• Cyber-Kriminalität und ihre Tücken
Fachartikel:

Cyber-Kriminalität und ihre Tücken

21. März 2019

Philipp Lüttmann , Partner, Risk Advisory Services |
Axel Timm , Leiter IT Advisory & Audit Services, Partner |

Cyber-Kriminalität ist omnipräsent und betrifft alle Branchen. Erst im vergangenen November wurden in über 150 Schweizer Coiffeur-Salons die Online-Buchungssysteme durch einen gezielten Angriff ausser Betrieb gesetzt – der finanzielle Schaden war enorm. Erfahren Sie, wie Sie sich und Ihr Unternehmen schützen können.

Cyber-Kriminelle sind vielseitig. Für Schlagzeilen sorgen etwa Aktivisten, die Webseiten zum Erliegen bringen oder diese stark verändern. Von «staatlichen Hackern» spricht man, wenn die Angreifer im Auftrag einer Regierung oder Organisation Unternehmensgeheimisse ausspähen oder testen, wie die kritische Infrastruktur geschädigt werden kann. Statistisch betrachtet, treten solche Fälle in der Schweiz bis anhin nur wenig auf.

Für eine weitere Gruppe von Cyber-Kriminellen ist das Hacken ein Geschäftsmodell. Wenn in der Presse von sogenannten «Hackergruppen» berichtet wird, so ist von Organisationen mit durchschnittlich 30 Mitarbeitenden die Rede. Geführt werden diese ähnlich wie ein KMU, mit einer Abteilung für die Personalgewinnung, die Abrechnung und die Produktentwicklung. Zudem existieren dort allerdings Teams, die sich dem Ausspähen und der Business Intelligence widmen oder für die eigentliche Durchführung der Hacks und der Erpressung zuständig sind. Um erfolgreich zu sein, müssen die Unternehmen mit ihren kriminellen Machenschaften 8 bis 30 Millionen Dollar pro Jahr erzielen. Aktuell entwickeln Gruppen wie diese täglich 380'000 Schadprogramme, die auf jede Zielgruppe massgeschneidert werden.
 

Die Fallstricke der Angreifer - eine Auswahl

Das Internet ermöglicht Cyber-Kriminellen, Landesbarrieren spielend zu überbrücken. Die internationale Aufklärung und die Strafverfolgung hingegen gestalten sich komplex und langwierig. Entscheidend ist, dass jedes Unternehmen, jede NPO und jede Stiftung für einen Hacker im globalen Kontext gleich ist. Er sucht den einfachsten Weg, Schadsoftware einzuspeisen. Anschliessend werden die Daten verschlüsselt und die Zielperson beziehungsweise die Zielorganisation wird erpresst: Gegen eine Zahlung wird die Entschlüsselung in Aussicht gestellt. Ob auf die Zahlung tatsächlich eine Entschlüsselung erfolgt, entbehrt aber jeglicher Garantie. Fest steht jedoch, dass mit jeder Zahlung an Cyber-Kriminelle ein weiterer Angriff finanziert wird.

Etwas anders verhält es sich mit dem sogenannten «CEO-Fraud» und seinen Varianten. Der Hacker gibt sich als CEO oder Person mit Finanzverantwortung aus und verschickt eine einfache Rechnung per E-Mail, mit der Bitte um rasche Zahlung. Teilweise werden hierfür auch E-Mailkonten von Mitarbeitenden gekapert, um eine Zahlungsfreigabe vom E-Mailkonto eines Vorgesetzten zu erwirken.

Eine rein technische Lösung, die uns als Gesellschaft vor dieser Form der Kriminalität schützen kann, liegt derzeit nicht vor. Dem äusserst komplexen Problem müssen Organisationen nicht nur mit Technologie begegnen, sondern auch prozessuale und kulturelle Aspekte beachten.
 

Nehmen meine Provider das Thema ernst?

Viele Unternehmen arbeiten heute mit Providern zusammen, indem sie gewisse Aufgaben der IT auslagern oder ein externes Rechenzentrum nutzen. Sind Sie sicher, dass Ihre Provider alle Facetten der Cyber Security beachten? Erfahrungsgemäss finden sich bereits in den Verträgen und vereinbarten Leistungskatalogen Sicherheitslücken. Wer ist nun genau wofür verantwortlich? Interessant wird es, wenn Sie den Provider darauf ansprechen, dass Sie Prüfberichte hinsichtlich Cyber Security (ISAE 3000 oder 3402) einsehen möchten. Daran lässt sich schnell erkennen, ob ein Handlungsbedarf begründet ist.
 

Wie kann ich mich schützen?

Für unsere KMU-Kunden bieten wir bezahlbare Einstiegslösungen an, mit denen sich das Sicherheitsniveau schnell und effizient verbessern lässt. Sicherheit beleuchten wir immer nach unterschiedlichen Blickwinkeln, da der rein technische Ansatz zu kurz greift. Wir unterscheiden zwischen kulturellen, prozess- und datenorientierten sowie technischen Aspekten. Gemeinsam mit unseren Kunden stellen wir relevante Aspekte individuell zusammen, um das beste und sinnvollste Resultat zu erreichen. Dies ist essenziell für einen moderaten Grundschutz Ihres Unternehmens.
 

Technisch

Vulnerability-Scans zeigen die Schwachstellen und das Verbesserungspotenzial auf. BDO scannt die Informatik mit einer Spezialsoftware und erstellt einen detaillierten Bericht über die erforderlichen Massnahmen, um die Grundsicherheit sicherzustellen. Insbesondere für KMU führen wir auch Recherchen im internetöffentlichen Raum wie Social Media oder Hack-Datenbanken durch. Damit zeigen wir auf, wie ein Cyber-Krimineller Sie ausspähen kann und wie Sie sich in Zukunft besser absichern können.

BDO-Protect ist eine Software-Applikation, die bei einem Cyber-Angriff nicht nur Alarm schlägt und die Nachverfolgung eines Hacks ermöglicht, sondern auch die direkte Verbindung zu Spezialisten ermöglicht, welche die Gefahr stoppen oder beim Wiederherstellen des Normalbetriebs helfen. Zusammen mit «Cisco» hat BDO in eine einzigartige und pragmatische Lösung investiert, von der insbesondere kleinere Organisationen profitieren.
 

Kultur

Phishing-Awareness-Kampagnen sensibilisieren die Mitarbeitenden und zeigen auf, wie angreifbar eine Organisation wirklich ist. Dabei simulieren wir einen Angriff und testen, wie viele Mitarbeitende diesen nicht erkannt, sprich versehentlich Schadsoftware den Zugang gewährt hätten. In der Praxis kann bereits das Fehlverhalten eines einzigen Mitarbeitenden fatale Folgen haben. Im Anschluss an die Simulation werden die Resultate diskutiert und die Mitarbeitenden in puncto Vorsichtsmassnahmen geschult.
 

Prozesse

Mit einem Cyber Security Readiness Assessment lassen Sie und Ihr Provider sich durch uns befragen und wir erstellen einen Bericht mit einer Fremdeinschätzung. Dadurch erhalten Sie nicht nur eine Momentaufnahme Ihrer Organisation, sondern gleichermassen eine Übersicht, in welchen Bereichen künftig Verbesserungspotenzial besteht. Ein konkreter Handlungskatalog gibt Ihnen die Möglichkeit, strukturiert die wichtigsten Punkte anzugehen und umzusetzen.

Bei all diesen wichtigen, spannenden und komplexen Fragestellungen unterstützen wir Sie mit einem kompetenten Team.

 

Download als PDF