Datenschutz – Jeder ist ein Ziel, egal wie groß oder klein
Es ist ein weit verbreiteter Glaube, dass kleine Unternehmen und Privatleute zu klein, zu unbedeutend sind, um das Ziel von Angriffen zu werden.
In den letzen Monaten hat sich das durch die Ransomware Angriffe ein wenig geändert. Geblieben sind falsche Vorstellungen, wie Cyberkriminelle (Hacker) an Informationen gelangen.
Es gibt sicherlich viele Beweggründe für das Hacken. Einige sind politisch motiviert, andere wollen sich einfach nur ausprobieren und Ruhm ernten. Die meisten lockt das Geld.
Da sitzt keiner mehr vor dem Bildschirm und versucht sich durch die Firewall zu hacken
Das sammeln von Informationen, auch die Informationen über Zugangsdaten, geschieht heute in der Regel vollautomatisiert. Natürlich gibt es auch Angriffe, die mit viel Aufwand vorbereitet und durchgeführt werden. Hier geht es um automatisierte Verfahren.
Es ist schon vorweggenommen. Viele der Angriffe werden heute so gestaltet, dass sie mit möglichst geringem Aufwand den höchsten Ertrag bringen. Dabei nutzen die Angreifer das Mögliche. Sie können sich im Darknet günstig Rechenkapazitäten kaufen oder sie bauen sich in einer ersten Phase eigene Botnetze auf. Auch die Software für Angriffe gibt es als Toolset zu kaufen. Ebenso können natürlich auch Cyberkriminelle auch moderne Business Intelligence Lösungen für Ihre Zwecke nutzen. Vorbereitung und die Angriffe selbst werden wo immer möglich automatisiert durchgeführt.
Economy of Scale
Stellen wir einmal eine Betrachtung an, die uns vor Augen führt, wie auch mit kleinen Beträgen viel Geld verdient wird.
- Ein Datensatz kostet heute nicht mehr viel. Nehmen wir einmal an, 5 Cent.
- Im Darknet werden Datenbanken zum Kauf angeboten, die 500 Millionen Datensätze beinhalten.
Wenn ich für eine Kampagne 50 Millionen Datensätze kaufen möchte, verdient der Anbieter ohne Rabatt 50 Millionen x 5 Cent = 2,5 Millionen.
Nehmen wir ein -fiktives- Rechenbeispiel zur Ransomware.
Hier kommt es am Ende auf die Verzweiflung der Opfer an, wie erfolgreich so eine Kampagne verläuft. Unternehmen begreifen mehr und mehr, dass es von Vorteil und auch ihre Pflicht ist, Daten durch Backups und andere Maßnahmen vor Verlußt, Manipulation und Abwanderung zu schützen. Private Nutzer sind oft noch nicht ausreichend auf das Thema Informationssicherheit sensibilisiert.
Wer nicht vorgebeugt hat, befindet sich im Club der Verzweifelten, wenn die Schadsoftware den Rechner oder gleich das ganze Netzwerk inklusive der Server verschlüsselt hat. Vermeintlicher Ausweg, der Betroffene zahlt für den Schlüssel.
50 Millionen Konten angegriffen, Erfolgsrate 0,01% = 500.000 verschlüsselte Systeme oder mehr, 0,5% der betroffenen Zahlen = 25.000 Personen zahlen, Preis für den Schlüssel umgerechnet 300 EUR = 7.500.000 EUR „Umsatz“
In unserem – fiktiven – Beispiel stehen 2,5 Millionen Kosten zu 7,5 Millionen Umsatz.
Das macht einen Gewinn von 5 Millionen!
Nach Erkenntnissen der Microsoft Digital Cybercrime Unit summieren sich die Kosten für Cyberkriminalität weltweit auf rund 500 Milliarden US-Dollar. Jedes fünfte Unternehmen ist demnach bereits Opfer von Cyberkriminalität geworden. Zu der immens hohen Schadenssumme trägt auch bei, dass Angreifer sich durchschnittlich 243 Tage in fremden Firmennetzen bewegen können, bevor sie entdeckt werden.
Merke: Jeder ist ein Ziel.
Kosten durch Zerstörung, Veränderung, Kundenverlust, Reputationsschäden, Strafen
Die Überschrift macht deutlich, dass eine Risiko-Abschätzung und Kostenbetrachtung vor dem Schadenseintritt sehr sinnvoll ist. Gut vorbereitet ist auch, wer sich Gedanken macht, wie der Betrieb in so einem Fall weitergehen kann und wie lange das Unternehmen keinen oder einen eingeschränkten Betrieb durchhalten kann.
Unternehmen sind durch gesetzliche und regulatorische Vorgaben verpflichtet, sowohl das Unternehmen vor Gefahren zu schützen, als auch Kunden-, Lieferanten- und Mitarbeiterdaten. Im Schadensfall sehen sich
Unternehmen oft auch mit OWI- oder Strafzahlungen und weiteren Auflagen konfrontiert.
Besonders schlimm kann es werden, wenn die Versicherung auch noch die Schadensregulierung verweigert.
Cybersecurity (Informationssicherheit) bedarf einer ganzheitlichen Betrachtung
Unternehmen werden in Zukunft mehr in die Sicherheit Ihrer Daten, Informationen, der Betriebs- und Geschäftsgeheimnisse investieren müssen. Sparsam ist, wer mit einer Strategie zur Informationssicherheit anfängt, sich ein Konzept dazu erarbeitet, die Prozesse im Unternehmen entsprechend berücksichtigt und anpasst.
Informationssicherheit ist eine Managementaufgabe, funktioniert jedoch nicht ohne dass Bewußtsein, Wissen und die Sensibilität aller Mitarbeiter. Ein Informations-Sicherheits-Management-System (ISMS) hilft sowohl bei dem Aufbau der Sicherheit im Unternehmen als auch bei der Erhaltung und dem stetigen Ausbau des Sicherheitsniveaus.
Niemand ist zu klein – Experten helfen
Die Bedrohungen im Cyberspace sind real. Viele Unternehmen wurden bereits Opfer von Cyberangriffen und haben reichlich Lehrgeld bezahllt. Dazu gehören internationale Konzerne ebenso wie kleine Unternehmen.
Für kleine Unternehmen ist die Last besonders schwer. Eine Absicherung auch eigener Kraft bedarf des notwendigen Wissens und bringt einen enormen Zeitaufwand mit sich. Eine Absicherung durch externe Berater bringt finanziellen Aufwand.
Die Entscheidung bleibt am Ende bei den Verantwortlichen der Unternehmen. Keine Entscheidung zum Thema Informations-Sicherheit ist ganz bestimmt falsch.
