Das Thema Datensicherheit oder Cybersecurity in der Wirtschaft ist angesichts der wachsenden Schäden durch Cyber-Kriminalität im Bewusstsein des Top-Managements angekommen. Verhaltensänderungen in Unternehmen und wesentliche Vorkehrungen, für mehr Sicherheit der Daten zu sorgen, sind jedoch noch nicht im Unternehmensalltag zur Realität geworden. Das wurde im Rahmen einer Pressekonferenz mit dem britischen Spezialisten für Datensicherheit, Kaspersky diskutiert. (Ein Bericht von HaJo Schlobach)
In der heutigen vernetzten Welt ist Cybersecurity, auch bekannt als IT-Sicherheit, von entscheidender wirtschaftlicher Bedeutung. Laut statista.com belaufen sich die Schäden, die durch Hacker-Angriffe, Datendiebstahl, Industriespionage und/oder Sabotage im Jahr 2023 in Deutschland entstanden sind, rund 206 Milliarden Euro. Die Tendenz ist steigend, je weiter die Digitalisierung und die Verlagerung der Geschäftsprozessen im Rahmen der digitalen Transformation voranschreitet. Davon entfielen 16,1 Milliarden Euro auf Kosten für Erpressung mit gestohlenen oder verschlüsselten Daten. In Österreich liegen die Schäden bei rund 20 Milliarden Euro. Und welcher Schaden in den Industrienationen dadurch entsteht, ist nicht bezifferbar.
Die Bedeutung von Cybersecurity
Mit der zunehmenden Digitalisierung und der Verlagerung vieler Geschäftsprozesse ins Internet, sind Unternehmen und Privatpersonen gleichermaßen immer anfälliger für Cyberangriffe. Das hängt auch mit der zunehmenden Komplexität der digitalen Systeme beispielsweise im Rahmen der vierten industriellen Revolution zusammen, besser bekannt als Industrie 4.0. Dabei wird, salopp gesagt, die intelligente, vernetzte und effiziente Produktion angestrebt, welche einerseits Ressourcen entlang der Wertschöpfungskette bis zum Point of Sale (POS) einspart. Andererseits soll so die Produktivität gesteigert sowie die Flexibilität und Individualität der Fertigung erhöht werden. Was hier mit ein paar Sätzen abgefackelt wird, hat jedoch eine dramatische Steigerung der Komplexität der gesamten Supply Chain und eine wahre Datenexplosion (Big Data) zur Folge. “Die Komplexität ist aber ein ernstzunehmender Gegner der Sicherheit der Systeme”, sagt hierzu René Bodmer Head of B2B Switzerland & Austria bei Kaspersky.
Komplexität macht Cybersecurity schwierig
In der Tat. Je komplexer Systeme in einer Wertschöpfungskette sind, umso mehr Angriffsfläche bieten sie auch, weil es mehr Komponenten und Schnittstellen gibt. Hinsichtlich der Cybersecurity können diese daher potenziell eine Schwachstelle darstellen. Solche Systeme sind vor allem eine Herausforderung für ihre Verwaltung und Wartung. Denn je komplexer ein System ist, umso schwieriger ist es, die einzelnen Komponenten und Schnittstellen im Blick zu behalten. Dabei kann auch die geschulteste IT-Manager:In den Überblick darüber verlieren, wohin und über welche Komponente die Daten ihres Unternehmens fließen. Darum kann auch längere Zeit vergehen, bis ein Datenleck entdeckt wird. Gleichzeitig sind die Komponenten entlang einer Supply Chain oft stark voneinander abhängig, etwa wenn der Informationsfluss über Unternehmensgrenzen hinweg verläuft. Das ist etwa bei “Production on Demand” – Strategien der Fall. Diese Interdependenzen können sich dann fatal auf eine Lieferkette auswirken, wenn ein Problem mit nur einer Komponente auftritt. Cyber-Kriminelle legen auf diese Weise ganze Produktionslinien lahm. Sie suchen daher genau hier nach Schwachstellen. Dabei sind nicht alleine große Unternehmen von Sabotageakten betroffen, sondern auch kleine und mittlere Unternehmen, die in einer gesamten Wertschöpfungskette eingebunden sind. Die Bewältigung dieser Herausforderungen erfordert somit eine sorgfältige Planung, regelmäßige Sicherheitsüberprüfungen und den Einsatz fortschrittlicher Sicherheitslösungen. Es ist auch wichtig, dass alle Beteiligten, von den IT-Teams bis zu den Endnutzern, über die potenziellen Risiken und die besten Sicherheitspraktiken informiert sind.
