CYBERRISIKEN IM MITTELSTAND 2020 - REPORT - GDV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesamtverband der Deutschen Versicherungswirtschaft e. V.
Eine Initiative der
deutschen Versicherer.
Report
Cyberrisiken im
Mittelstand 2020
02 Cyberrisiken im Mittelstand
Der Mittelstand – Rückgrat der
deutschen Wirtschaft
81,8 %
Kleinstunternehmen1
99,4 % 15,1 %
kleine und
kleine Unternehmen2
mittlere
Unternehmen
2,5 %
mittlere Unternehmen3
0,6 %
Großunternehmen
1 bis 9 Mitarbeiter/bis 2 Mio. Euro Jahresumsatz
2 10 bis 49 Mitarbeiter/2 bis 10 Mio. Euro Jahresumsatz
3 50 bis 249 Mitarbeiter/10 bis 50 Mio. Euro Jahresumsatz
Quelle: Destatis, Werte für 2018
Methodik Über die Initiative
Im Auftrag der Initiative CyberSicher hat die Forsa Politik- und Mit der Initiative CyberSicher
Sozialforschung GmbH 300 Entscheider in kleinen und mittleren sensibilisieren die Versiche
Unternehmen befragt. Die Befragung wurde so angelegt, dass reprä rer für die Gefahren aus dem
sentative Aussagen zu Kleinstunternehmen, kleinen Unternehmen Cyberspace und zeigen, wie
und mittleren Unternehmen getroffen werden können. Die Inter sich kleine und mittlere Unter
views fanden zwischen dem 27. März und dem 23. April 2020 statt. nehmen schützen können.
Darüber hinaus hat die PPI AG mit ihrem Analyse-Tool cysmo die
Sicherheit der IT-Systeme von 1.019 mittelständischen Unternehmen
passiv getestet und dabei alle öffentlich einsehbaren Informationen
aus Sicht eines potentiellen Angreifers erfasst und bewertet.
Die Tests fanden im Juni 2020 statt. Eine Initiative der
Die Grafiken in diesem Report sind entsprechend gekennzeichnet. Deutschen Versicherer.
#cybersicher
Inhalt 03
Cyberrisiken im Mittelstand 2020
1 Die verdrängte Gefahr
Das Prinzip Hoffnung regiert
Obwohl die meisten Unternehmen eine Cyberattacke hart treffen
würde, hat IT-Sicherheit vielerorts keine Priorität. → Seite 04
2 Die Sicherheitslücken
Neugier und Komfort schlagen
die Datensparsamkeit
Viele Unternehmen legen mehr Wert darauf, Daten zu sammeln
als Daten zu schützen. → Seite 08
Gefährliche Post
E-Mails sind für Cyberkriminelle die ideale Angriffswaffe.
Und die erfolgversprechendste. → Seite 12
Wie eine erfolgreiche Attacke
Unternehmen verändert
Wer nicht mehr zum Opfer werden will, stärkt die Strukturen
und sensibilisiert seine Mitarbeiter. → Seite 15
Ab in die Cloud?
Wer seine Daten in der Cloud speichert, sollte die Chancen
und Risiken kennen. → Seite 16
3 Der Schutz
Achtung: Dringender Sicherheitshinweis!
Diese drei Tipps sollte jedes Unternehmen beherzigen. → Seite 18
Selbsttest: Wie gut ist Ihre IT-Sicherheit?
Finden Sie heraus, wo Ihre Schwachstellen sind und wie Sie diese
schließen können. → Seite 20
#cybersicher
04 Die verdrängte Gefahr
#cybersicher
Die verdrängte Gefahr 05
Das Prinzip Hoffnung
regiert
Den meisten kleinen und mittelständischen Unternehmen
in Deutschland ist bewusst, wie sehr ihre Arbeit mittlerweile
von funktionierenden Computersystemen abhängig ist. Sie
wissen auch, dass Cyberkriminalität eine Gefahr darstellt. Doch
das Risiko, selbst einmal Opfer eines Cyberangriffs zu werden,
verdrängen viele – es trifft ja immer nur die anderen.
B
etriebsunterbrechungen sind eine der häufigs-
ten und in der Regel die teuersten Folgen von
Cyberattacken – und können Unternehmen
quer über alle Branchen ins Mark treffen. In der Pro-
duktion stehen die Bänder still, Händler können weder
liefern noch Zahlungen abwickeln, Ärzte haben keinen
Zugriff auf Patientendaten, Hoteliers keinen Über-
blick über Gäste und die noch freien Zimmer. Dieser
Zustand ist in den wenigsten Fällen innerhalb kurzer
Zeit behoben: Wie aus der diesjährigen Forsa-Umfrage
zur Cybersicherheit des deutschen Mittelstandes her-
vorgeht, braucht die Hälfte der Betroffenen bis zu drei
Tage, bis alle Systeme wieder laufen, bei 22 Prozent
dauerte es sogar noch länger.
Das stellt die meisten vor große Probleme: Sechs
von zehn kleinen und mittelständischen Unterneh-
men müssten ihre Arbeit in dieser Zeit einstellen oder
zumindest stark einschränken. Je größer die Unter-
nehmen, desto größer ist auch die Abhängigkeit von
funktionierenden IT-Systemen: Unter den Firmen
mit 50 oder mehr Mitarbeitern wären 87 Prozent bei
einem mehrtägigen Ausfall der IT voraussichtlich
lahmgelegt.
Wie sehr sie mittlerweile vom Funktionieren der
Technik abhängig sind, haben die Unternehmen in
Deutschland also längst verinnerlicht, und auch das
Risikobewusstsein ist durchaus vorhanden – immer-
hin 69 Prozent erkennen ein hohes Risiko durch Cyber-
kriminalität für die mittelständische Wirtschaft. →
#cybersicher
06 Die verdrängte Gefahr
→ Dennoch bleibt das Risiko für die umfassend geschützt. „Die ganzen die IT-Sicherheit im Argen. Auch
meisten abstrakt. Denn erstaunli- Irrglauben rund um Cyberkrimina- das zeigt die Umfrage. So wollen
cherweise bewerten die gleichen lität halten sich seit Jahren hartnä- gerade einmal etwas mehr als die
Befragten die Gefahr für sich selbst ckig und führen zu nichts anderem, Hälfte der befragten Unternehmen
ganz anders: Hier sehen auf einmal als dass die Angreifer leichtes Spiel in den kommenden zwei Jahren in
nicht mehr 69 Prozent ein hohes haben“, ärgert sich GDV-Cyber die Sicherheit ihrer Systeme inves-
Risiko, sondern nur noch 28 Pro- experte Peter Graß. Dabei sollten tieren – obwohl die Investition von
zent. Anders ausgedrückt: 41 Prozent gerade die sogenannten Ransom- Zeit und Geld in vielen Fällen ange-
meinen, es gibt ein hohes Risiko für ware-Angriffe in den vergangenen bracht wäre. Vielerorts fehlt es schon
andere, aber nicht für sie. Jahren klar gemacht haben, dass an den notwendigen Strukturen: in
Wie erklärt sich diese Lücke? es jeden treffen kann; gerade weil 44 Prozent der Unternehmen ist nie-
Die Antwort auf diese Frage ist nicht Hacker nicht das eine große und gut mand explizit für die IT-Sicherheit
wirklich schmeichelhaft, denn sie geschützte Ziel ins Visier nehmen, verantwortlich, 48 Prozent bereiten
lässt wohl am ehesten auf gut funk- solange es viel leichter ist, massen- sich auf eine Cyberattacke auch
tionierende Verdrängungsprozesse haft Kleinbeiträge zu erpressen. nicht vor. Geradezu folgerichtig
schließen. So meinen 70 Prozent, werden auch die Mitarbeiter (siehe
dass ihre Daten für Hacker nicht dazu „Gefährliche Post“, S. 12) nicht
interessant wären, 60 Prozent hal- Wo das eigene Risiko verdrängt für die Gefahren sensibilisiert: Nicht
ten ihr Unternehmen für zu klein, oder gar nicht erst erkannt mal in einem Drittel der befragten
um in den Fokus von Cyberkriminel- wird, liegt häufig auch die Unternehmen gibt es entsprechen-
len zu gelangen. 58 Prozent machen IT-Sicherheit im Argen de Schulungen. Wozu auch, wenn es
geltend, dass sie bisher schließlich Denn eines wissen die Cyberkri- das eigene Unternehmen ja sowieso
noch nie Opfer einer erfolgreichen minellen mit Sicherheit: Wo das nicht trifft? ←
Cyberattacke waren – und ganze 81 Risiko verdrängt oder gar nicht erst
Prozent halten ihr Unternehmen für erkannt wird, liegt in der Regel auch
„Das Risiko gibt es – aber mein Unternehmen betrifft es nicht“
„Das Risiko von Cyberkrimina-
lität für mittelständische Unter-
nehmen in Deutschland ist eher 69 %
bzw. sehr hoch“
„Das Risiko von Cyberkrimina-
lität für das eigene Unter-
nehmen ist eher bzw. sehr hoch“
28 % ?
