelligenz. Diese Lösungen simulieren das Vorgehen eines echten Angreifers und berücksichtigen neben Schwachstellen in Softwareprodukten auch Fehlkonfigurationen oder schwache Passwörter. Sie finden die kritischen Punkte in Ihrem Netzwerk und zeigen Ihnen, wie diese ausgenutzt werden können. Dieses Verständnis ist der Schlüssel, um Sicherheitslücken nicht isoliert, sondern im Gesamtkontext zu betrachten und effektiv zu schließen.

Unternehmen können ihre begrenzten Ressourcen am effektivsten einsetzen, indem sie sich auf tatsächlich ausnutzbare Schwachstellen und kritische Angriffspfade fokussieren. Sie sollten ihre Zeit und ihr Geld nicht länger in die Behebung von weniger relevanten Sicherheitslücken investieren. Die Priorität sollte vielmehr auf den Maßnahmen liegen, die das Risiko schnell und effektiv zu senken.

Wir glauben, dass die Sicht eines Angreifers einzunehmen der beste Weg ist, die wirklich wichtigen Maßnahmen zu identifizieren.

Sei vorbereitet

Unantastbar ist die Utopie in der Cyber-Security-Welt. Jeder Mitarbeiter, jeder Server, jede Festplatte ist immer einem gewissen Restrisiko ausgesetzt. Risiken lassen sich durch geeignete Maßnahmen minimieren, ein vollständiger Schutz ist jedoch weder technisch möglich noch ökonomisch sinnvoll.

Deshalb muss man sich auf einen Cyberangriff vorbereiten. Das heißt:

• Auswahl eines oder mehrerer erfahrener externer Dienstleister, die im Notfall unterstützen
• Erstellung eines Notfallkonzepts, das die wichtigsten Schritte, Verantwortlichkeiten, externe Ansprechpartner und Kommunikationsstrategien für den Fall eines Cyberangriffs festlegt
• Erstellung eines Backup- und Recovery Konzepts, um verschlüsselte Daten im Fall eines Ransomware-Angriffs auch ohne Zahlung eines Lösegelds wiederherstellen zu können
• Suchen nach Workarounds, wie kritische Geschäftsprozesse im Fall eines Ausfalls von IT-Systemen übergangsweise am Leben erhalten werden können
• Prüfung, ob eine Cyberversicherung sinnvoll ist, um die verbleibenden Risiken abzufedern
• Testen, testen, testen. Denn ein Konzept, das nicht funktioniert, ist im Ernstfall wertlos

Wir sind der Überzeugung, dass man sich auf einen Cyberangriff vorbereiten muss, weil man ihn nicht völlig ausschließen kann und weil er unter Umständen die Existenz des Unternehmens gefährdet.

Fazit

Jedes Unternehmen muss sich bewusst sein, dass ein Cyberangriff existenzbedrohend sein kann, wenn man nicht ausreichend vorbereitet ist. Es ist fahrlässig, zu hoffen, dass man für einen Angreifer zu unbedeutend ist.

Auch mit begrenzten Ressourcen können Sie Vorkehrungen treffen, um die Wahrscheinlichkeit und das Ausmaß eines solchen Angriffs signifikant zu reduzieren. Sprechen Sie mit uns, wir unterstützen Sie gerne.

Anmerkung

Im klassischen Risikomanagement gibt es preventive, detective und corrective measures. Für den Umgang mit einem Cyberangriff ist es auf jeden Fall sinnvoll, alle drei Arten von Maßnahmen zu betrachten. In diesem Artikel wurde nur auf preventive ("Befähige Mitarbeiter" und "Behebe Schwachstellen") und corrective ("Sei vorbereitet") measures eingegangen. Dies soll nicht bedeuten, dass detective measures weniger wichtig sind. Vielmehr ist es so, dass diese Maßnahmen typischerweise mehr Ressourcen erfordern und auch nur Sinn machen, wenn andere Maßnahmen bereits ergriffen sind.

‍