Das Jahr 2019 begann mit der Aufdeckung eines politischen Skandals: jemand hatte es geschafft, unbemerkt in den Besitz von sensiblen Daten deutscher Politiker zu gelangen und diese zu veröffentlichen. Doch nicht nur namhafte und großkarätige Persönlichkeiten und Unternehmen geraten in die Schusslinie von Hackern. Immer mehr kleinere und mittelständische Unternehmen (KMU) zählen zu den Opfern von Cyber-Kriminalität. Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, erklärt, welchen Herausforderungen sich KMU stellen müssen und wie sie den digitalen Bedrohungen entgegenwirken können.
Die Zahl der Unternehmen, die die Vorteile von Cloud-Computing erkannt haben, nimmt immer weiter zu. Aus einer aktuellen Umfrage von McAfee zur Cloud-Nutzung in deutschen Unternehmen geht hervor, dass 91 Prozent der befragten IT-Leiter und Angestellten die Cloud bereits priorisieren. 86 Prozent gehen sogar davon aus, dass ihr Unternehmen in Zukunft ausschließlich über Cloud-Anwendungen arbeiten wird.
Für 70 Prozent zählt die gesteigerte Effizienz im Arbeitsalltag eindeutig zu den Vorteilen von Cloud-Anwendungen. Darüber lässt sich durch Cloud-Computing eine Erhöhung der Mitarbeiterproduktivität und -zufriedenheit erreichen. Kosten können hierdurch gespart, die Time-to-Market verkürzt und neue Geschäftsmodelle und Märkte erschlossen werden.
Cloud-Migration bedeutet nicht gleich Komplettschutz
Die Mehrheit der von McAfee befragten Umfrageteilnehmer glaubt, dass eine Migration in die Cloud zur Steigerung der Sicherheit der IT sowie des Unternehmens geführt hat. Die bloße Nutzung von Cloud-Services garantiert jedoch noch lange keine automatische, ganzheitliche Sicherheit. Zwar beinhaltet das Angebot vieler Cloud-Provider einen Basisschutz der Daten, die dort gelagert werden, jedoch tragen die Cloud-Nutzer auf ihrer Seite eine gewisse Verantwortung darüber, die Grundsicherheit mittels weiterer Lösungen zu ergänzen, um Transfer und Verarbeitung der Daten ausreichend abzusichern.
Es zeigt sich, dass auch vermehrt KMU ihre Daten und Prozesse in die Cloud verlagern, denn auch sie können – genauso wie größere Unternehmen – von den Cloud-Computing-Vorteilen profitieren.
Neben diesen müssen sich KMU die Gefahren und Sicherheitsrisiken stärker bewusstmachen, die mit der Verwendung von Cloud-Anwendungen einhergehen und mit denen auch die großen Player in der Wirtschaft zu kämpfen haben. Sie müssen der Entwicklung einer entsprechenden Sicherheitsstrategie eine hohe Priorität beimessen.
Externe und interne Bedrohungen
Die Anzahl an KMU, die angeben, in der Vergangenheit Opfer von Cyber-Kriminalität gewesen zu sein, ist laut Bitkom in den letzten Jahren deutlich gestiegen. Eine der größten Bedrohungen von außen sind Individuen oder Gruppen, die sich über verschiedene Hacking-Methoden in die Netzwerke der Unternehmen einschleusen und/oder den operativen Betrieb lahmlegen wollen. Mithilfe von gezielten (Distributed) Denial-of-Service-Attacken (kurz: (D)DoS) werden unzählige Anfragen an Server oder Datennetze gesendet, so dass diese überlastet und außer Gefecht gesetzt werden. Um einen solchen Angriff zu stoppen, muss der Netzwerkbetrieb oftmals komplett eingestellt werden, was zu schweren finanziellen Einbußen führen und die Unternehmensreputation beeinflussen kann.
Das Einschleusen in ein Unternehmensnetzwerk kann auch über den indirekten Weg – dem Social Engineering – erfolgen. Die Aussicht auf das große Geld, verführt Cyber-Kriminelle dazu, sich Zugang zu wertvollen Unternehmensdokumenten und sensiblen Daten zu verschaffen. Viele Unternehmen unterschätzen interne Bedrohungen, die von unaufmerksamen Mitarbeitern ausgehen.
Da reichen eine täuschend echt wirkende E-Mail mit einem infizierten Anhang oder ein mit Schadsoftware verseuchter USB-Stick, der an das Unternehmensnetzwerk angeschlossen wird. Trojaner und Ransomware bilden nur zwei Beispiele solcher Malware. Bei letzterem handelt es sich um ein Programm, das sämtliche Daten im Netzwerk verschlüsselt und dem Nutzer erklärt, sie erst nach der Überweisung eines bestimmten Geldbetrags wieder freizugeben.