Quelle: Forsa
Gefährlicher Irrglaube
Von den Befragten, die nur ein geringes Risiko für das eigene unsere Daten sind
Unternehmen sehen, sagen …
Quelle: Forsa
unsere
70 % nicht interessant
Computersysteme
mein Unternehmen sind umfassend
ist zu klein geschützt wir waren
noch nie Opfer einer
Cyberattacke
60 % 81 % 58 %
#cybersicherDie verdrängte Gefahr 07
Die IT-Systeme wieder zum Laufen zu bringen, kann dauern ...
Wie lange hat es gedauert, die IT-Systeme wiederherzustellen
Zwei Drittel
und die Schadsoftware zu beseitigen?
sind tagelang offline
35 % der Betroffenen konnten die
Systeme am ersten Tag wieder herstellen
42 % brauchten
22 % der Betroffenen
bis zu drei Tage
benötigten mehr als drei Tage
1 Tag 2 Tage 3 Tage
Quelle: Forsa
Obwohl nicht funktione- 4 1
rende IT-Systeme schnell 8 63 87 % der mittleren
Unternehmen, ...
das ganze Unternehmen 12
1
lahmlegen.... 55 77 % der kleinen
Würde die IT mehrere Tage ausfallen, 9 9 Unternehmen und ...
wäre der Betrieb 16 32
(Angaben in Prozent) 53 % der Kleinst
unternehmen ...
Quelle: Forsa 22
21
24 22
nicht eingeschränkt
nur wenig eingeschränkt
…wären ohne
nicht so stark eingeschränkt
funktionierende IT
eher oder sehr stark
eher stark eingeschränkt
eingeschränkt
sehr stark eingeschränkt
... hat IT-Sicherheit vielerorts keine Priorität Quelle: Forsa
Werden Sie in den kommenden zwei
Jahren in weitere Schutzmaßnahmen 55 % Ja Nein 43 %
gegen Cyberkriminalität investieren?
Gibt es in Ihrem Unternehmen einen
Verantwortlichen für die 56 % 44 %
Informationssicherheit?
Haben Sie ein schriftliches Notfallkonzept
und/oder eine entsprechende vertragliche 52 % 48 %
Vereinbarung mit Ihrem IT-Dienstleister?
Bietet Ihr Unternehmen den Mitarbeitern
IT-Sicherheits- oder Datenschutz 31 % 69 %
schulungen an?
#cybersicher08 Die Sicherheitslücken
Neugier und Komfort
schlagen die Datensparsamkeit
Eine Analyse von Webseiten und
Mailservern zeigt, dass zahlreiche
mittelständische Unternehmen mehr Wert
darauf legen, Daten zu sammeln als Daten zu
schützen. Viele handeln blauäugig.
D
ie meisten Besuche auf deut- der Preisgabe ihrer Daten bezahlen Besucher kommen, wie lange sie
schen Unternehmensweb- und diese nicht nur innerhalb Euro- auf der Webseite bleiben und was
seiten werden gleich von pas, sondern weltweit zirkulieren, sie sich wie lange ansehen. Tracker
mehreren global agierenden Groß- nehmen die Unternehmen billigend schreiben aber nicht nur Aktivitäten
konzernen der digitalen Welt regis- in Kauf. auf einer Webseite mit, sondern kön-
triert. Wie die vom GDV beauftragte nen Nutzer durch das ganze Internet
Untersuchung der IT-Systeme von verfolgen.
1.019 kleinen und mittelständischen Wer IP-Adressen nicht Besonders problematisch: Min-
Unternehmen mit dem Analyse-Tool anonymisiert speichert, destens fünf Prozent der untersuch-
cysmo zeigt, sind auf rund 70 Pro- verstößt im Zweifel ten Unternehmen haben ihren Tra-
zent der Webseiten fremde Inhalte gegen die DSGVO cker so eingestellt, dass die IP-Ad-
eingebunden. Denn die sind kos- Viele Unternehmen haben aber ressen der Benutzer nicht anony-
tenlos und bequem – Kunden kön- auch selbst ein großes Interesse zu misiert werden. Das kann zulässig
nen sich im unternehmenseigenen erfahren, wer sich wann, wie oft sein, muss aber in der Datenschutz-
Youtube-Kanal informieren, finden und wo genau auf ihren Webseiten erklärung klar und korrekt benannt
dank Google Maps schnell und ein- tummelt. Um das herauszufinden, sein. Die Realität sieht in den meis-
fach ihren Weg und können mit nur setzt jedes vierte Unternehmen so- ten Fällen anders aus. Die Erfahrung
einem Klick der Firma auf Twitter genannte Tracker ein. So können sie zeigt: Die meisten dieser Tracker
folgen. Dass die Besucher dafür mit feststellen, von welchen Seiten ihre wurden vor Inkrafttreten der →
#cybersicherInterview 09
→Viele Firmen setzen auch
einfache Empfehlungen nicht um←
Mit dem Analyse-Tool cysmo findet der IT-Berater Jonas Schwade
auch ohne Penetrationstests Schutzlücken in IT-Systemen.
Herr Schwade, Sie haben für den GDV die IT-Systeme struktur nicht angegriffen, sondern
von 1.019 mittelständischen Unternehmen mit dem es werden Daten aus frei verfügbaren,
Analyse-Tool cysmo überprüft – welches Ergebnis hat offenen Quellen gesammelt und aufbereitet, im Fach-
Sie am meisten überrascht? jargon heißt das Open Source Intelligence (OSINT). Auf
Jonas Schwade: Tatsächlich sind wir bei den Analysen Basis dieser Daten wird eine Außensicht auf das Unter-
immer wieder über die teilweise nicht mehr zeitgemäße nehmen erstellt und bewertet. Durch den reinen Einsatz
Verwendung von Verschlüsselungen im Mailverkehr von OSINT-Methoden bedarf es keiner Zustimmung des
überrascht. Obwohl es vom Bundesamt für Sicherheit zu bewertenden Unternehmens und es besteht für das
in der Informationstechnik (BSI) klare Empfehlungen Unternehmen dadurch auch keine Gefahr.