Cybercrime – Ein ganzer Blumenstrauß an Angriffsmöglichkeiten
Mit der Weiterentwicklung der Technologien entwickeln sich allerdings auch die Bedrohungen weiter. Künstliche Intelligenz und maschinelles Lernen spielen hierbei eine immer größere Rolle für Cybercrime und Cybersecurity gleichermaßen, etwa bei der Erkennung und Abwehr von Cyberangriffen. Gleichzeitig müssen Unternehmen und Privatpersonen wachsam bleiben und ihre Sicherheitsstrategien kontinuierlich anpassen.
Cybersecurity – Formen der Angriffe
Die Angriffe auf die Cybersecurity können dabei verschiedene Formen annehmen, beispielsweise in Form von Pishing Mails. Das sind betrügerische E-Mails oder Websites, die darauf abzielen, persönliche Informationen von Anwender:innen zu stehlen. Bekannt ist auch das Problem “Malware”. Das ist Schadsoftware, die Systeme infiziert und Daten beschädigt oder stiehlt. Ein unter dem Schlagwort “Malware” bekanntes Phänomen ist bekannt unter “Rasomware”. Das ist eine Art von Malware, die Daten verschlüsselt und Lösegeld für deren Freigabe fordert. Und last but not least führen DDoS-Angriffe regelmäßig zur Überlastung von Netzwerken und Systemen durch eine Flut von Anfragen, um Dienste lahmzulegen. Solche Attacken kommen häufiger vor beispielsweise im Bereich des Internets, bei dem etwa Homepages lahmgelegt werden sollen.
Maßnahmen für wirksame Cybersecurity
Um sich vor diesen Bedrohungen zu schützen, empfehlen Spezialisten wie Kaspersky verschiedene Basis-Maßnahmen wie etwa die Installation von Antivirensoftware. Diese Schützen vor Malware und anderen schädlichen Programmen. Hinzu kommt die Errichtung von Firerwalls. Diese kontrollieren den Datenverkehr zwischen internen Netzwerken und dem Internet. “Ein wichtiger Punkt ist außerdem die Verschlüsselung von Daten. Diese verhältnismäßig einfache, aber wirksame Methode für die Cybersecurity wird in vielen Unternehmen allerdings nicht angewandt”, weiß Marco Preuß, Deputy Director Global Research & Analysis Team bei Kaspersky aus Erfahrung. Er rät Unternehmen daher stets, hierauf ein Augenmerk zu werfen, insbesondere dann, wenn Daten via eMail versendet werden.
Cybersecurity und digitale Kompetenz
Und last but not least sollten Mitarbeiter:Innen regelmäßig für ihre digitale Kompetenz geschult bzw. Nachgeschult werden. Unter “digitaler Kompetenz” ist hierbei weniger die Fähigkeit gemeint, mit diversen Office-Anwendungen usw. umgehen zu können. Vielmehr bedeutet “digitale Kompetenz”, über die Risiken von Cybercrime als Privatperson der Arbeitnehmer:In im täglichen Umgang mit den eigenen Devices wie Laptop, Handy etc. für das eigene Unternehmen Bescheid zu wissen. Zur digitalen Kompetenz gehört somit nicht nur das Wissen, sondern auch, dass das Wissen im eigenen Verhalten Niederschlag findet.
80 Prozent der Zugpendler gefährden Geschäftsgeheimnisse
Genau bei dieser digitalen Kompetenz dürfte es jedoch erhebliche Defizite im deutschsprachigen Raum geben, sowohl was die eigenen Daten angeht als auch mit Unternehmensdaten. Dies ergab eine jüngste Umfrage des internationalen Cybersecurity Spezialisten Kaspersky unter rund 670 Manager:Innen in Deutschland und 500 in Österreich, welche geschäftliche Bahnreisen unternehmen. Demnach führen (mit leichten Abweichungen) 80 Prozent der Befragten nach eigenen Angaben sensible Telefongespräche und Geschäftskorrespondenz im Zug. Zwar seien sich 84 Prozent des damit verbundenen Datenschutzrisikos bewusst, setzen aber ihr Wissen nur bedingt in eigenes Verhalten um, obgleich nur 20 Prozent der Befragten keine Unternehmensvorgaben zum mobilen Arbeiten haben. Umgekehrt bedeutet das, dass 80 Prozent die Vorgaben zur Cyber Security ihres Unternehmens vielfach schlichtweg missachten.
