Unternehmen sind einem immer größer werdenden Cyberrisiko durch eine Vielzahl von Angriffsarten ausgesetzt. Umso wichtiger ist es, die Arten und das Vorgehen von Cyberattacken zu kennen. Nur so können adäquate Schutzmaßnahmen ergriffen werden. Auf internationaler und nationaler Ebene nehmen sich verschiedene Organisationen der Verringerung von Cyberrisken im Allgemeinen durch das Schaffen von Strategien und Normen an. Mit einem umfassenden Knowledge Paper hat das IDW mit Datum vom 25.10.2021 sich dem Thema gewidmet und gibt wertvolle Hinweise für die Praxis.
Digitalisierungsschub erhöht Cyberrisiken
Von übergeordneter Bedeutung für die Cyberrisikosituation in Deutschland waren die Auswirkungen der Corona-Virus-Pandemie. Während einerseits im privaten Bereich verstärkt digitale Angebote zur Freizeitgestaltung genutzt und Transaktionen zunehmend online vorgenommen werden, sehen sich andererseits Unternehmen gezwungen, ihre bewährten Arbeitsabläufe neu zu organisieren und zu digitalisieren. So bieten sie Cyberkriminellen immer neue Angriffspunkte. Ein deutlich erhöhtes Cyberrisiko ist insoweit die Kehrseite der Medaille bezogen auf die zunehmende Digitalisierung der Wirtschaft und der Prozesse. Mit einer zunehmenden Digitalisierung wachsen insoweit auch die Risiken.
Es gibt aber Strategien und praktische Schritte, die Unternehmen ergreifen können, um die Auswirkungen des erhöhten Cyberrisks für das Unternehmen zu verringern. Das IDW hat zum Thema Cyberrisk im Oktober 2021 ein umfassendes Knowledge Paper vorgelegt, das wichtige Hilfestellung in der Praxis gibt. In dem vorgenannten Paper werden im Hinblick auf den Themenbereich Cyberrisk unter anderem die Formen eines Cyberangriffs sowie etwaige Maßnahmen behandelt.
Damit Unternehmen dem Risiko von Cyberattacken adäquat begegnen können, ist es wichtig, die grundlegenden Arten von Cyberattacken zu kennen. Erst die Kenntnis der Angriffsmöglichkeiten ermöglicht eine entsprechende Verteidigung.
Arten und Funktionsweisen von Cyberattacken
Phishing ist eine Unterart des Social Engineering und beschreibt die Beschaffung persönlicher Daten anderer Personen (bspw. Passwörter, Kreditkartennummern, oder Ähnliches) mittels gefälschter E-Mails oder Websites. Seit Beginn der Corona-Virus-Pandemie konnte ein deutlicher Anstieg an Phishing-Aktivitäten verzeichnet werden. Google bezifferte Mitte April 2020 die Anzahl der allein für den E-Mail-Dienst Gmail geblockten Phishing-Mails auf mehr als 100 Millionen täglich. Nicht immer resultiert aus den durch Phishing erlangten Informationen ein unmittelbarer Schaden. Oftmals dient Phishing der Vorbereitung von komplexeren Cyberangriffen oder anderen Straftaten.
Eine weitere Spielart der Cyberkriminellen ist das Erlangen von Zugang zu Systemen und/oder von Informationen durch „Malicious Software“, besser bekannt als Malware. Die vermeintlich nützlichen aber tatsächlichen schadhaften Programme werden entweder vom unwissenden Benutzer selbst installiert oder können sich eines Wirtprogramms bedienen, um unentdeckt in das System zu gelangen. Dort angekommen können z.B. Daten der Nutzer durch die Programme ohne ihr Wissen an Dritte versendet werden oder so verschlüsselt werden, dass die Nutzer keinen Zugriff mehr auf ihre Daten haben. Malware wird bspw. durch sogenannte Computer-Würmer, Computer-Viren, Trojaner, Ransomware oder Spyware verbreitet.
Nicht nur das Erlangen von Informationen auch das Lahmlegen der Netzwerkressourcen kann Ziel von Cyberattacken sein. So werden mit einer Distributed Denial of Service-Attacke (DDoS), die Server des Opfers derart überlastet, dass Antworten auf Anfragen an die Server nur noch deutlich langsamer oder gar nicht mehr von diesen beantwortet werden. Dadurch können beispielsweise Website lahmgelegt werden. Die wohl ausgeklügelteste Angriffsart liegt bei einem Advanced Persistent Threat (APT) vor. Hier wird eine große Anzahl an Ressourcen dazu genutzt, über einen längeren Zeitraum hinweg sehr gezielt ein Netz oder System anzugreifen und sich unter Umständen darin zu bewegen und/oder auszubreiten, dann Informationen zu sammeln oder Manipulationen vorzunehmen. Das Hauptziel von APTs ist meist der Diebstahl von geistigem Eigentum wie Patente, innovative Designs oder andere vertrauliche Daten.