gibt, welche Verschlüsselungen aktuell sind und welche
veraltet, so sehen wir doch leider noch sehr viele Unter- Zu Ihrer Untersuchung gehört auch eine Recherche im
nehmen, die diesen Empfehlungen nicht nachkommen. Darknet. Ist das wie die Suche nach einer Nadel im
Heuhaufen oder gibt es auch im Darknet Suchmaschi-
Können Unternehmen denn noch mit allen Geschäfts- nen wie Google?
partnern und Kunden kommunizieren, wenn sie aus- Schwade:Tatsächlich ist das Aufspüren von Daten im
schließlich auf die neuesten Verschlüsselungsstandards Darknet deutlich schwieriger als im herkömmlichen
setzen? Internet. Suchmaschinen existieren, decken aber nur
Schwade: Das Problem liegt nicht in einer mangelnden einen Bruchteil der dortigen Daten ab. Auch erschwe-
Verwendung der sicheren Verschlüsselungen, hier ha- ren fehlende Standards eine automatische Suche und
ben nahezu alle Unternehmen auch die empfohlenen Bewertung. cysmo prüft mit Hilfe eines Dienstleisters,
Versionen im Einsatz. Das Problem ist, dass die veralte- ob E-Mail-Adressen oder andere technische Details des
ten Versionen weiterhin zusätzlich verwendet werden, zu bewertenden Unternehmens im Darknet auftauchen.
obwohl sie das nicht müssten. Ein besonderes Augenmerk wird hierbei auf die Daten-
sicherheit gelegt. Alle Daten werden ausschließlich
Und welches Risiko besteht, wenn ich unsichere Ver- anonymisiert übertragen, damit zu keinem Zeitpunkt
schlüsselungen nutze? personenbezogene oder sensible Informationen aus dem
Schwade: Unterstütze ich weiterhin auch die unsicheren Darknet verarbeitet werden.
Verschlüsselungen, mache ich mich potentiell angreif-
bar. Ein Angreifer könnte mich nun mit einer sogenann- Wie können Unternehmen verhindern, dass ihre Daten
ten Downgrade-Attacke dazu zwingen eine unsichere ins Darknet gelangen?
Verschlüsselungsversion zu akzeptieren. Dann könnte Schwade: Wir beobachten, dass unternehmensspezifi-
er sich in einem zweiten Schritt zwischen den Mailver- sche Daten primär über Datenlecks bei Drittanbietern
kehr setzen und Mails abfangen oder mitlesen. Mit einer ins Darknet gelangen und nicht direkt aus dem Unter-
solchen Man-in-the-middle-Attacke sind die eigentlich nehmensnetz entwendet werden. Da die Sicherheit der
verschlüsselt versendeten Mails nicht mehr vertraulich IT-Infrastruktur anderer Anbieter meist nicht in der
und der Mailverkehr wird manipulierbar. Hand des Unternehmens liegt, hilft hier vor allem der
Grundsatz der Datensparsamkeit. Mitarbeiter sollten
Müssen Sie für Ihre Analyse die IT-Systeme tatsächlich dazu angehalten werden, umsichtig bei der Weitergabe
hacken und wenn ja: Dürfen Sie das überhaupt ohne von Daten wie E-Mail-Adressen und Telefonnummern
das Wissen der Unternehmen? zu sein. Im Idealfall wird die private Nutzung der ge-
Schwade: cysmo arbeitet zu 100 % passiv. Anders als bei schäftlichen E-Mail-Adresse, zum Beispiel für Social
einem Penetrationstest wird die zu analysierende Infra- Media, durch den Arbeitgeber eingeschränkt. ←
#cybersicher10 Die Sicherheitslücken
„Wer weiterhin alte Mail-Verschlüsselungen einsetzt, riskiert Opfer sogenannter Man-in-the-Middle-
Attacken zu werden – völlig ohne Not.“
Jonas Schwade, PPI AG
→ EU-Datenschutzgrundverord-
nung (DSGVO) installiert und dann Handlungsbedarf bei der Mail-Verschlüsselung
nicht mehr angepasst – in der Regel
SSL 2, SSL 3: Verwendung unzulässig
fehlt in solchen Fällen auch eine seit 2011/2015
korrekte Datenschutzerklärung. 74 %
TLS 1.0, TLS 1.1.: entspricht
Wird ein solcher Verstoß gegen die seit 2018 nicht mehr
dem Mindeststandard
DSGVO festgestellt, können emp-
TLS 1.2 und besser:
findliche Strafen drohen. sichere Verschlüsselungen, 24 %
vom BSI empfohlen
Handlungsbedarf bei der
Verschlüsselung von Mails Quelle: cysmo
1%
Ebenfalls nicht auf dem neuesten
Stand sind bei den meisten unter-
suchten Unternehmen die unter-
stützten Verschlüsselungsstandards
im Mailverkehr. Rund 25 Prozent Viele Nutzerdaten gehen an Dritte
der Mail-Server sind so eingestellt,
Einbindung externer Quellen und
dass sie noch Verschlüsselungen un- Weitergabe der Nutzerdaten an 42 %
terstützen, die schon seit mehreren Dritte außerhalb der EU
Jahren veraltet und damit unsicher Einbindung externer Quellen
und Weitergabe der Nutzer-
sind. Die neuesten Verschlüsse- daten an Dritte innerhalb
der EU
lungstechnologien und damit einen 30 %
Keine Einbindung externer
sehr guten Schutz haben nur 13 der Quellen
mehr als 1.000 getesteten Unter-
nehmen, die breite Masse hinkt
der Entwicklung hinterher. Dabei Quelle: cysmo 28 %
besteht akuter Handlungsbedarf:
Die Verschlüsselungsstandards
TLS 1.0 und TLS 1.1 liegen schon
seit Sommer 2018 unter dem vom
Bundesamt für Sicherheit in der
Infomationstechnik (BSI) geforder-
Hohes Interesse am Verhalten der Nutzer
ten Mindeststandard für ein ange-
Nutzen Tracking-Dienste ohne
messenes IT-Sicherheitsniveau. Die IP-Anonymisierung
Auswertungen zeigen jedoch, dass Nutzen Tracking-Dienste 5%
auch zwei Jahre später die meisten Nutzen keine
der untersuchten Unternehmen hie- Tracking-Dienste 25 %
rauf noch nicht reagiert haben. ←
75 %
Quelle: cysmo
#cybersicherDie Sicherheitslücken 11
Was eine Cyberattacke kosten kann –
und eine Cyberversicherung deckt ( )
Musterszenario Diebstahl Musterszenario Ransomware:
Online-Shop/Kreditkartendaten:
Hacker attackieren mit einem Verschlüsse-
Hacker attackieren die Datenbank eines mittel lungs-Trojaner die IT-Systeme eines Maschinen-
ständischen Online-Shops und erbeuten die bauers. Sie wollen die gesperrten Rechner erst
Kreditkarten-Daten von 50.000 Kunden. wieder freigeben, wenn sie Lösegeld bekommen.
Hinweis Angriff
Kreditkartenunternehmen weist Shop-Betreiber auf Sämtliche Rechner und die vernetzten Produkti
möglichen Datendiebstahl hin. onssysteme des Maschinenbauers sind ohne Funk
tion. Auf den Bildschirmen der Steuerungsrechner
erscheint lediglich eine Nachricht der Erpresser.
Security-Initiative & Betriebsunterbrechung
Nach Bestätigung des Angriffs werden die Ursachen IT-Forensik und Datenwiederherstellung
gesucht, die Systeme desinfiziert und gehärtet.
Der Online-Shop bleibt währenddessen geschlossen. Nach Rücksprache mit Polizei und Staatsanwalt
schaft zahlt das Unternehmen kein Lösegeld.
