Cyber-Security: Das Wichtigste für Ihre IT-Sicherheit

Ein Unternehmen gegen Cyber-Security-Angriffe & Bedrohungen zu schützen, muss keine Mammutaufgabe sein. In diesem Beitrag teilen wir wichtige Insights zur IT-Sicherheit.

Die Bedeutung der Cyber Security steigt mit der stets zunehmenden Bedrohung durch Cyber-Angriffe. In Deutschland allein lag die Zahl der Unternehmen, die Ziel eines Cyber-Angriffs wurden, 2019 bei rund 17,7 Millionen (veröffentlicht von Statista Research Department, 15.12.2022). Im Allianz Risikobarometer hat die Bedrohung durch Cyber-Risiken auch seit mehreren Jahren den ersten Platz erobert. Es steht also außer Frage, dass Cyber Security eine enorme Bedeutung erhalten hat.

Wichtig ist auch zu verstehen, dass sich Cyber-Angriffe und -Technologien stets weiterentwickeln. Während die Grundkonzepte wie Phishing, Social Engineering und Co. Dauerbrenner sind, so entwickeln sich dennoch ständig neue "Phishing-Maschen" oder gezielte Angriffe, die sich des technologischen Fortschritts, zum Beispiel in der künstlichen Intelligenz (KI), bedienen. Vishing, Deep Fakes und per ChatGPT generierte Phishing-E-Mails sind nur der Anfang.

In diesem Beitrag gehen wir sowohl auf die Grundlagen der Cyber Security, als auch auf wichtige Entwicklungen und Fokusthemen im Bereich ein.

Cyber Security, IT-Sicherheit oder Informationssicherheit?

Die Begriffe Cyber Security, IT-Sicherheit und Informationssicherheit werden oftmals synonym verwendet haben aber unterschiedliche Bedeutung.

IT-Sicherheit

IT-Sicherheit bzw. IT-Security schützt digitale Informationen in technischen Systemen, salopp formuliert „alles, was einen Stecker hat“. Typische Schutzmaßnahmen sind Virenscanner, Firewalls, Backups, E-Mail-Verschlüsselung oder Multi-Faktor-Authentifizierung. All diese technischen Maßnahmen sollen dafür sorgen, dass sensible Informationen nicht in die falschen Hände geraten (Vertraulichkeit) und die IT-Systeme verfügbar sind, wenn sie benötigt werden (Verfügbarkeit).

Informationssicherheit

Die IT-Sicherheit ist eine Teilmenge der Informationssicherheit bzw. Information Security, denn im Gegensatz zur IT-Sicherheit kümmert sich Informationssicherheit nicht nur um digitale Informationen, sondern um alle Informationsarten, beispielsweise auch physische Informationen (z. B. Prototypen oder Dokumente in Papierform) und das gesprochene Wort (in Meetings, Telefonaten, etc.). Informationssicherheit ist auch eher ein umfassendes Risikomanagement. Hier werden sensible Informationen identifiziert, potenzielle Gefährdungen ermittelt und dann die passenden Schutzmaßnahmen abgeleitet und in Security Policies niedergeschrieben. Die Umsetzung dieser Maßnahmen in den technischen IT-Systemen ist dann die Aufgabe der IT-Sicherheit.

Cyber Security

Und Cyber Security? Da wird es jetzt spannend. Cyber Security ist eigentlich nur ein neues Wort für IT-Sicherheit, wird mittlerweile aber auch von vielen Personen mit Informationssicherheit gleichgesetzt, weil ein Großteil der Angriffe auf Informationen aus dem Cyberraum geschieht… und weil es einfach deutlich cooler klingt. :-)

Angriffsvektoren in der Cyber Security: Menschen

Die meisten der nachfolgend genannten Angriffsvektoren in der Cyber Security setzen auf den Menschen als Einfallstor.

Denn: Selbst wenn ein System optimal geschützt ist (was es in der Praxis selten ist), können Angreifende durch die gezielte Täuschung, Manipulation oder Ausnutzung menschlicher Schwachstellen dennoch in Systeme eindringen und sich dort per Lateral Movement immer weiter ausbreiten. 

