Wie Sie Ihr Unternehmen vor Datendiebstahl schützen

Am Puls der Zeit
bleiben: mit dem
TOP 100-Blog

Wie Sie Ihr Unternehmen vor Datendiebstahl schützen

15. August 2016 Pascal Simon Lesedauer 4 Minuten

Trojaner, Phishing, Social Engineering – mit diesen Instrumenten versuchen Hacker, an sensible Unternehmensdaten zu gelangen. Oft genug sind sie damit erfolgreich. IT-Forensikerin Silvana Rößler erläutert im Gespräch die Methoden der Kriminellen und was Sie gegen Hackerangriffe tun können.

Was auch immer man von dem Wahlkampf um die amerikanische Präsidentschaft halten mag, eines ist sicher: langweilig ist er nicht. Doch während normalerweise der Republikaner Donald Trump mit seinen kruden Aussagen die Schlagzeilen beherrscht, sorgen momentan vor allem die Demokraten für Aufsehen.

Zwei Tage vor Beginn des Nominierungsparteitags veröffentlichte die Plattform Wikileaks den E-Mailverkehr führender Parteifunktionäre. Aus den mehr als 19.000 Nachrichten geht hervor, dass die Parteispitze während des Vorwahlkampfs – trotz öffentlich zur Schau gestellter Neutralität gegenüber den beiden Kandidaten – klar auf der Seite Hillary Clintons stand. Im Zuge dieser Affäre erklärten bislang vier der ausgespähten Politiker ihren Rücktritt, darunter auch die bisherige Parteichefin Debbie Wasserman Schultz.

Vor diesem Hintergrund werden natürlich auch in Deutschland böse Erinnerungen wach: „Ausspähen unter Freunden, das geht gar nicht!“, so reagierte Angela Merkel damals auf das Abhören ihres Diensthandys durch den amerikanischen Auslandsgeheimdienst NSA. Im vergangenen Jahr wurde dann auch noch die Bundestagsverwaltung Opfer eines Hackerangriffs. Unbekannte hatten einen Trojaner eingeschleust und damit nicht nur vorübergehend die gesamte Bundestags-IT lahmgelegt, sondern auch massenhaft vertrauliche Daten gestohlen. 

50 Prozent aller deutschen Unternehmen sind betroffen

Doch nicht nur Parteien oder öffentliche Einrichtungen haben mit Angriffen aus dem Web zu kämpfen: Auch für Unternehmen ist Cybercrime längst zu einer realen Gefahr geworden. So wurden einer repräsentativen Studie des Digitalverbands Bitkom zur Folge im Zeitraum von 2013 bis 2015 die Hälfte aller Unternehmen in Deutschland mindestens einmal Opfer von digitaler Wirtschaftsspionage, Datendiebstahl oder Sabotageakten. In der Industrie sind die Zahlen sogar noch höher. Hier berichten satte 69 Prozent der vom Verband befragten Unternehmen von einem Vorfall in den vergangenen zwei Jahren. Den dadurch entstandenen gesamtwirtschaftlichen Schaden beziffert der Verband auf rund 22,35 Milliarden Euro pro Jahr.

Die Bitkom-Studie zeigt außerdem, dass KMUs ebenso häufig ins Fadenkreuz der Hacker geraten wie Großkonzerne. Doch während gerade Automobilhersteller oder Banken bereits sehr stark für die Gefahren des Cybercrime sensibilisiert sind, fehlt es in vielen mittelständischen Betrieben noch an Problembewusstsein. „Viele Mittelständler wissen gar nicht, wie leicht Kriminelle an ihre Daten gelangen können“, sagt Silvana Rößler. Die IT-Forensikerin arbeitet beim TOP 100-Unternehmen Allgeier CS (ehem. networker, projektberatung) und hält regelmäßig Vorträge zum Thema IT-Sicherheit.

Die Methoden der Hacker

Im Gespräch nennt Rößler zahlreiche raffinierte Methoden, mit denen sich Kriminelle Zugriff auf sensible Daten verschaffen können. Sie warnt beispielsweise vor der Nutzung öffentlicher Handyladestationen. Wer auf Großveranstaltungen wie etwa bei Messen auf das öffentliche W-LAN zurückgreift, müsse sich besonders vor sogenannten "Evil Twin-Netzwerken" in Acht nehmen: „Gehen wir davon aus, ich als Hacker richte mit meinem Raspberry Pi (einem Mini-Rechner in Hosentaschenformat) einen Hotspot ein, dem ich einen möglichst offiziell klingenden Namen wie zum Beispiel ‚Telekom’ gebe. Fällt ein Messebesucher darauf herein und nutzt mein Netzwerk zum Surfen, kann ich seine gesamte Aktivität mitschneiden und bekomme so Zugriff auf persönliche Zugangsdaten und andere sensible Informationen“, erklärt Rößler.