Kosten für IT-Forensik: Kosten der Betriebs- IT-Spezialisten arbeiten mehrere Tage daran, den
40.000 Euro unterbrechung: Trojaner von sämtlichen Systemen zu entfernen;
50.000 Euro anschließend müssen sie alle Daten aus den
Backups wiederherstellen.
Kosten für IT-Forensik und Datenwiederher-
stellung: 40.000 Euro
Kundeninformation
Der Shop-Betreiber muss seine Kunden über den
Diebstahl ihrer Daten informieren.
Informationskosten: Betriebsunterbrechung
80.000 Euro Bis die Systeme wieder laufen, kann das Unter
nehmen nicht produzieren. Die Mitarbeiter aus
Fertigung und Verwaltung bleiben zuhause.
Kosten für 5 Tage Betriebsunterbrechung:
Ersatzkarten 45.000 Euro
Alle potenziell betroffenen Kunden erhalten neue
Kreditkarten.
Information von Kunden und Vertragspartnern
Die IT-Forensiker können nicht ausschließen, dass
Vertrauenskrise Daten nicht nur gesperrt, sondern auch entwendet
Die Presse berichtet über den Diebstahl der wurden. In diesem Fall wären auch Betriebsge
Kreditkartendaten, der Online-Shop verzeichnet heimnisse von Vertragspartnern betroffen, die
einen erheblichen Umsatzrückgang. vorsorglich informiert werden müssen.
Krisenkommunikation: Informationskosten und Rechtsberatung:
30.000 Euro 20.000 Euro
Der Umsatzrückgang ist nicht gedeckt.
Vertrauenskrise
Aufarbeitung Der bisher tadellose Ruf des Unternehmens nimmt
Die Strafverfolgungsbehörden ermitteln. Das in wichtigen Kundenbranchen Schaden; einige
Kreditkartenunternehmen nimmt den Shop- Kunden wenden sich vom Unternehmen ab, der
Betreiber für die Ausstellung der Ersatzkarten in Umsatz sinkt spürbar.
Regress. Krisenkommunikation:
Vertragsstrafen: 30.000 Euro
50.000 Euro Der Umsatzrückgang ist nicht gedeckt.
#cybersicher12
Gefährliche Post
Das E-Mail-Postfach ist für viele Unternehmen die wichtigste digitale Schnittstelle zu Kunden und
Lieferanten.Für Hacker ist dies der ideale Angriffspunkt: Sie bringen mit immer raffinierteren Methoden
ihre Opfer dazu, Spam E-Mails zu öffnen – und legen mit ihrer Schadsoftware nicht nur die IT-Systeme,
sondern ganze Betriebe lahm. Doch die Gefahr geht über den Spam-Ordner hinaus: Bei der privaten Nutzung
dienstlicher Accounts können Mail-Adressen und Passwörter ins Darknet geraten und werden Hackern somit
auf dem Silbertablett präsentiert.
F
rüher war Spam leicht zu er- herausgeben. Mit zuvor gesammel- In einer YouGov-Umfrage im
kennen: unseriöse Absender, ten Daten eines Unternehmens Auftrag des GDV gab jeder achte
vermeintliche Gewinn-Überra- können sie ihren Angriff als seriöse Mitarbeiter an, schon mal Spam-
schungen oder kuriose Satzstellun- E-Mail ausgeben und nutzen so die Mails geöffnet zu haben. Ein Grund
gen. Diese Zeiten sind vorbei. Und menschliche Neugierde aus. Social dafür sind offenbar schlechte
falls solche E-Mails es durch den Hacking nennt sich diese geschickte Spam-Filter: Fast die Hälfte der
Spam-Filter schaffen, liegt es an den Manipulation. Befragten (47 %) findet mindestens
Empfängern, diese als unseriös ein- einmal pro Woche Spam-Mails in
zustufen und in den Papierkorb zu ihrem Postfach. Wenn sich viele
verschieben. Hacker finden jedoch nur auf Firewall und Virenscan-
immer wieder ausgefeilte Metho- „Berufliches und Privates sollte ner verlassen, ist es somit keine
den, Menschen so zu manipulie- man trennen. Das gilt auch für Überraschung, dass fast 60 Prozent
ren, dass sie die Fälschungen nicht Mail-Accounts und Passwörter.“ aller erfolgreichen Hacker-Angriffe
erkennen und eben doch Schadsoft- Peter Graß, genau hier ansetzen. „Die tech-
ware herunterladen oder Passwörter GDV-Cyberversicherungsexperte nischen Hilfsmittel können den
#cybersicherDie Sicherheitslücken 13
Die Einfallstore gesunden Menschenverstand und
eine gewisse Skepsis nicht erset-
Erfolgreiche Cyberangriffe erfolgten durch ... 1
zen, Unternehmen müssen ihre
Mitarbeiter daher besser auf die
Gefahren aus dem Netz vorberei-
E-Mails 58 %
ten“, sagt Peter Graß, Cyberversi-
cherungsexperte des GDV. „Cyber-
Hackerangriffe 16 % angriffe sind selten ausgefeilte
Angriffe durch Netzwerklücken,
DDoS-Attacken 6% viel öfter entstehen Schäden durch
Menschen, die unbedacht eine
Auf andere Weise 18 % infizierte E-Mail öffnen.“ Deswe-
gen ist es umso wichtiger, Mitar-
Ursache ungeklärt 2% beiterinnen und Mitarbeiter ent-
sprechend zu schulen und Richt-
linien zur Nutzung von E-Mails
Quelle: Forsa 1 Mehrfachnennungen möglich festzulegen. →
So schützen Sie Ihr Unternehmen vor schädlichen E-Mails
Nur ein einziger falscher Klick auf einen verseuchten verhindern Sie, dass sich schädliche E-Mails automa
Mail-Anhang oder einen Link kann Ihre Unterneh tisch öffnen und Viren oder Würmer sofort aktiv werden.
mens-IT lahmlegen. Wenn Sie Ihre Mitarbeiter regelmä
ßig für die Gefahren sensibilisieren und einige grundle 4. Vor dem Öffnen: Prüfen Sie Absender und Betreff
gende Regeln für den Umgang mit E-Mails aufstellen, Cyberkriminelle verstecken sich gern hinter seriös wir
können Sie sich vor vielen Angriffen schützen. kenden Absenderadressen. Ist Ihnen der Absender der
E-Mail bekannt? Und wenn ja: Ist der Absender wirklich
1. Arbeiten Sie mit hohen Sicherheitseinstellungen echt? Achten Sie auf kleine Fehler in der Schreibweise
Nutzen Sie die Sicherheitseinstellungen Ihres Betriebs oder ungewöhnliche Domain-Angaben hinter dem @.
systems und Ihrer Software zu Ihrem Schutz. Im Office- In betrügerischen E-Mails ist auch der Betreff oft nur
Paket sollten zum Beispiel Makros dauerhaft deaktiviert unpräzise formuliert, z. B. „Ihre Rechnung“.
sein und nur bei Bedarf und im Einzelfall aktiviert wer
den können – denn auch über diese kleinen Unterpro 5. Öffnen Sie Links und Anhänge nur von wirklich ver-
gramme in Word-Dokumenten oder Excel-Listen kann trauenswürdigen E-Mails
sich Schadsoftware verbreiten. Wollen Banken, Behörden oder Geschäftspartner sensible
Daten wissen? Verweist eine kryptische E-Mail auf weitere
2. Halten Sie Virenscanner und Firewall immer auf Informationen im Anhang? Dann sollten Sie stutzig wer
dem neuesten Stand den und auf keinen Fall auf die E-Mail antworten, Links
Die meisten schädlichen E-Mails können Sie mit einem folgen oder Anhänge öffnen. In Zweifelsfällen fragen Sie
Virenscanner und einer Firewall automatisch herausfil beim Absender nach – aber nicht per E-Mail, sondern am
tern lassen. Wirksam geschützt sind Sie aber nur, wenn Telefon! Auch eine Google-Suche nach den ersten Sätzen
Sie die Sicherheits-Updates auch schnell installieren. der verdächtigen Mail kann sinnvoll sein – weil Sie so
auch Warnungen vor der Betrugsmasche finden.