Deshalb sind Cyber Security Trainings und allgemeine Sensibilisierung durch Security Awareness Kampagnen ein elementarer Baustein einer Sicherheitsstrategie.

Phishing und menschliche Angriffsvektoren

Die wichtigsten Angriffsvektoren auf Menschen im Überblick:

 

  • Malware: ‘Malicious Software’ (dt. Schadsoftware) ist der Oberbegriff für alle Schadprogramme, die von Hackern geschrieben wurden, um in fremde Computer einzudringen und diese zu schädigen und/oder auszuspionieren.
  • Viren: Ein Virus ist eine Malware, die ein Computersystem infizieren kann und dort selbstständig Veränderungen vornehmen kann. Computerviren können sich, wie echte Viren, ohne Zutun des Nutzers weiter auf andere Systeme ausbreiten und so sehr schnell enormen Schaden anrichten.
  • Trojaner: Eine Malware, die sich als nützliche Software tarnt. Wenn man sie installiert, wird im Hintergrund wird heimlich die Schadsoftware installiert. Die meisten Trojaner haben ein sehr breites Set an Hacking-Funktionen: sie können Dateien stehlen oder verändern, sie können Nachrichten und Chats mitlesen, Webcams einschalten und alle Tastaturanschläge aufzeichnen, um beispielsweise Passwörter zu erbeuten. Im Gegensatz zu Viren replizieren sich Trojaner nicht automatisch.
  • Ransomware: ein Kunstwort aus dem englischem ‚Ransom‘ (Lösegeld) und Software. Diese Malware verschlüsselt Computersysteme und erpresst dann die Opfer mit einer Lösegeldzahlung, um an den Schlüssel zu gelangen. Ransomware ist aktuell die größte Bedrohung für quasi alle Unternehmen, insbesondere APT Ransomware Angriffe.
  • APT Ransomware: Ein Ransomware-Angriff von hochprofessionellen Kriminellen. Der absolute Super-Gau. Sie infizieren ihre Opfer mit Schadsoftware, dringen dann Schritt für Schritt weiter in das Netzwerk vor, bis sie, innerhalb weniger Wochen, die Kontrolle über alle wichtigen IT-Systeme eines Unternehmens haben: Datenbanken, Backups, E-Mail-Systeme, Domain Controller. In dieser Zeit stehlen sie parallel die Daten von diesen Systemen. Wenn alle wichtigen Systeme unter Kontrolle sind, werden sie auf einen Schlag verschlüsselt und die Unternehmen mit Millionenbeträgen erpresst. Sollten sie nicht zahlen wollen, drohen die Kriminellen zusätzlich mit der Veröffentlichung aller erbeuteten Daten.
  • Social Engineering: Social Engineering ist der Oberbegriff für die Manipulation und Täuschung von Menschen, um an vertrauliche Daten und Informationen zu gelangen. Angreifer geben sich als jemand aus, der sie nicht sind, um bei ihren Opfern Handlungen auszulösen, beispielsweise Passwörter eingeben, einen Anhang öffnen oder Geld auf ein bestimmtes Konto überweisen.
  • Phishing: Phishing ist ein Kunstwort aus „Password“ und „Fishing“, also „Passwörter angeln“. Hiermit sind all die gefälschten Webseiten, E-Mails, Textnachrichten oder ähnliches gemeint, mit denen Kriminelle sich als eine bestimmte Person ausgeben, um an persönliche Daten eines Opfers zu gelangen. Phishing ist also eine Variante von Social Engineering.
  • Vishing: Vishing ist eine Weiterentwicklung des Kunstwortes Phishing, wenn es um Telefonanrufe geht, also „Voice Phishing“. Auch hier geht es um die Erbeutung von vertraulichen Informationen, aber diesmal übers Telefon.
  • Smishing: Smishing ist eine Weiterentwicklung des Kunstwortes Phishing, wenn es um Textnachrichten geht, also „SMS Phishing“. Ist also Phishing, nur dass der Kommunikationsweg eine Textnachricht ist. Auch hier landen die Opfer auf gefälschten Webseiten oder sollen sich Schadsoftware installieren.

