Zwei von drei Unternehmen bereits Opfer von Cyberkriminalität
Die Cyber-Bedrohungslandschaft im DACH-Raum entwickelt sich rasant weiter. Dabei haben es Cyberkriminelle zunehmend auf Menschen anstatt auf IT-Infrastrukturen abgesehen. Von E-Mail-basierten Bedrohungen, wie Business Email Compromise (BEC) bis hin zu Phishing von Anmeldeinformationen, kompromittierten Cloud-Konten und Ransomware-Angriffen – Cyberkriminelle sind sich bewusst, dass Mitarbeiter leicht ausgetrickst werden können.
Um besser verstehen zu können, wie sich personenbezogene Cyber-Angriffe auf Unternehmen in der Schweiz, in Österreich und Deutschland auswirken, hat Proofpoint eine Umfrage unter CSOs/CISOs in Auftrag gegeben. Im Rahmen der im Juli und August 2020 vom Beratungsunternehmen techconsult durchgeführten Studie , wurden 202 Unternehmen mit 250 oder mehr Mitarbeitern aus verschiedenen Branchen befragt.
Die dabei gewonnenen Erkenntnisse sind alarmierend. Aus der Studie geht u.a. hervor, dass bereits 66 Prozent der befragten Unternehmen Opfer von Cyberkriminalität waren, jedes zweite davon sogar mehrfach. Oft sind die Schäden, die durch Diebstahl von Geschäftsgeheimnissen, Störungen der Betriebsabläufe oder Verlust von Stammkunden hervorgerufen werden, langfristig spürbar.
Die Anzahl von erfolglosen Angriffsversuchen Cyberkrimineller auf Unternehmen lässt sich seit langem nicht mehr beziffern. Doch trotz aller Vorsichtsmaßnahmen aufseiten der Organisationen sind die Attacken aus Sicht der Kriminellen regelmäßig von Erfolg gekrönt. Dabei zeigt sich, dass Hacker in den aller seltensten Fällen die technischen Schwachstellen von Systemen ausnutzen. Viel mehr versuchen sie überwiegend E-Mails unmittelbar an einzelne Mitarbeiter zu schicken, oft mit gefälschtem Absender und frei erfundenen Inhalten. Durch diese Betrugs-E-Mails sollen die Angestellten dazu verleitet werden, sensible Daten preiszugeben oder direkt Geld auf die Konten der Kriminellen zu überweisen. So stimmten ganze 70 Prozent der befragten IT-Sicherheitsverantwortlichen aus der Schweiz, Österreich und Deutschland zu, dass der Faktor Mensch und mangelndes Sicherheitsbewusstsein die größten Risiken für Unternehmen darstellen.
Vorbereitung mangelhaft
Eine weitere Erkenntnis der Studie ist, dass drei von vier Unternehmen nicht optimal auf digitale Angriffe vorbereitet sind. Lediglich 24 Prozent aller Befragten konnten die Frage, ob sie auf eine Cyberattacke vorbereitet seien, vorbehaltlos bejahen. Für die Hacker besonders lohnende Ziele sind dabei große Unternehmen mit mehr als 5.000 Mitarbeitern, denn von ihnen gaben lediglich 12 Prozent an, vorbereitet zu sein. Und auch der öffentliche Sektor gibt eher ein trauriges Bild ab: Während sich immerhin fast drei von vier privatwirtschaftlichen Unternehmen teilweise auf digitale Attacken vorbereitet haben (72 Prozent), konnte dies in der öffentlichen Verwaltung mit 46 Prozent noch nicht einmal jeder Zweite von sich behaupten.
Geringes Vertrauen in eigene Mitarbeiter und zu wenig Weiterbildung
Bemerkenswert ist hierbei, dass 53 Prozent der befragten CSOs und CISOs der Meinung sind, dass ihre Mitarbeiter anfällig für Cyberangriffe seien. 77 Prozent jedoch genau hier an Schulungen sparen – in drei von vier Organisationen wird höchstens zwei Mal pro Jahr eine Cybersicherheits-Schulung durchgeführt. Auch hier bildet der öffentliche Sektor das Schlusslicht: ganze fünf von sechs Organisationen führen zu diesem Thema höchstens zwei Mal im Jahr entsprechende Trainings durch.
Der Fokus auf die eigenen Mitarbeiter ist insbesondere anzuraten, bedenkt man folgendes Studienergebnis. Mit Blick auf die nächsten drei Jahre, glauben 54 Prozent der CSOs/CISOs im DACH-Raum, dass Bedrohungen von innen (fahrlässig oder kriminell) zukünftig die größte Cyberbedrohung darstellen und das noch vor Phishing (50 Prozent) und Ransomware mit 32 Prozent.
Unabhängig von den Angriffsmethoden – E-Mail, Cloud-Anwendungen, Web, Social Media – machen sich Angreifer immer stärker den menschlichen Faktor zunutze. Ob es sich um Betrüger handelt, die sich als vertrauenswürdige Kollegen ausgeben, oder um immer überzeugendere Phishing-E-Mails und bösartige Links – es sind die Anwender selbst, die im Kampf gegen Cyberkriminelle an vorderster Front stehen.
Nicht erst seit Beginn der COVID-19-Pandemie verbringen Menschen immer weniger Zeit an ihrem festen Büroarbeitsplatz und mehr Zeit damit, aus der Ferne, sei es im Home Office oder von unterwegs, zu arbeiten. Nach wie vor bleiben sie jedoch das Ziel Nr.1 für Angreifer und noch nie war es so wichtig wie heute, sicher und geschützt von entfernten Standorten aus zu arbeiten.
Herkömmliche oder veraltete Remote-Zugriffsmethoden lassen sich nur schwer skalieren, sind nicht darauf ausgelegt, moderne cloudbasierte Infrastrukturen zu schützen und führen schnell zu potenziellen Sicherheitsrisiken. Diese erhöhen sich nochmals, wenn Remote-Mitarbeiter nicht den gleichen Sicherheitsstandards unterliegen, wie die Mitarbeiter innerhalb des Unternehmensnetzwerkes. Auf dieser Basis kann nicht sichergestellt werden, dass die gestiegenen Sicherheitsanforderungen und geltenden Vorschriften von den Mitarbeitern auch eingehalten werden.
Nur durch den Aufbau und die Umsetzung einer übergreifenden Sicherheitsstrategie, die den Menschen in den Mittelpunkt stellt, werden Unternehmen einen großen Schritt in Richtung Verbesserung ihrer IT-Sicherheit machen können.
::::::::: KONTAKT :::::::::
Proofpoint c/o GlobalTax GmbH
Bionstrasse 11
CH-8006 Zurich
Info-dach@proofpoint.com
www.proofpoint.com/de
Betrüger ziehen Tutti-Nutzerin 2500 Franken aus der Tasche
EDÖB kritisiert Digitec Galaxus
Boston Dynamics stellt neuen Atlas-Roboter für kommerzielle Nutzung vor
So rüstet sich Lenovo fürs KI-Wettrennen
Cisco warnt vor Schwachstellen in Serversoftware und Angriffen auf VPN-Dienste
Willkommen in der niederländischen Käse-Hölle
Ohne Importe geht der Schweiz heute das Licht aus
Schweizer Elektrizitätsproduktion erreicht 2023 neuen Rekordwert
Adnovum bekommt neuen Managing Director Financial Services