3. Öffnen Sie E-Mails nicht automatisch
Firewall und Virenscanner erkennen nicht alle schäd 6. Löschen Sie lieber eine E-Mail zu viel als eine zu wenig
lichen Mails. Öffnen Sie also nicht gedankenlos jede Erscheint Ihnen eine E-Mail als nicht glaubwürdig,
Mail in Ihrem Posteingang. Erster Schritt: Stellen Sie löschen Sie die E-Mail aus Ihrem Postfach – und leeren
in Ihrem E-Mail-Programm die „Autovorschau“ aus. So Sie danach auch den Papierkorb Ihres Mailprogramms.
#cybersicher14 Die Sicherheitslücken
→ Vor allem in Bezug auf die Durchlässige Spamfilter
private Nutzung des dienstlichen
Wie viele Spam-Mails landen in einer durchschnittlichen Arbeitswoche in
Mail-Accounts sollte es verbindliche ihrem dienstlichen Mail-Postfach?
Regelungen geben, denn viele sind
sich der Gefahr bei privater Nutzung
offenbar nicht bewusst: Bei der Prü- keine 30 %
fung von 1.019 mittelständischen
Unternehmen mit dem Analyse-Tool 1-2 15 %
cysmo konnten von 543 Firmen
3-5 11 %
(53 %) Daten im Darknet gefunden
werden, darunter ungefähr 6.500
mehr als 5 21 %
Mail-Adressen mit den dazugehöri-
gen Passwörtern. Ich nutze an meinem
Arbeitsplatz keine E-Mails 16 %
Doch wie kommen die dienst-
lichen E-Mail Adressen der Mit- weiß nicht/
keine Angabe 7%
arbeiter ins Darknet? In 64 % der
Unternehmen gibt es keine ver-
Quelle: Online-Umfrage der YouGov Deutschland GmbH im Auftrag des GDV unter 2.038 Arbeitnehmern
bindlichen Regelungen zur Nutzung ab 18 Jahren, Befragungszeitraum: 28.06. bis 04.07.2019.
des dienstlichen Mail-Accounts für
private Zwecke. Die Studie zeigt,
dass Mitarbeiter ihre dienstlichen
Mail-Adressen daher vielfach eben Daten im Darknet
nicht nur dienstlich, sondern auch
Von mehr als jedem zweiten
privat benutzen – und das nicht nur Unternehmen waren Daten
für Einkäufe in Online-Shops oder im Darknet zu finden, in
soziale Netzwerke wie Facebook. So
manch einer scheut nicht davor, sich
den meisten Fällen E-Mail-/
Passwort-Kombinationen 53 %
mit seiner Dienstadresse auch in
Dating-Portalen wie Badoo, Dating.
Quelle: cysmo
de oder Fling zu registrieren. Andere
melden sich sogar gleich bei Portalen
für „Erwachsenenunterhaltung“ an.
Zu den gefundenen Rückzugsorten
gehören hier zum Beispiel Brazzers Dienst ist Dienst?
oder Youporn. Durch diese fragwür-
Gibt es eine Regelung zur privaten Nutzung dienstlicher
dige private Nutzung der dienstli- Mail-Accounts?
chen Mail-Adresse schleusen die
Mitarbeiter möglicherweise sogar
Daten ins Darknet, die von Hackern 29 %
Ja, private Nutzung
zur Erpressung genutzt werden ist untersagt
können. „Private und berufliche
Mail-Accounts und die entsprechen- 7%
den Aktivitäten sollten immer strikt Ja, private Nutzung
ist erlaubt
voneinander getrennt werden – dazu
gehört auch, nicht ein und dasselbe 64 %
Passwort für beide Accounts zu Nein
benutzen“, warnt Graß. ← Quelle: Forsa
#cybersicherDie Sicherheitslücken 15
Wie eine erfolgreiche Cyberattacke
Unternehmen verändert
Ein Cyberangriff und seine Folgen sind für viele Verantwortliche der endgültige Weckruf:
Wer nicht wieder und wieder Opfer sein will, muss etwas ändern – und tut das dann auch.
Schritt 1: Eine neue Schritt 2: Ein neues Handeln lich kommen Kriminelle häufig über
Wahrnehmung Auf die Einsicht folgen in den meis- die Schwachstelle Mensch (siehe
Chaos, Hilflosigkeit, hohe Kosten, ten Unternehmen dann auch Taten S. 12) ans Ziel. Im gleichen Zug ver-
Reputationsverlust – wer einmal – und die Bereitschaft, für die IT-Si- bannen viele Firmen alle privaten
eine Cyberattacke erlebt hat, will cherheit Geld in die Hand zu neh- Geräte aus der Unternehmens-IT.
nie wieder in eine solche Situati- men und Strukturen zu stärken: Um Eine gute Entscheidung, denn wie
on kommen. Wie gravierend die künftige Angriffe besser abzuweh- sicher diese Geräte sind, kann das
Folgen eines Angriffs sein können, ren und die Folgen eines erneuten Unternehmen weder wissen noch
wird vielen Verantwortlichen erst Angriffs einzudämmen, benennen wirklich beeinflussen.
durch die eigene Erfahrung be- Firmen konkret verantwortliche
wusst. Bevor sie selbst betroffen Personen für die IT-Sicherheit. Die
sind, geht nur eine Minderheit sorgen dafür, dass im Ernstfall nicht Schritt 3: Ein neues (Un-)
von einem sehr hohen Risiko durch mehr plan- und kopflos, sondern Sicherheitsgefühl
Cyberkriminalität aus. Nach ei- schnell und konsequent reagiert Am Ende sind die Betroffenen für
nem erfolgreichen Angriff halten wird; dafür entstehen Notfallkon- einen erneuten Angriff besser ge-
hingegen mehr als ein Drittel die zepte und entsprechende Verträge wappnet als beim ersten Mal – und
Gefahr für sehr groß – und haben mit IT-Dienstleistern. Zum anderen wissen das auch. Völlig sicher, dass
damit eine deutlich realistischere werden die Mitarbeiter sensibilisiert die Bemühungen ausreichen, kön-
Einschätzung. und regelmäßig geschult – schließ- nen aber auch sie nicht sein. ←
Lernen durch Schmerzen
Diese Konsequenzen ziehen Opfer nach einer erfolgreichen Cyberattacke
Unternehmen ohne Schäden durch Cyberangriffe Unternehmen mit Schäden durch Cyberangriffe Quelle: Forsa
Ich halte das Risiko von Cyberkriminalität für mittel- 8% 35 %
ständische Unternehmen in Deutschland für sehr hoch.
Mein Unternehmen wird in den kommenden zwei
Jahren auf jeden Fall in weitere Schutzmaßnahmen 25 % 34 %
gegen Cyberkriminalität investieren.
In meinem Unternehmen gibt es einen Verantwort
lichen für Informationssicherheit. 55 % 68 %
Mein Unternehmen hat ein Notfallkonzept und/oder
eine schriftliche Vereinbarung mit dem IT-Dienstleister. 49 % 59 %
Mein Unternehmen bietet Mitarbeitern
Datenschutz-Schulungen an. 27 % 50 %
In meinem Unternehmen ist die Nutzung privater
Geräte in der Unternehmens-IT verboten. 26 % 44 %
Mein Unternehmen hat ausreichende Maßnahmen
zum Schutz gegen Cyberkriminalität ergriffen. 72 % 79 %
#cybersicher16 Die Sicherheitslücken
Ab in die Cloud?