Am liebsten E-Mails
Interessant ist in diesem Zusammenhang, dass zu den beliebtesten beruflichen Tätigkeiten im Zug sowohl in Deutschland als auch Österreich das Bearbeiten von Emails zählt (60 Prozent). 43 Prozent bearbeiten Word-, PowerPoint- und Excel-Dokumente. Telefonate mit Kunden, Kollegen oder dem Management erledigen immerhin noch 28 Prozent. Mit anderen Worten: Datenschutz und Cyber Security spielt für viele Manager:Innen auf Geschäftsreisen eher eine untergeordnete Rolle. Zwar muss rund ein Drittel der Befragten eine 2-Faktor-Authentifizierung etwa für das Arbeiten mit ihrem Laptop im Netz durchführen und 40 Prozent achten darauf, möglichst alleine zu sitzen während der Arbeit. Weiter reichen die eigenen Datenschutzmaßnahmen allerdings nicht.
Cybersecurity – Praxistest im Zug
Wie wichtig entsprechende Sicherheitsmaßnahmen jedoch wären, zeigt ein zur Studie begleitendes Experiment: Innerhalb von drei Tagen konnte der unabhängige Tester Stephan Schilling, Personalmarketing-Experte, in Österreich 465 Informationen mit Business-Bezug anonym und per Strichlistenzählung feststellen. Dazu gehörten das Mitlesen von E-Mails und vertraulichen Dokumenten sowie das Mithören von Geschäftsgesprächen. Den Großteil (295) konnte er in Zügen einsehen und hören, ein paar wenige (170) in Lounges an den Bahnhöfen. Das sind zwar deutlich weniger als im Nachbarland Deutschland, wo der Tester in drei Tagen 695 Geschäftsgeheimnisse hätte abgreifen können. Stephan Schilling sagt dennoch dazu: „Während des Experiments hätte ich auch in Österreich eine Vielzahl an Geschäftsinterna stehlen können – von vertraulichen Gesprächen von Anwälten oder Managern über Krankschreibungsgründen hin zu Jahresabschlusszahlen. Insbesondere die Nutzung von E-Mails gewährt Einblick in Unternehmensdaten. Schon durch das Lesen einer Signatur und des Betreffs können geschäftliche Interna offengelegt werden, die für Außenstehende nicht zugänglich sein sollten“, so der Experte im Gespräch.
Cybersecurity und der “Griff ins Klo”
Die Studie förderte aber auch Kurioses zu Tage. So wird bei der mobilen Arbeit im Zug der Gang aufs Klo nicht selten zum Griff in dasselbe hinsichtlich der Cyber Security. Zwar nimmt knapp die Hälfte (45 Prozent) Laptop beziehungsweise Handy dorthin mit, jedoch hat ein Zehntel (zehn Prozent) nur das Handy dabei und lässt den mobilen Rechner am Platz zurück. Ähnlich viele (sieben Prozent) vertrauen auf ihre Mitreisenden und bitten diese, aufzupassen. Ebenso halten sieben Prozent das Abdecken mit einem Kleidungsstück für eine sinnvolle Sicherheitsmaßnahme. 14 Prozent sperren immerhin ihren Laptopbildschirm; nur fünf Prozent der Geschäftsreisenden haben kein Endgerät dabei. „Wider besseren Wissen für die damit verbundenen Sicherheitsrisiken, geben viele Geschäftsreisende – ob aus Ignoranz oder Fahrlässigkeit – unterwegs leichtfertig sensible Informationen preis“, mahnt daher M. Preuß. „Datensicherheit sollte beim mobilen Arbeiten höchste Priorität haben. Mit dem Verzicht auf Sicherheitsvorkehrungen wie VPNs, Bildschirmschutzfilter, starke Passwörter und Festplatten- bzw. Datenverschlüsselung gefährden viele Zugpendler die Datensicherheit ihres Unternehmens – und setzen es unnötig Risiken wie Gerätediebstahl, -manipulation und Wirtschaftsspionage aus. “Unternehmen sollten dringend in die Sicherheit der mobilen Arbeit investieren, indem sie verbindliche Richtlinien vorgeben, regelmäßig deren Einhaltung überprüfen und Mitarbeiter zum cybersicheren Verhalten im öffentlichen Raum schulen“, gibt der Sicherheitsexperte zu bedenken.