Versteckt im Dunkeln: Schatten-IT als Schlupfloch
Ein zusätzliches Sicherheitsrisiko stellt die Verbreitung der sogenannten Schatten-IT dar. Das bedeutet, dass Mitarbeiter Hard- und Software verwenden, die von der IT nicht autorisiert wurden. Aus den Ergebnissen der Umfrage von McAfee geht hervor, dass 53 Prozent der Befragten davon ausgehen, dass über die Hälfte ihrer Mitarbeiter Anwendungen nutzen, die unter diese Kategorie fallen. Jeder vierte Mitarbeiter gibt sogar zu, wissentlich Cloud-Anwendungen am Arbeitsplatz zu nutzen, die nicht von der IT freigegeben wurden. Nicht-autorisierte Programme bleiben vor der IT-Abteilung verborgen und fallen somit aus ihrem Wirkungsbereich. Das macht die Schatten-IT zu einem Schlupfloch für Cyber-Kriminelle und stellt somit ein nicht zu vernachlässigendes Sicherheitsrisiko dar.
Ganzheitlicher Lösungsansatz für eine stärkere IT-Sicherheit
96 Prozent der Befragten geben außerdem an, dass ihre Unternehmen planen, mehr sensible, unternehmenskritische Daten in die Cloud zu verschieben. Diejenigen, die sich allerdings gegen den Umzug in die Cloud entscheiden, geben Sicherheitsbedenken als Hauptgrund an. Dabei lässt sich die Cloud durch wenige grundsätzliche Maßnahmen durchaus sicherer machen. Um einen umfassenden Schutz zu erreichen, müssen Unternehmen die Verantwortung für ihre Sicherheitsinfrastruktur selbst in die Hand nehmen. Cloud-Provider bieten zwar Basissicherheitsleistungen, aber im Sinne einer ganzheitlichen Sicherheitsstrategie sollten Unternehmen zusätzlich noch eigene Maßnahmen wie zum Beispiel Identity & Access Management oder bestimmte Datenschutzmaßnahmen ergreifen.
In erster Linie muss ein gewisser Grad an Transparenz der Datennutzung gewährleistet werden. Um für Sicherheit zu sorgen ist es vorteilhaft zu wissen: Wer verwendet welche Daten? Wie werden sie genutzt und versendet? Data Loss Prevention (DLP)-Tools schützen die Nutzung und Verbreitung von Daten, indem sie diese kontrollieren, protokollieren und überwachen. Mittels DLP kann zum Beispiel einem USB-Stick oder einem anderen Gerät und dessen Nutzer spezifische Kennzeichnungen zugeteilt werden. Wird ein Gerät an das Netzwerk angeschlossen, das keine Kennzeichnung erhalten hat, wird diese Verwendung blockiert.
Hat man sich dazu entschieden, in die Cloud zu migrieren, muss man sich weiteren Alternativen zuwenden, denn die Sicherheitsregelungen von DLP-Lösungen, die auf dem lokalen Netzwerk für Sicherheit sorgen, wenden diese Policies nicht in der Cloud an. Cloud Access Security Broker (CASB) hingegen fungieren als DLP-Erweiterung und übertragen diese auch auf sämtliche Cloud-Anwendungen. CASB überwachen den Datenverkehr zwischen Cloud und Nutzern und sind in der Lage, unautorisierte Codes zu erkennen und deren Verwendung zu stoppen.
Fazit
Leider werden KMU mit einer Problematik konfrontiert, die eine Priorisierung der IT-Sicherheit zu durchkreuzen vermag: Oftmals mangelt es am fehlenden Know-How in Sachen IT-Sicherheit und nicht selten erleben KMU personelle und finanzielle Engpässe, die es erschweren mehr in den Schutz ihrer IT zu investieren. Man muss jedoch auch bedenken, dass der Schaden, der durch interne Probleme oder externe Angriffe auf das Unternehmensnetzwerk entsteht, langfristig gesehen höher und schwerwiegender ist als die Investition in angemessene Sicherheitsmaßnahmen. Ob durch das Verkaufen sensibler Daten im Dark Web, Patentdiebstahl, Bußgelder durch Sicherheitsverstöße, Produktionsausfälle oder Cyber-Erpressung: Laut des Lageberichts zur IT-Sicherheit, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) in diesem Jahr veröffentlichte, kann dieser Schaden Unsummen erreichen.
Neben der regelmäßigen Änderung aller unternehmensinterner Passwörter, müssen Unternehmen mehr in die Aufklärung, Sensibilisierung und Schulung ihrer Mitarbeiter investieren. Die IT kann zwar mittels DLP und CASB für den Schutz auf technischer Seite sorgen, doch sobald die Mitarbeiter aufmerksamer mit der IT umgehen und Bedrohungen erkennen, ist damit die andere Hälfte der Miete gewonnen.
Autor: Rolf Haas, Senior Enterprise Technology Specialist bei McAfee
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“