Unternehmen beeinflussen selbst, wie gut sie sich
gegen Cyberattacken schützen. Speichern sie ihre
Daten in einer Cloud, fällt ein Teil dieser Kontrolle weg.
Das birgt sowohl Risiken als auch Chancen.
C
loud Computing wächst: aufgrund von Sicherheitsbedenken nur auf Servern zu speichern, die
Schon heute nutzt fast jeder ein organisationsinternes Intranet in der EU stehen und deren Anfor-
dritte Mittelständler die Infra (Private Cloud Computing). Wenn derungen an den Datenschutz
struktur übers Netz, wie aus der Mittelständler ihre Daten in eine erfüllen.
Forsa-Umfrage im Auftrag des Public Cloud auslagern, setzen sie Ein großer Nachteil von
GDV hervorgeht. Je größer das Un- fast ausschließlich auf deutsche Cloud-Services ist die Abhängigkeit
ternehmen, desto verbreiteter ist und europäische Anbieter, nur ein vom jeweiligen Provider: Wichtige
der Einsatz einer Cloud. Doch wer Fünftel vertraut seine Daten außer- Daten liegen beim Anbieter und
dem Trend folgen und seine Daten europäischen Dienstleistern an. werden nicht immer standardisiert
in eine Cloud auslagern will, sollte Darauf reagieren inzwischen auch gespeichert. Sollen die Daten zum
grundsätzliche Risiken, Chancen US-Cloud-Anbieter: Sie garantieren Beispiel im Fall eines Ausstiegs aus
und Ziele der Technologie erwägen. europäischen Kunden, ihre Daten der Cloud bewegt werden, kann dies
Je nach Unternehmen können diese
unterschiedlich aussehen. Für alle
steht jedoch fest: Die wichtigsten
Anforderungen an Cloud Services Mancher Cloudnutzer bleibt skeptisch
sind Datenschutz, Transparenz und Haben Sie schon einmal darüber nachgedacht, aus Sicherheitsgründen auf Cloud-
dienste zu verzichten?
Integrationsfähigkeit.
Laut Bundesamt für Sicher- Ja Nein
Ein Drittel der Cloud-Nutzer
heit in der Informationstechnik
ist von der Sicherheit nicht
beschreibt Cloud Computing die Quelle: Forsa
restlos überzeugt
Nutzung von IT-Diensten wie Soft-
ware, Speicher oder Rechenleis-
tungen über Datennetze. Bislang 35 % 64 %
nutzen die meisten Unternehmen
#cybersicherDie Sicherheitslücken 17
ein langwieriger und teurer Prozess Die meisten Daten bleiben in Europa
sein. Mit zunehmender Datenmenge
Wo hat ihr Cloud-Dienstleister seinen Sitz?
steigt somit auch die Abhängigkeit.
Andererseits haben die meis-
ten Provider genügend Ressourcen,
17 %
um Inhalte vervielfältigt an mehre- im EU-Ausland
ren Orten zu speichern. Dies bietet
67 %
zusätzliche Sicherheit im Fall eines in Deutschland
Datenverlusts. Für ein hohes Schutz- 21 %
niveau sorgen auch die IT-Spezialis- außerhalb der EU
ten, die dem Provider im Problemfall Quelle: Forsa
zur Verfügung stehen und die sich
viele mittelständische Unterneh-
men selbst nicht leisten können.
Nichtdestotrotz bergen Cloud- Datenschutz garantiert. Insgesamt Letztlich kommt es jedoch
Dienste auch Sicherheitsrisiken, die bedeutet dies für viele auslagernde immer auf die individuellen Voraus-
das größte Hemmnis bei einer Ent- Unternehmen einen zusätzlichen setzungen im Unternehmen und die
scheidung für eine Ausgliederung Aufwand für Steuerung und Quali- betroffenen Daten an, ob und in wel-
darstellen. Selbst ein Drittel der tätskontrolle der Dienstleister und cher Form Cloud Computing sinn-
aktuellen Cloud-Nutzer in mittel- IT-Systeme. voll sein kann. Überlegungen hierzu
ständischen Unternehmen (35 %) hat Dennoch bietet Cloud Com- sollten in die IT-Strategie des jewei-
schon einmal darüber nachgedacht, puting wirtschaftliche Vorteile: ligen Unternehmens aufgenommen
aus Sicherheitsgründen auf Cloud- IT-Prozesse werden weniger kom- und einer Risiko-Analyse unterzo-
Dienste zu verzichten. Ganz unbe- plex und Kosten für die Anschaffung gen werden. Angesichts der aktu-
rechtigt sind die Sorgen sicher nicht: eigener Hard- und Software bleiben ellen Entwicklungen im Cloud-Be-
Für Cloud-Nutzer kann die Kontrolle erspart. Hinzu kommen umfangrei- reich stellt sich für die meisten
über die rechtliche Handhabung der chere Funktionen, die durch Cloud allerdings inzwischen nicht mehr
Daten erschwert werden, wenn der Computing ohne größeren Ressour- die Frage, ob sie Cloud Computing
Provider keine transparente Sicher- cen-Aufwand zur Verfügung stehen. nutzen sollen, sondern wie. ←
heitsarchitektur hat. Außerdem Dies erhöht die Skalierbarkeit und
müssen Cloud-Nutzer bestimmte verringert somit das Investitionsri-
technische Voraussetzungen erfül- siko. Insgesamt kann die Nutzung
len, nur dann sind eine ausrei- von Cloud-Diensten einen großen
chende Übertragungsgeschwindig- Beitrag zur Digitalisierung in Unter-
keit, Transaktionssicherheit und nehmen leisten.
Begriffsbestimmung: Private und Public Cloud Computing
Private Cloud Computing beschränkt sich auf eine Beim Public Cloud Computing betreibt der Anbieter
bestimmte Nutzergruppe, die ihre Daten über ein Intra seine Dienste für alle Kunden auf der gleichen Infra
net oder ein VPN (Virtual Private Network) hochladen, struktur, die über das öffentliche Internet zugänglich
austauschen und nutzen. Der Vorteil: Die Daten sind ist. Dies spart Kosten; zudem stehen den Nutzern durch
leicht verfügbar und die jeweiligen Nutzer behalten den Cloud-Anbieter immer die neuesten Software-Ver
die volle Kontrolle über Daten und Dienste, was deren sionen zur Verfügung. Datenschutzexperten empfehlen
Sicherheit erhöht. hier, Anbietern aus dem EU-Raum Vorzug zu geben.
#cybersicher18 Der Schutz
Achtung! Dringender
Sicherheitshinweis
Kaum ein Tag vergeht ohne großangelegte Cyberattacken–
dabei greifen Hacker nicht immer gezielt an, sondern suchen
vor allem nach leichten Opfern. Wenn Sie nicht dazugehören
wollen, sollten Sie mindestens diese drei Tipps beherzigen.
1. Schützen Sie die Zugänge zu Ihren IT-Systemen!
Ihr Passwort ist 12345? Qwertz? Pass-
wort? Der Name Ihres Mannes? Das ist Doppelt hält besser
nicht gut, denn Passwörter sollen nicht Schützen Sie Ihre IT-Systeme mit einer
Zwei-Faktor-Authentifizierung?