Die meisten der bisher genannten Angriffsvektoren in der Cyber Security setzen auf den Menschen als Einfallstor. Deshalb sind Cyber Security Trainings und allgemeine Sensibilisierung durch Security Awareness Kampagnen ein elementarer Baustein einer Sicherheitsstrategie.

Angriffsvektoren in der Cyber Security: Systeme

Ein weitere Angriffsvektor der Cyber Security sind Angriffe auf die IT-Systeme, also die Server oder die Applikationen, beispielweise durch Hacking oder die Ausnutzung von Zero-Day Schwachstellen.

Allerdings ist die weit verbreitete Einteilung in „Angriffe auf Menschen und Systeme“ irreführend, da die Systeme ja auch von Menschen entwickelt und betrieben werden.

Und in der Tat steckt hinter den meisten erfolgreichen Angriffen auf Systeme auch wieder ein menschliches Versagen:

Cyber Security Qualifizierungsmatrix
  • Systeme, die Schwachstellen haben, weil sie nicht auf dem neusten Stand (= gepatcht) sind
  • Administratoren, die für verschiedene Systeme das gleiche Passwort verwenden
  • Entwickler, die ihren Softwarecode nicht auf typische Angriffe wie SQL Injection überprüfen

Die ausgenutzten Schwachstellen in den Systemen sind nur selten „unvermeidbar“, z. B., wenn für eine Sicherheitslücke einfach noch kein Update, also einen Security Patch, existiert. Deutlich häufiger werden Schwachstellen ausgenutzt, die durch sensibilisierte Administratoren und Entwickler gar nicht entstanden wären.

Sensibilisierung zum Thema Cyber Security ist also auch in der IT dringend erforderlich, vielleicht sogar noch dringender als bei „normalen Anwendern“, weil die IT in der Regel mit privilegierten Rechten arbeitet und ein Angriff deshalb deutlich mehr Schaden verursachen kann, als das bei einem Anwender mit eingeschränkten Rechten der Fall wäre.

Administratoren und Entwickler benötigen aber ganz andere Inhalte zum Thema Cyber Security. Deshalb gibt es mit den Cyber LABs für Administratoren und Cyber LABs für Entwickler auch zwei spezielle Schulungen, die genau auf diese Anforderungen und Inhalte eingehen.

Hier finden Sie weitere Informationen zu der häufig vergessenen Zielgruppe der IT-Profis.

IS-FOX Cyber Security Schulungen

Die IS-FOX Cyber-Security E-Learning Kurse wurden von unseren inhouse Cyber Security Spezialisten entwickelt. Und diesen Unterschied erkennt man an den Inhalten – sagen unsere Kunden.

Die E-Learning Kurse eignen sich für kleine, mittelständische und große Unternehmen und können in einem eigenen Lernmanagement System (LMS) eingebunden werden oder über unsere IS-FOX Cloud betrieben werden, selbstverständlich angepasst auf die Unternehmensrichtlinien und das Corporate Design.

Cyber Security-Demo unverbindlich testen?

Unsere Inhalte sprechen für sich. Deshalb zeigen wir unsere Demos vollkommen unverbindlich und ohne lästiges Kontaktdaten preisgeben. Für unsere Interessenten und Kunden haben wir zusätzlich einen geschützten Demo-Bereich mit allen Inhalten.
Demo-Area

Gesetze & Regulierungen im Cyber Security Bereich

Der Cyber Resilience Act (CRA) - was hat es damit auf sich?

Technische und digitale Produkte, die von Unternehmen genutzt oder hergestellt und an Endkunden vertrieben werden, sind Bestandteil von Lieferketten. Diese wiederum sind gerne und oft Ziel von Cyberangriffen, da man hier nicht selten mehreren Parteien gleichzeitig schaden und somit mehr erbeuten kann. Man stelle sich manipulierte oder unsichere Chips vor, die letztendlich in Firmencomputer und -handys eingebaut werden … Die Folgen möchten wir uns lieber nicht vorstellen.

