Mein Datenschutz-Blog - #THEPRIVÄCY

Hier bloggt das Deutsche Zentrum für Datenschutz & Informationssicherheit (DZDI) als Teil der yourIT Group. Seit über 15 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Informationssicherheits- (ISB) und Datenschutzbeauftragter (DSB) rund um EU-DSGVO, BDSG-neu und ISO 27001. Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen, Praxen, Kanzleien, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Dienstag, 21. Februar 2023

Zunahme erfolgreicher Hacking-Attacken um fast 300 %

Weshalb aktuell so viele Unternehmen gehackt werden

Laut Branchenverband Bitkom e.V. stiegen die Ausgaben für IT-Sicherheit letztes Jahr um 13%. Aber obwohl Unternehmen mehr in IT-Sicherheitslösungen investieren denn je, erleben wir derzeit eine dramatische Zunahme von erfolgreichen Hacking-Angriffen auf Unternehmen und Organisationen.

Trotz steigender Ausgaben für IT-Sicherheit - immer mehr Unternehmen gehackt

Fast täglich erscheinen Meldungen über neue Sicherheitsverletzung und Datenverlust in den Schlagzeilen.

Vgl. hierzu unsere Übersicht der „Cyber-Attacken in Deutschland“ Aber weshalb werden so viele Unternehmen gehackt? Hier sind einige Faktoren, die dazu beitragen könnten.

Zusammenfassend lässt sich sagen: IT-Sicherheitssysteme zu besitzen, reicht nicht aus. Man muss dann schon auch mit und an den gekauften Lösungen arbeiten.

Aktuell trifft es vor allem zwei Arten von Unternehmen:

1. Die einen denken, dass sie die IT-Sicherheit im Griff haben, weil sie hier bereits einiges an Geld investiert haben. Weil sie sich aber zu viel auf Technik und zu wenig auf Organisation und Dokumentation verlassen, ist das trügerisch. Im Ernstfall sind sie einfach zu schlecht gewappnet.

2. Für die anderen sind IT- und Informationssicherheit eine Black Box. Sie wissen deshalb überhaupt nicht, was sie tun sollen – und machen in Folge einfach viel zu wenig.

Klar sind erstere besser aufgestellt als die anderen, aber für eine erfolgreiche Hacker-Abwehr reicht das dann halt meist trotzdem nicht.

Das Angebot an IT-Sicherheitslösungen ist nicht überschaubar. Selbst gute IT-Systemhäuser tun sich manchmal schwer, die passenden Systeme für die Anforderungen bei ihren Kunden zu finden. Zielführende organisatorische Herangehensweisen wie z.B. die Aufstellung einer Risikomatrix oder die Abfrage des Schutzbedarfs sind nur wenigen geläufig und kommen dadurch seltenst zum Einsatz.

Die Entscheider in den Unternehmen können die Angebote der IT-Dienstleister mangels eigenem Fachwissen und sprachlichem Technik-Kauderwelsch auf Seiten der Anbieter oft nicht einschätzen.

Fehleinschätzungen und Fehlkäufe sind an der Tagesordnung

Aufgrund der zuvor erläuterten Lücken sind Fehleinschätzungen und Fehlkäufe in der IT-Sicherheit leider an der Tagesordnung. Vor allem im Mittelstand gibt es heute kaum noch interne IT-Mitarbeiter. Also muss oft direkt die Geschäftsführung gemeinsam mit dem IT-Dienstleister entscheiden, was angeschafft wird. Oft ist nicht mal bekannt, um wie viel besser sich das Unternehmen durch den Kauf einer bestimmten Sicherheitslösung stellt.

Die Sophos-Firewall im Serverraum gewinnt alleine keinen Blumentopf

Nehmen wir mal an, die Geschäftsführung folgt der Empfehlung des IT-Security-Anbieters und kauft eine neue Sophos-Firewall für 15. oder sogar 30.000 Euro. Was dann wiederum nicht klar ist: Damit ist es nicht getan. Das Unternehmen sollte sich Sicherheitsziele setzen und anhand derer agieren.