69 %
leicht zu merken, sondern schwer zu verlassen sich auf
knacken sein. Machen Sie es Hackern ein Passwort
Ja Nein
also nicht zu leicht. Am besten stellen
Quelle: Forsa
Sie Ihre Computer-Systeme so ein, dass
sie zu einfache Passwörter gar nicht erst
akzeptieren oder einen zweiten Faktor 31 69
zur Legitimation verlangen.
Drei Tipps für sichere Passwörter
1. Denken Sie sich laaaaaaaange Passwörter aus einzugeben. Das macht es Hackern zu einfach. Die bes
Sonderzeichen und Großbuchstaben helfen nur bedingt sere Alternative sind Passwort-Manager. Sie generieren
weiter, ebenso das ständige Wechseln von Passwörtern. und verwalten starke (=lange) Passwörter, die Sie sich
Wichtiger ist die Länge. Hacker „raten“ Passwörter in nicht merken müssen; das übernimmt der Manager.
der Regel nicht, sondern probieren in kurzer Zeit große
Mengen möglicher Kombinationen aus. Je länger das 3. Nutzen Sie die Zwei-Faktor-Authentifizierung
Passwort ist, desto länger braucht auch der Computer. Auch wenn es etwas komplizierter ist, sollten Sie eine
Zwei-Faktor-Authentifizierung in Betracht ziehen. Dann
2. Verwenden Sie einen Passwort-Manager bekommen Sie nach der Eingabe Ihres Passwortes zum
Sie und Ihre Mitarbeiter können und wollen sich die Beispiel noch einen Code auf Ihr Smartphone geschickt.
vielen langen und komplizierten Passwörter nicht Alternativ bekommt jeder Mitarbeiter eine Chipkarte,
merken? Dann fangen Sie auf keinen Fall an, immer das mit der er sich identifizieren kann. Mit dem Passwort
gleiche oder nur ein leicht abgewandeltes Passwort allein können Hacker dann nichts mehr anfangen.
#cybersicherDer Schutz 19
2. Sichern Sie Ihre Daten richtig!
Ein Backup schützt Sie vor dem Verlust Ih-
rer Daten, wenn Sie keinen Zugriff mehr Je öfter, desto besser
auf Ihre Systeme haben, etwa nach einem
Brand oder einem Diebstahl. Doch dafür
Erstellen Sie mindestens wöchentlich
eine Sicherungskopie Ihrer Daten?
24 %
können aktuelle
dürfen Sie die Kopien nicht in der Nähe Daten nicht
der laufenden Systeme aufbewahren. Noch Ja Nein wiederherstellen
wichtiger: Stellen Sie durch regelmäßige Quelle: Forsa
Testläufe sicher, dass Ihr Backup auch
wirklich funktioniert. Der Ernstfall ist der
schlechteste Zeitpunkt um festzustellen, 76 24
dass Ihre Sicherungskopie fehlerhaft ist.
So sichern Sie Ihre Daten richtig
Was? Vom Smartphone bis zum Desktop-Rechner soll Daten sollten auf mindestens zwei unterschiedlichen
ten alle Geräte gesichert werden. Kritische Daten sollten Speichermedien liegen, von denen eines außerhalb Ihres
besser mehrfach gesichert werden. Unternehmens liegt (z. B. in der Cloud).
Wie oft? So oft und so regelmäßig wie möglich. Stel Wie aufbewahren? Achten Sie darauf, dass Ihr Backup
len Sie am besten mit einem automatisierten Zeitplan nicht mit Ihrem Hauptsystem verbunden ist – weder
sicher, dass keine Lücken entstehen. über Kabel noch über das WLAN.
Wohin? Speichern Sie das Backup auf jeden Fall isoliert Was noch? Testen Sie regelmäßig, ob sich die Daten
vom Hauptsystem, also auf einer externen Festplatte, Ihrer Backups im Ernstfall auch wirklich wiederherstel
einem Netzwerkspeicher oder in einer Cloud. Kritische len lassen.
3. Halten Sie Ihren Schutz immer aktuell!
Software-Anbieter veröffentlichen Schließen Sie diese Lücken sofort und dennoch sind in vier Prozent der
für ihre Produkte regelmäßig Sicher- und spielen Sie sämtliche Updates Unternehmen noch Programme im
heitsupdates. Das bedeutet auch: In am besten automatisch in ihre Syste- Einsatz, die teilweise schon seit Jah-
der bisher benutzten Version gibt me ein. Software, die keine Updates ren veraltet sind.
es Sicherheitslücken – und die sind mehr erhält, hat auf Ihren Rechnern
Cyberkriminellen auch bekannt. schon gar nichts mehr zu suchen –
Tickende Zeitbomben Updates in der
Warteschleife 12 %
Werden Sicherheitsupdates auto lassen sich mit
matisch und zeitnah eingespielt? Sicherheitsupdates
der kleinen und mittel auch mal Zeit
4%
ständischen Unternehmen Ja Nein
nutzen Software, für die es
keine Sicherheitsupdates Quelle: Forsa
mehr gibt
88 12
Quelle: cysmo
#cybersicher20 Der Schutz
Wie gut ist Ihre Der Cyber-Sicherheits-
IT-Sicherheit?
check des GDV unter
www.gdv.de/cybercheck stellt
Ihnen die wichtigsten Fragen rund um
Absolute Sicherheit im Netz gibt es nicht. Doch Ihre IT-Sicherheit. So finden Sie schnell
Widerstand gegen Cyberkriminelle ist möglich. heraus, wie sicher Ihre Systeme sind, wo
Sie Schwachstellen haben und wie Sie
Wer die Gefahren realistisch einschätzt und bei
diese schließen können. Ob Sie die zehn
seiner IT-Sicherheit die folgenden Grundlagen
grundlegenden Anforderungen erfüllen,
beachtet, ist gegen viele Angriffe wirksam geschützt
können Sie gleich hier beantworten. Wie
und kann die wirtschaftlichen Folgen eines erfolg- gut Sie dabei abgeschnitten haben und
reichen Angriffs eindämmen. Die Forsa-Umfrage ob es andere besser machen, können Sie
des GDV zeigt aber: An vielen Stellen klaffen Lücken auf Seite 18 herausfinden.
in der IT-Sicherheit (Angaben in Prozent).
Anteil der Unternehmen, die den Schutz nicht erfüllen; nach Unternehmensgröße: Selbsttest
Kleinstunternehmen Kleine Unternehmen Mittlere Unternehmen
1. Sicherheitsupdates automatisch und zeitnah einspielen und
alle Systeme auf dem aktuellen Stand halten 11
Die meiste Software erhält regelmäßig Updates. Sie dienen oft dazu, 12 15
10
bekannt gewordene Sicherheitslücken zu schließen. Das Installie-
ren der Updates schützt die Systeme vor Angreifern.
2. Mindestens einmal wöchentlich Sicherungskopien machen
Daten und digitale Systeme können gezielt angegriffen, versehent- 26
lich gelöscht oder durch Hardware zerstört werden. Deshalb ist 24 8
17
es dringend nötig, die vorhandenen Daten regelmäßig zu sichern.
Grundsätzlich gilt: Je öfter Sie Ihre Daten sichern, desto besser.
3. Administratoren-Rechte nur an Administratoren vergeben
Wer mit Administrator-Rechten an einem IT-System arbeitet, kann 16
dabei verheerende Schäden anrichten. Deshalb ist es ratsam, solche 15 7
9
Rechte nur sehr sparsam zu vergeben und nur dann zu nutzen,
wenn sie für die aktuelle Aufgabe wirklich nötig sind.