Der Gesetzentwurf sieht für diese Produkte vor, dass bereits in den Phasen Design, Entwicklung, Produktion und auch während der Inbetriebnahme und Nutzung entsprechende Cyber-Security-Maßnahmen implementiert werden, die dem jeweiligen Risiko angemessen sind. Hier wird zwischen sogenannten low-risk und high-risk Kategorien unterschieden. Allerdings befinden wir uns hier noch in der Phase der Umsetzung. Der Erfolg des CRA hängt nicht nur davon ab, dass seine Vorgaben praktikabel und umsetzbar sind, sondern auch davon, ob ein Unternehmen sich seiner Schwachstellen bewusst ist und das entsprechend geschulte Personal zur Verfügung hat - inklusive der nötigen Cyber-Security-Awareness.

Neben regulatorischen Entwicklungen wird die Cyber Security auch maßgeblich durch neue Trends und Technologien geprägt. 

Neue Gesetze & Regulierungen im Cyber-Security-Bereich

Der Cyber Resilience Act (CRA) - was hat es damit auf sich?

Technische und digitale Produkte, die von Unternehmen genutzt oder hergestellt und an Endkunden vertrieben werden, sind Bestandteil von Lieferketten. Diese wiederum sind gerne und oft Ziel von Cyberangriffen, da man hier nicht selten mehreren Parteien gleichzeitig schaden und somit mehr erbeuten kann. Man stelle sich manipulierte oder unsichere Chips vor, die letztendlich in Firmencomputer und -handys eingebaut werden … Die Folgen möchten wir uns lieber nicht vorstellen.

Der Gesetzentwurf sieht für diese Produkte vor, dass bereits in den Phasen Design, Entwicklung, Produktion und auch während der Inbetriebnahme und Nutzung entsprechende Cyber-Security-Maßnahmen implementiert werden, die dem jeweiligen Risiko angemessen sind. Hier wird zwischen sogenannten low-risk und high-risk Kategorien unterschieden. Allerdings befinden wir uns hier noch in der Phase der Umsetzung. Der Erfolg des CRA hängt nicht nur davon ab, dass seine Vorgaben praktikabel und umsetzbar sind, sondern auch davon, ob ein Unternehmen sich seiner Schwachstellen bewusst ist und das entsprechend geschulte Personal zur Verfügung hat - inklusive der nötigen Cyber-Security-Awareness.

Neben regulatorischen Entwicklungen wird die Cyber Security auch maßgeblich durch neue Trends und Technologien geprägt. 

Die wichtigsten Cyber Security Trends und Bedrohungen

Social Engineering

Bei der Bedrohung des Social Engineerings steht der Mensch im Mittelpunkt, denn er ist die Schnittstelle zwischen privaten und beruflichen Informationen und somit ein beliebtes Ziel für zielgerichtete Attacken. Die Angreifer sammeln möglichst viele Informationen über ihre Opfer, um Vertrauen zu wecken und dann durch zwischenmenschliche Manipulation Zugang zu geheimen Daten, Passwörtern oder Räumlichkeiten zu erhalten. Für Unternehmen ist diese Bedrohung eine große Herausforderung, da selbst die sichersten Systeme keinen Schutz gegen Social Engineering bieten.

Den besten Schutz gegen solch perfide Angriffe bietet eine menschliche Firewall, die Sie durch eine effektive Cyber-Security-Sensibilisierung der Mitarbeitenden erreichen. 

Darstellung einer Phishing-Simulation

Cybersicherheit im Homeoffice

Seit der Covid-19-Pandemie ist das Arbeiten remote oder aus dem Homeoffice nicht mehr wegzudenken. Umso wichtiger ist es, sowohl die privaten Räumlichkeiten und Geräte, als auch die digitale Infrastruktur (Stichwort Cloud-Dienste) schnellstmöglich auf einen guten Cyber-Sicherheitsstand zu bringen. Nur so können Sie sich und Ihr Unternehmen ausreichend vor internen und externen Angriffen schützen kann. Das ist in der Praxis leider oftmals gar nicht so einfach, vor allem bei wechselnden Arbeitsorten mit öffentlichen WLAN-Netzen und Co.