Während Hacker bei einem solchen Vorgehen darauf aus sind, möglichst viele Daten einer vorher nicht näher bestimmten Zielgruppe zu erbeuten, werden bei anderen Angriffen ganz zielgerichtet einzelne Personen attackiert. Bei diesem „Social Engineering“ erstellen Kriminelle ein genaues persönliches Profil ihres potentiellen Opfers. Als Informationsquellen dienen dabei soziale Medien oder auf anderem Wege bereits erbeutete persönliche Daten, wie etwa Zugangsdaten von Onlineshops. Mithilfe dieser Informationen lässt sich schließlich eine individuell auf den Mitarbeiter zugeschnittene und daher täuschend echte Phishing-Mail verfassen, über die sich Kriminelle Zugang zum Unternehmensnetzwerk verschaffen. „Als Absender solcher Mails wird dann beispielsweise ihr Chef angezeigt, der gerade unterwegs ist und sie bittet, ihm doch schnell ein bestimmtes Passwort zuzuschicken“, erläutert Rößler die Masche der Hacker.

Wie gut dieser "Chef-Trick" mitunter funktioniert, zeigt das Beispiel des Autozulieferers Leoni. Im August hatten sich Hacker mithilfe gefälschter Dokumente und fingierter Identitäten illegal Zugriff auf Unternehmenskonten verschafft. Der Schaden belief sich nach eigenen Angaben des Unternehmens auf rund 40 Millionen Euro.

Schützen Sie Ihre Daten

Doch wie können Unternehmen ihre Daten vor dem Zugriff Krimineller schützen? Auch dazu weiß die IT-Forensikerin Rat: „Mit einem tagesaktuellen Virenscan und einer guten Firewall können Sie die meisten der nicht-zielgerichteten Angriffe abwehren.“

Schwieriger wird es hingegen bei gezielten Angriffen wie etwa durch Social Engineering: „Hier ist es ganz wichtig, im Unternehmen ein Bewusstsein für die möglichen Gefahren durch Cybercrime zu schaffen. Das fängt an bei Richtlinien zum Umgang mit Diensthandys und Laptops, einer klaren ‚Bring-Your-Own-Device’-Policy und hohen Sicherheitsstandards für Passwörter. Kennwörter wie ‚1234’ oder ‚Passwort’ bieten einfach keinen ausreichenden Schutz von Geschäftsgeheimnissen“, erläutert Rößler. Und weiter: „Ein Unternehmen sollte außerdem einen Plan für den Ernstfall haben. Es muss klar geregelt sein, welche Schritte eingeleitet werden, wenn ein erfolgreicher Hacker-Angriff entdeckt wird. Für uns ist auch das Teil einer guten Präventivstrategie.“

Auch die Bundesregierung hat den Handlungsbedarf auf dem Gebiet der IT-Sicherheit erkannt und gemeinsam mit BDI und DIHK die „Initiative Wirtschaftsschutz“ ins Leben gerufen. Über ein Onlineportal stellt die Initiative interessierten Unternehmen Informationen und Services rund ums Thema Datenschutz und Cybercrime zur Verfügung.

Bewusstsein schaffen, Mitarbeiter schulen, Prozesse definieren – das sind die zentralen Komponenten einer ganzheitlichen Strategie zum Schutz sensibler Daten. Auf diese Weise stehen die Chancen gut, dass Ihre Geschäftsgeheimnisse auch wirklich geheim bleiben.  

Autor

Pascal Simon ist Redaktionsleiter des TOP 100-Blogs und Junior PR-Berater bei compamedia

E-Mail schreiben

Kommentare

Kommentar verfassen

*Wird nicht veröffentlicht

Über uns

TOP 100 ist die Auszeichnung für Deutschlands innovativste Mittelständler.

Unser Innovationsblog inspiriert unsere Leser dazu, wie die TOP 100 innovativ und kreativ zu denken und auf diese Weise mutig die Zukunft zu gestalten.

Highlights

Mit der Blue-Ocean-Strategie zum Erfolg
27. April 2017
Schrecken und Chancen der Disruption
06. Februar 2017
Die Senkrechtstarter der Start-up-Szene
11. Januar 2017
Universitäten als Ideenfabriken für den Mittelstand
22. September 2016
Innovationsmarketing: Nur keine falsche Bescheidenheit
05. September 2016

Impressionen des
4. Deutschen
Mittelstands-Summit

Zur Galerie

Den
TOP 100-Blog
abonnieren

Zum RSS-Feed