Cybersecurity – Wenn die Security zum Türöffner wird
Eine Unart vieler Unternehmen sei jedoch auch, dass sie auf den mitgegebenen Unternehmens-Devices nicht selten der Name der Firma, des Mitarbeiters und de Tag des Gerätes auf sichtbar aufgeklebt ist. “Mit diesen Informationen können sich Cyber-Kriminelle mit Leichtigkeit gleich direkt ins Unternehmensnetzwerk einloggen und ganz bequem die Kompetenz der Mitarbeiter:in im Unternehmen und die verfügbaren Daten bis hin zur eMail-Korrespondenz ausspionieren”, weist M. Preuß hin. Vor diesem Hintergrund sollten sich viele Unternehmen eine genaue Sicherheitsstruktur aufbauen und diese regelmäßig aktualisieren, so der Sicherheitsexperte abschließend.
Kaspersky in Kürze
Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 in Moskau gegründet wurde. Der Cybersicherheitsanbieter schützt nach eigenen Angaben heute über eine Milliarde Geräte vor Cyberbedrohungen und zielgerichteten Angriffen. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky gilt als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet dabei führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services sowie Cyber-Immune-Lösungen zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 200.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt.
Kritik an Kaspersky
Die Verbindungen von Kaspersky zu Moskau und den russischen Machthabern sind ein umstrittenes Thema. Trotz der Tatsache, dass die Kaspersky-Holding ihren Sitz in London hat und viele Kundendaten in der Schweiz verarbeitet werden, bleibt das Unternehmen auch in Moskau präsent. Es gibt daher Bedenken, dass Kaspersky aufgrund seiner russischen Wurzeln und der geopolitischen Lage möglicherweise vom russischen Staat beeinflusst werden könnte. Diese Bedenken haben dazu geführt, dass einige Länder wie beispielsweise die USA und Deutschland vor der Nutzung der Kaspersky-Software warnen. Die US-Regierung hat den Verkauf der Software aufgrund möglicher Verbindungen zum Kreml sogar verboten. Kaspersky selbst bestreitet diese Vorwürfe und betont, dass die Entscheidungen auf geopolitischen Spannungen und theoretischen Bedenken basieren, nicht auf einer umfassenden Bewertung ihrer Produkte und Dienstleistungen.
Tipps zum Schutz vor Visual und Audible Hacks
• Blickschutzfilter oder -bildschirme verwenden – die optische Hürde lässt unliebsamen Spähern wenig Chance.
• Sollte keine Sichtschutzfolie vorhanden sein, einen Platz wählen, der Dritten keinen Einblick in Geschäftsprogramme und -informationen gewährt.
• Nur Dinge bearbeiten, die unverfänglich sind; etwa eine nicht vertrauliche Power-PointPräsentation. Sensible Aktionen – wie eine E-Mail über ein noch nicht veröffentlichtes Produkt – gehören in eine sichere Umgebung – und nicht in den Zug.
• Da Mitreisende bei Telefonaten im Zug unweigerlich mithören können, die Nennung von Klarnamen (des Unternehmens, von Kunden oder Partnern) vermeiden.
• Eine VPN-Lösung für einen erhöhten Datenschutz und Schutz der Privatsphäre einsetzen.
• Geräte nie aus dem Auge lassen; ist dennoch der Gang auf die Toilette nötig, sollten die Geräte gesperrt (PIN, Zugangsberechtigung oder Passwort) und mit einer passenden mobilen Sicherheitslösung ausgestattet sein. Token, ID-Karten oder ähnliches sollten abgezogen und mitgenommen werden.
• Unternehmensverantwortliche sollten klare Regeln für die IT-Sicherheit und den Datenschutz beim mobilen Arbeiten vorgeben. Schulungen wie Kaspersky Security Awareness [5] ermöglichen es, dieses Wissen zu erwerben und vertiefen.
• Mitarbeiter regelmäßig hinsichtlich Cybergefahren und Datenschutz schulen und hierbei auch Geschäftsreisen berücksichtigen.
Verwandte Themen
(Mehr als 120 State-of-the-Art Anwenderbeispiele aus der Intralogistik und IT finden und Best Practice-Diskussionsbeiträge finden Sie in unserer Rubrik BEST PRACTICE auf blogistic.net)
(Mehr zur HJS MEDIA WORLD finden Sie hier unter hjs-media-world.at)