Ein paar Tipps: 

Halten Sie Ihr System und Anti-Virenscanner immer aktuell und speichern Sie keine dienstlichen Informationen auf privaten Geräten oder Netzwerken. Achten Sie außerdem darauf, Ihren Computer immer zu sperren, sensible Dokumente in einen Aktenschrank zu sperren, und bei Remote Work zudem Diebstahl Ihrer Geräte und unsichere, öffentliche WLAN-Netze zu vermeiden.

Darstellung einer E-Learning-Umgebung

Infrastrukturen als Angriffsziel

Da Cyberkriminelle immer professioneller werden und auch vor virtueller Kriegsführung nicht zurückweichen, wird eine stabile und geschützte Infrastruktur zunehmend wichtiger. Und das nicht nur in hochsensiblen Sektoren wie dem Medizin-, Gesundheits- und Flugsicherheitssektor.

In der Politik ist man sich dessen weitestgehend bewusst und arbeitet an neuen Gesetzen und Regulierungen, an die sich Unternehmen halten müssen. In Deutschland gibt es beispielsweise das KRITIS-Dachgesetz, das für Anbieter kritischer Infrastrukturen Mindestvorgaben für das Gesamtsystem stellt und es somit widerstandsfähiger machen soll. Für Unternehmen, die Ihre Informationssicherheit unabhängig von gesetzlichen Vorgaben zertifizieren lassen möchten, gibt es z.B. die ISO 27001.

Multi-Faktor-Authentifizierung (MFA)

Diese Technologie können Unternehmen aktiv nutzen, um sich und ihre Mitarbeitenden zu schützen, denn es gilt aktuell als der höchste Authentifizierungsstandard. Doch auch hier ist Vorsicht geboten: nicht alle Methoden der MFA sind gleichermaßen sicher. Programm-basierte Tools wie Sicherheitsschlüssel und App-basierte Varianten haben einen höheren Schutz als Telefon-basierte, da sich hierbei kriminelle Akteure relativ schnell und einfach einschleichen können. Dies kann vor allem im Online-Banking oder bei der gemeinsamen Nutzung von Cloud-Services unangenehme Konsequenzen mit sich bringen.

Zudem schützt ein zweiter Faktor auch nicht vor Social Engineering oder gezielten Phishing Attacken. Hier kommt es wiederum auf die Sensibilisierung der Mitarbeitenden an.

Zunahme von Phishing & Co.

Wo wir gerade beim Thema Phishing sind: Mit einem Allzeithoch von rund 300.000 Angriffen - alleine in 2019 - hat sich das Phishing zu einer der weitverbreitetsten Formen der Cyberangriffe entwickelt. Dementsprechend war es nur eine Frage der Zeit, bis sich hier neue Varianten ergeben würden.

Beim Smishing werden zum Beispiel überzeugend echt aussehende SMS- und Textnachrichten versendet, zum Beispiel von vermeintlichen Postdiensten oder Banken. Damit möchten die Angreifer potenzielle Opfer dazu zu bringen, private Informationen preiszugeben oder schadhafte Links und Anhänge anzuklicken.

Eine weitere, neue Variante ist das Vishing (‘Voice Phishing’), bei dem durch automatisierte Telefonanrufe versucht wird, den Empfänger zur Herausgabe von Zugangsdaten etc. zu bewegen.

Noch perfider: Beim Spear-Phishing gehen Cyber-Kriminelle sogar so weit, dass sie ihren E-Mail-Betrug mit öffentlich zugänglichen Informationen (z. B. aus Social Media) anreichern und so gezielt einzelne Empfänger täuschen möchten. Damit werden aus diesen Attacken zum Teil gezielte Social Engineering Attacken. Mit jeder neuen Phishing-Methode nimmt auch die Bedrohung zu.

Sie möchten Ihr Unternehmen vor Phishing schützen?