Schutzmaßnahmen gegen Cyberattacken
Um sich vor Cyberattacken zu schützen ist für jedes Unternehmen ein maßgeschneidertes IT-Sicherheitskonzept wichtig, welches die Schutzziele definiert und Maßnahmen bzw. Werkzeuge vorsieht, um diese Ziele zu erreichen. Zur Erreichung der Schutzziele bedarf es insoweit einer Vielzahl an organisatorischen und technischen Maßnahmen, die auch kombiniert werden können. Dies können unter anderem der Einsatz von Firewalls, Intrusion-Detection und Prevention-Systemen, Antivirenprogrammen sowie Backups sein. Ein solches Konzept muss unter ständiger Beobachtung sein und an die aktuellen Risiken, wenn nötig angepasst werden. Allen Schutzmaßnahmen ist es gemein, dass durch diese die Vertraulichkeit, die Integrität und die Verfügbarkeit der Unternehmensdaten gewährleistet sind und bleiben. Siehe auch unter Themen: Cyber Security => hier der Link
Relevanz von Cyberattacken
Das Thema Cyberrisk ist eines der wesentlichsten Risiken für die Unternehmen weltweit. Auch in Deutschland haben Cyberattacken auf Unternehmen in den letzten Jahren immer mehr zugenommen. Die Bedrohungslage für die Unternehmen ist dabei vielschichtig. Angreifer nutzten Schadprogramme für cyberkriminelle Massenangriffe ebenso wie für gezielte Angriffe auf im Vorfeld bewusst ausgewählte Opfer. Die Bedrohung durch mehrstufige Erpressungsmodelle hat im Laufe der Zeit und bis heute eine neue Qualität erreicht. Neben Schwachstellen in Software-Programmen nutzen Angreifer auch den Faktor „Mensch“ als Einfallstor für ihre Angriffe.
Organisationen und Strategie zur Verhinderung von Cyberattacken
Auf internationaler Ebene widmen sich verschiedene Institutionen der Verhinderung und Minimierung von Cyberrisiken. Auch wenn einzelne Institutionen in diesem Bereich führend sind, mangelt es noch an einer internationalen einheitlichen Struktur. Zu den wichtigsten Organisationen weltweit in Bezug auf Cyberrisk gehören die in der Schweiz ansässige Internationale Organisation für Normung (ISO), dass in den USA führende National Institute of Standards and Technology (NIST), in Europa die European Union Agency for Cybersecurity (ENISA) und in Bezug auf den Finanzsektor das in Basel ansässige Financial Stability Board (FSB).
Auf europäischer Ebene orientiert sich die Verhinderung von Cyberrisk an der im Dezember 2020 vorgestellten EU-Cybersicherheitsstrategie. Die EU-Cybersicherheitsstrategie soll als zentrales Element der Gestaltung der digitalen Zukunft Europas, des Aufbauplans für Europa und der EU-Strategie für eine Sicherheitsunion die kollektive Abwehrfähigkeit gegen Cyberbedrohungen stärken und dazu beitragen, dass alle Bürgerinnen, Bürger und Unternehmen die Vorzüge vertrauenswürdiger und zuverlässiger Dienste und digitaler Instrumente uneingeschränkt nutzen können.
Auch auf nationaler Ebene gibt es verschiedene Organisationen, die sich der Verhinderung von Cyberrisk widmen. Zu nennen sind bspw. der nationale Cyber-Sicherheitsrat, das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das nationale Cyber-Abwehrzentrum (Cyber-AZ).
Auf internationaler, europäischer und nationaler Ebene widmen sich zahlreiche Institutionen dem Thema Cyberrisk. Auf nationaler Ebene wurde die im Jahr 2011 entwickelte und bereits 2016 fortgeschriebene „Cybersicherheitsstrategie für Deutschland“ zuletzt im Jahr 2021 aktualisiert. Die Strategie definiert zehn strategische Bereiche, die zu vier Handlungsfeldern zusammengefasst wurden. Die vier Handlungsfelder wurden zuletzt in der am 08.09.2021 beschlossenen Cybersicherheitsstrategie 2021 beibehalten und durch strategische Ziele und operative Maßnahmen konkretisiert. Die Ziele und Maßnahmen sollen vor dem Hintergrund von Leitlinien, welche aus den die Handlungsfelder übergreifenden Interessen und Belangen abgeleitet wurden, betrachtet, geprüft und umgesetzt werden.
Ausblick
Da in absehbarer Zeit keine Abkehr vom Trend der Digitalisierung zu erkennen ist, stehen Cyberrisk und Cybersecurity zu Recht im Fokus von Politik, Wirtschaft, Öffentlichkeit, Aufsicht und Wirtschaftsprüfern.
Nationale und internationale Organisationen können mit Strategien und Normen die Grundlage für mehr Cybersecurity schaffen, jedes einzelne Unternehmen für sich muss jedoch dem für ihn bestehenden Cyberrisk durch entsprechende Maßnahmen begegnen.
Entscheidend für den Kampf gegen Cyberkriminalität sind das Wissen um die Angriffsmöglichkeiten, geeignete Schutzmaßnahmen und die Sensibilisierung von Menschen für die bestehenden Risiken.