4. Alle Systeme, die über das Internet erreichbar oder im
mobilen Einsatz sind, zusätzlich schützen 19
Mobile Geräte können leicht verloren gehen oder gestohlen werden. 18 9
17
Sind die darauf gespeicherten Daten nicht verschlüsselt, können
sie vollständig ausgelesen werden – selbst wenn sie mit einem
Passwort geschützt sind. Server sind über das Internet ständig er-
reichbar und daher für Angriffe besonders beliebte Ziele. Sie sollten
am besten mit einer 2-Faktor-Authentifizierung gesichert werden.
#cybersicherDer Schutz 21
5. Manipulationen und unberechtigten Zugriff auf
Sicherungskopien verhindern 24
Backups sind die Rückversicherung für den Fall gelöschter oder 23 11
23
manipulierter Daten. Gesonderte Authentifizierungsstufen und ein
entsprechendes Rechtemanagement sollten daher die versehentli-
che oder absichtliche Manipulation gesicherter Daten ausschließen.
6. Alle Systeme mit einem Schutz gegen Schadsoftware
ausstatten und diesen automatisch aktualisieren lassen 36
Viren, Trojaner oder Ransomware: Die meisten Schäden entstehen 35 21
30
durch das unbeabsichtigte Infizieren der Systeme mit so genannter
Schadsoftware. Auch wenn Virenscanner hier keinen hundertpro-
zentigen Schutz bieten, sollte mindestens einer auf den Systemen
installiert sein und regelmäßig aktualisiert werden.
7. Sicherungskopien physisch vom gesicherten System trennen
Datensicherungen können auch dann vor dem Verlust Ihrer Daten 35
schützen, wenn die Systeme gestohlen oder durch einen Brand zer- 33 26
29
stört wurden. Deshalb ist es ratsam, die Backups nicht in der Nähe
der laufenden Systeme aufzubewahren, sondern mindestens in an-
deren Brandabschnitten, besser jedoch an einem ganz anderen Ort.
8. Mindestanforderungen für Passwörter (z.B. Länge, Sonder
zeichen) verlangen und technisch erzwingen 26
Gerade wenn Passwörter das einzige Authentifizierungsmittel sind, 25 20
18
sollte eine geeignete Passwortstärke technisch erzwungen wer-
den. Andernfalls sind IT-Systeme schon durch einfachste Angriffe
gefährdet.
9. Jeden Nutzer mit eigener Zugangskennung und
individuellem Passwort ausstatten 29
Ohne benutzerindividuelle Kennungen ist es nicht möglich, den 27 12
18
Zugang zu Systemen zu sichern. Die individuelle Authentifizierung
ist auch deswegen wichtig, weil nur so später nachvollzogen werden
kann, wer das System wann verwendet hat.
10. Wiederherstellen der Daten aus der Sicherungskopie
regelmäßig testen 49
Regelmäßige Testläufe stellen sicher, dass bei der Sicherungskopie
46 20
36
keine Datenquelle fehlt und die Wiederherstellung tatsächlich funk-
tioniert. Der Notfall ist der schlechteste Zeitpunkt um festzustellen,
dass eine Sicherungskopie fehlerhaft ist.
Ergebnis: Ich erfülle von 10 Maßnahmen
#cybersicher22 Der Schutz
So gut ist Ihre IT-Sicherheit –
und so gut sind die anderen
Die Schutzmaßnahmen auf den Seiten 20/21 sind nicht der Goldstandard und auch kein Garant für volle
Sicherheit, sondern nur die Basis – doch schon hier haben die meisten Unternehmen Lücken. Wie viele
der zehn Schutzmaßnahmen haben Sie umgesetzt?
10
Herzlichen Glückwunsch! Durch das hohe Niveau Ihrer IT-Sicherheit halten Sie
das Risiko einer erfolgreichen Cyberattacke gering.
8-9
Das Niveau Ihrer IT-Sicherheit ist leider noch nicht perfekt – beachten Sie unsere
Hinweise und schließen sie die noch vorhandenen Sicherheitslücken.
6-7
Über gute Ansätze kommt Ihre IT-Sicherheit leider nicht hinaus. Machen Sie es
Cyberkriminellen nicht zu einfach und kümmern Sie sich möglichst schnell darum,
Ihre Sicherheitslücken zu schließen.
0-5
Achtung, Ihre IT-Sicherheit weist deutliche Schwächen auf und kann Ihr Unter-
nehmen zur leichten Beute für Hacker machen. Beachten Sie unsere Hinweise und
holen Sie sich am besten professionelle Hilfe, um Ihren Schutz gegen Cyberrisiken
schnell zu verbessern.
Die Mehrheit hat akuten
Handlungsbedarf 34 %
Vielen Unternehmen fehlt schon die Basis
für umfassende IT-Sicherheit
24 %
22 %
17 %
5 von 6 Unternehmen haben Lücken
Erfüllen 0-5 Erfüllen 6-7 Erfüllen 8-9 Erfüllen alle 10
Maßnahmen Maßnahmen Maßnahmen Maßnahmen
#cybersicherDer Schutz 23
Das leistet eine
Cyberversicherung
Der Gesamtverband der Deutschen Versicherungswirtschaft hat unverbindliche
Musterbedingungen für eine Cyberversicherung entwickelt. Sie sind speziell auf die
Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten und richten sich sowohl an Arztpraxen
oder Anwaltskanzleien als auch an Handwerksbetriebe und Industriezulieferer. Die Versicherung übernimmt
nicht nur die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte,
sondern steht den Kunden im Ernstfall mit einem umfangreichen Service-Angebot zur Seite: Nach einem
erfolgreichen Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte
Anwälte und Krisenkommunikatoren. So hilft sie, den Schaden für das betroffene Unternehmen so gering wie
möglich zu halten.
Schaden Leistung
Eigen- Wirtschaftliche Schäden durch
Betriebsunterbrechung.
Zahlung eines Tagessatzes.
schäden Kosten der Datenwiederherstellung
Übernahme der Kosten.
und System-Rekonstruktion.
Dritt- Schadenersatzforderungen von
Kunden wegen Datenmissbrauch
Entschädigung und
Abwehr unberechtigter
schäden und/oder Lieferverzug. Forderungen.
Service- IT-Forensik-Experten zur Analyse, Beweis-
sicherung und Schadenbegrenzung.
Leistungen Anwälte für IT- und Datenschutzrecht
Jeweils
Vermittlung und
zur Beratung.
Kostenübernahme.
PR-Spezialisten für Krisenkommunikation
zur Eindämmung des Imageschadens.
Impressum V.i.S.d.P.:
Christoph Hardt
Herausgeber: Redaktion:
Gesamtverband der Deutschen Melina Maier, Christian Siemens
Versicherungswirtschaft e. V.
Wilhelmstraße 43 / 43 G Bildnachweis:
S. 1: shutterstock/Rawpixel.com; S. 4/5: gettyimages/
10117 Berlin Tinpixels; S. 8: shutterstock/sdecoret; S. 12: shutter-
Tel. +49 30 2020-5000 stock/fizkes; S. 16: shutterstock/chanchai howharn;
Eine Initiative der
berlin@gdv.de, www.gdv.de S. 18: shutterstock/13_Phunkod deutschen Versicherer.Wilhelmstraße 43 / 43 G 51, rue Montoyer www.gdv.de 10117 Berlin B-1000 Brüssel www.DieVERSiCHERER.de Tel. +49 30 2020-5000 Tel. +32 2 28247-30 facebook.com/DieVERSiCHERER.de Fax +49 30 2020-6000 Fax +32 2 28247-39 Twitter: @gdv_de E-Mail: berlin@gdv.de E-Mail: bruessel@gdv.de www.youtube.com/user/GDVBerlin
Sie können auch lesen