Wir beraten Sie gerne.
Kontakt

Künstliche Intelligenz

Am Trend der künstlichen Intelligenz führt aktuell kein Weg vorbei - und auch keine Diskussion. Regelmäßig scheiden sich hier die Geister: Chance oder Gefahr? Das ist mit Blick auf die Cyber-Security nicht anders. Auch hier können KIs positiv und negativ betrachtet werden. Unternehmen, die künstliche Intelligenz zum erweiterten Schutz ihrer Daten, Infrastrukturen und Systeme einsetzen, können potenzielle Angriffe automatisiert abwehren oder zumindest schneller erkennen und frühzeitig stark eindämmen.

Gleichzeitig sind aber natürlich auch Kriminelle auf den Trichter gekommen, KI-Technologie für ihre Zwecke zu nutzen, z. B. für bessere Ransomware-E-Mails dank ChatGPT. Egal, aus welcher Perspektive man Künstliche Intelligenz betrachtet - eines ist sicher: Sie wird in Zukunft großen Einfluss auf die Entwicklungen in der Cybersicherheit haben.

Das ‘Internet der Dinge’ (Internet of Things)

Wie sieht es eigentlich mit Geräten aus, die weder Computer, Telefon, noch Server sind, aber trotzdem mit dem Internet verbunden sind? Smartwatches, Sprachassistenten, SmartCars, intelligente Kühlschränke, um nur ein paar Beispiele zu nennen. Diese Geräte machen uns das Leben einfacher, dank Digitalisierung und Smart Home.

Leider bergen auch diese Geräte immer ein gewisses Sicherheitsrisiko, da sie die Angriffsfläche für Cyberattacken deutlich erhöhen. Erschwerend kommen diverse Schwachstellen dieser Geräte hinzu - zum Beispiel durch mangelnde Speicherkapazität, die kaum genug Platz für Firewalls und Antivirensoftware aufbringt.

Cloud-Services

Sie haben sich - besonders während der Pandemie - als extrem nützlich erwiesen, da mehrere Benutzer von verschiedenen Standorten aus auf Daten zugreifen können. Das macht die Cloud effizient, kosten- und platzsparend. Allerdings müssen Cloud-Services gut konfiguriert werden.
Aber nicht nur das: Mitarbeitenden muss auch klar sein, welche Cloud-Services genutzt werden dürfen. Wenn User anfangen, selbst Cloud-Software im Internet zu nutzen, können unsichere Schnittstellen oder fehlerhaft konfigurierte Cloud-Einstellungen schnell zum Einfallstor für Cyber-Bedrohungen werden.

Die Implementierung sicherer Cloud-Schutz-Maßnahmen ist für Unternehmen unverzichtbar und setzt ein gewisses IT-Know-How und ein Verständnis für international variierende Gesetzesvorgaben voraus.

Was nun? Zielgruppengerechte Awareness-Trainings für mehr Sicherheit

Technik und Prozesse sind nur so gut wie diejenigen, die sie erarbeiten, betreuen und schlussendlich nutzen. Während anfänglich der Fokus ausschließlich auf breit angelegte Schulungen zum Thema Cyber-Security-Awareness lag, wird sich der Trend zukünftig zusätzlich auf Trainings für konkrete Zielgruppen und ihre Bedürfnisse konzentrieren. Denn die Finance Abteilung wird eine andere Form der Schulung benötigen als ein IT-Admin oder Vorstandsassistenten, und diese wiederum eine andere als die Produktionsmitarbeitenden.

Denn: Sie alle haben verschiedene Admin- und Zugriffsrechte mit unterschiedlichen Sicherheitsfreigaben. Es gibt Bedrohungen, wie z.B. den CEO-Fraud, von denen aus Imagegründen nicht so viel berichtet wird. Und das, obwohl sich die Fälle auch im deutschsprachigen Raum häufen. Ganz gleich bei welcher Unternehmensgröße, es ist absolut unerlässlich, alle Mitarbeiter für solche Gefahren zu sensibilisieren und zu schulen.

Demo und Beratung? Preise? Referenzen?

Holen Sie sich einen Demozugang und lassen Sie uns in einem Webmeeting über Ihren Bedarf sprechen. Wir zeigen Ihnen, wie Sie die Cyber Security in Ihrem Unternehmen mit Mitarbeiter-Schulungen erfolgreich stärken können.
Kontakt