Oft finden Forensiker nach einem erfolgreichen Hacking-Angriff ernüchterndes heraus über die Einrichtung der für teures Geld angeschafften IT-Sicherheitslösungen. Gerade in der Firewall gibt es typische Fehler, die sich immer wiederholen:

„Any-any-Regel“: Diese Einstellung erlaubt alle Arten von Datenverkehr von jeder beliebigen Quelle zu jeder beliebigen Zieladresse, ohne dass die Firewall die Datenpakete überprüft. Dem Hacker sind Tür und Tor geöffnet. Obwohl jedem klar sein sollte, dass dadurch die Firewall quasi ad-absurdum geführt wird, wird diese immer wieder nach erfolgreichen Angriffen entdeckt.
Melde-E-Mail-Adresse nicht eingerichtet: Moderne ordentlich eingerichtete Firewalls bemerken Angriffe sehr zuverlässig. Wenn aber in dem Feld für die E-Mail-Adresse noch der Defaultwert sample@sample steht, bleiben alle Warnungen unbemerkt.

95% aller Hacking-Angriffe könnten verhindert werden

Laut Informationen von Forensikern und Cybercrime-Polizisten könnten 95% aller Hacking-Angriffe verhindert werden, wenn die IT einfach nur ihren Job richtig machen würde. Dazu gehört, dass passende technische Lösungen gekauft und danach optimal eingerichtet werden.

Aber vor allem gehört dazu, dass die gesamte IT-Sicherheits-Situation eines Unternehmens analysiert und die gefundenen Lücken und Schwachstellen dokumentiert werden. Danach sind Änderungen und Anpassungen zu planen (ebenfalls schriftlich). Nachdem die passenden technischen Lösungen getestet, entschieden und angeschafft wurden, muss auch die Einrichtung dokumentiert werden. Und schließlich brauchen wir Notfall-Konzepte für den Fall, dass trotzdem etwas schief gegangen ist.

Die Protokolle und Warnungen der angeschafften Systeme müssen ständig ausgewertet werden. Erst heute meinte eine uns gut bekannte Forensikerin leicht frustriert: „Was nutzt eine tolle technologische IT-Sicherheitslösung, wenn deren Warnungen einfach ignoriert werden. Man sollte den Defender einfach mal ernst nehmen. Wenn er sagt, es gibt ein Problem, dann gibt es sehr wahrscheinlich auch ein Problem!“

Ein Informationssicherheitsbeauftragter (ISB) könnte helfen

Wenn man das bisher geschriebene betrachtet, erkennt man leicht die Misere, in der viele (vor allem mittelständische) Unternehmen sich derzeit befinden:

1. Im Unternehmen gibt es kaum noch Wissen zum Thema IT-Sicherheit.

2. Die betreuenden IT-Dienstleister kümmern sich nur um Technik und Funktionalität - und haben da noch viele Hausaufgaben zu erledigen.

Die Lücke könnte ein Informationssicherheitsbeauftragter(ISB) füllen. Seine Aufgaben haben wir in unserem Glossar beschrieben.

Er vermittelt typischerweise zwischen Geschäftsführung und IT-Administration und sorgt dafür, dass Aufgaben auch wirklich zu Ende gebracht bzw. regelmäßig wiederaufgenommen werden. Außerdem kümmert er sich um Richtlinien, Verfahrensanweisungen und Schulungen / Awareness-Trainings für die Mitarbeiter. Er sorgt für das zu den Unternehmensanforderungen passende Maß an Dokumentation. Gesamt betrachtet baut der ISB ein Informationssicherheitsmanagementsystem (ISMS) auf (z.B. anhand der internationalen Norm ISO 27001).

Falls Sie wissen möchten, wie ein ISB arbeitet und wie das Ihrem Unternehmen hilft, sich besser gegen Hacking-Angriffe zu wappnen: Fragen Sie uns an!

Beratungspaket Phase A+B mit Fördermittel

Benötigen Sie dennoch Hilfe? Kein Problem!

Jetzt Kontakt aufnehmen

Das könnte Sie auch interessieren:

23.02.2023 & 28.02.2023: Webinar "Wer kümmert sich um die Informationssicherheit in Ihrem Unternehmen?"

13.02.2023: Wer kümmert sich um die Informationssicherhit in Ihrem Unternehmen?