,

Sicherheit geht vor: Die soziale Verantwortung der Unternehmen in Bezug auf die IT-Security

Michael Maximilian Bader

In einer zunehmend vernetzten und digitalisierten Welt sehen sich Unternehmen einer Vielzahl von Cyberbedrohungen gegenüber. Laut einer Studie der Bitkom wird praktisch jedes deutsche Unternehmen irgendwann mit einem Cyberangriff konfrontiert sein, wodurch im letzten Jahr ein Schaden von 203 Milliarden Euro durch Diebstahl, Spionage und Sabotage entstanden ist [1]. Die Gewährleistung der IT-Sicherheit ist nicht nur eine geschäftliche Notwendigkeit, sondern auch eine soziale Verantwortung, die Unternehmen gegenüber ihren Kunden, Mitarbeitern und der Gesellschaft tragen müssen. Mit zunehmender Häufigkeit von Cyberangriffen auf Unternehmen wird es in Zukunft immer wichtiger, das Thema offen und transparent zu behandeln. In diesem Blogbeitrag werden wir uns beliebte Cyberangriffe anschauen, die Bedeutung der sozialen Verantwortung und der Security Awareness von Unternehmen beleuchten und die Maßnahmen erforschen, die sie ergreifen können, um eine sichere und vertrauenswürdige digitale Umgebung zu schaffen.

Ein Überblick über aktuelle Zahlen

Die Anzahl von Cyberangriffen sind in den letzten Jahren dramatisch angestiegen. Insgesamt hat das Bundeskriminalamt für das Jahr 2021 rund 146.363 Delikte vermeldet, was einem Anstieg von ungefähr 12% des Vorjahres entspricht. Unter der Vielzahl an Delikten stellt der Computerbetrug mit etwa 113.000 Fällen die häufigste Form dar [1]. So ist es nicht verwunderlich, dass neben Privatpersonen auch immer mehr Unternehmen in den Fokus der Hacker geraten. Ziel hierbei ist es, möglichst viele Daten der Unternehmen zu stehlen, um dadurch eine Erpressung erzwingen zu können. Diese können sich dann auch mal in einem sechsstelligen Betrag bewegen.

Abb. 1: Arten von Cyberangriffen auf deutsche Unternehmen [2]

Eine Umfrage der bitkom aus dem Jahr 2021 hat ergeben, dass 86% der Cyberangriffe bei den Unternehmen einen Schaden verursacht haben. Am häufigsten ist dieser durch eine Infizierung mit Schadensoftware bzw. Malware entstanden (31% im Jahr 2021, siehe Abb. 1) oder durch eine sogenannte Distributed Denial of Service (DDoS) Attacke (27% im Jahr 2021, siehe Abb. 1) [2]. Unter einer DDoS Attacke versteht man einen Cyberangriff, bei dem eine Vielzahl von vernetzten Geräten und Computern (oft als Botnetz bezeichnet) verwendet wird, um einen Online-Dienst, eine Webseite oder einen Server mit einer überwältigenden Anzahl von Anfragen zu bombardieren. Das Ziel einer DDoS-Attacke besteht darin, die Ressourcen des Zielsystems zu erschöpfen oder zu überlasten, sodass es für normale Benutzer nicht mehr zugänglich oder funktionsfähig ist. Dadurch entsteht in den meisten Fällen ein Geschäftsschaden für das betroffene Unternehmen [3].

Ebenso in der Abbildung ersichtlich ist der Umstand, dass die Anzahl der Cyberangriffe im Jahr 2021 prozentual bei den meisten Arten von Cyberangriffen gestiegen ist. So sind laut der kürzlich durchgeführten Umfrage (siehe Abb. 1) die DDoS-Attacken von 18% auf 27% gestiegen sowie die Infizierung mit Schadsoftware bzw. Malware von 23% auf 31% angewachsen. Diese signifikanten Zunahmen innerhalb eines Zeitraums von nur zwei Jahren verdeutlichen das wachsende Gefahrenpotenzial von Cyberangriffen.

Die Gründe für diese zunehmenden Angriffe sind vielfältig und spiegeln die ständige Weiterentwicklung und Professionalisierung der Cyberkriminellen wider. Neue Angriffstechniken und Taktiken werden entwickelt, um die Sicherheitssysteme der Unternehmen zu umgehen und sensible Daten zu stehlen. Gleichzeitig nehmen auch gezielte Angriffe auf große Unternehmen zu, da diese oft über wertvolle Informationen und Ressourcen verfügen, die für Angreifer lukrativ sind.

Ein Überblick über beliebten Cyberangriffe

Manchmal sind es die eher unscheinbar wirkenden Angriffe auf Unternehmen (wie Phishing E-Mails), die einen großen Schaden anrichten können. Zu den bekannten Angriffen zählen insbesondere [4] [5]:

1. Phishing Attacken

Diese Angriffsart wird meist eingesetzt, um persönliche Informationen, sensible Daten oder Zugangsdaten zu erlangen. Häufig versenden die Angreifer seriös wirkende E-Mails, die den Anschein erwecken, von legitimen Unternehmen, Banken, Regierungsbehörden oder anderen bekannten Institutionen zu stammen. Die E-Mails enthalten oft Links zu gefälschten Websites, die denen der echten Seiten ähneln. Die Opfer werden aufgefordert, persönliche Daten wie Benutzernamen, Passwörter, Kreditkarteninformationen oder Sozialversicherungsnummern einzugeben.

2. Ransomware

Unter Ransomware versteht man bösartige Software, die darauf abzielt, den Zugriff auf Daten, Dateien oder das gesamte Computersystem eines Opfers zu blockieren oder zu verschlüsseln. Die Angreifer fordern dann ein Lösegeld (Ransom) von ihren Opfern, um den Zugriff auf die gesperrten Daten wiederherzustellen oder das System zu entschlüsseln. Ransomware-Attacken sind eine der gefährlichsten und kostspieligsten Bedrohungen im Bereich der Cyberkriminalität.

3. Social Engineering

Social Engineering ist eine Methode der Manipulation und Täuschung, bei der Angreifer soziale und psychologische Techniken einsetzen, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben, bestimmte Handlungen auszuführen oder Zugriff auf geschützte Systeme zu gewähren. Anders als bei technischen Angriffen, bei denen Sicherheitslücken in Computersystemen ausgenutzt werden, zielt Social Engineering darauf ab, das schwächste Glied in der Sicherheitskette auszunutzen – den Menschen selbst.

Welche Rolle spielt das Sicherheitsbewusstsein für Unternehmen?

Bei Cyberangriffen liegt das eigentliche Problem nicht immer in einer fehleranfälligen Firewall oder einer unsicheren IT-Infrastruktur, sondern oft bei den Menschen selbst. Da Angreifer die Schwachstellen gezielt ausnutzen, ist es von entscheidender Bedeutung, das Sicherheitsbewusstsein in Unternehmen zu stärken.

Unbedachte Klicks auf E-Mail-Anhänge, die Weitergabe vertraulicher Informationen an Dritte oder die Nutzung einer öffentlichen, ungesicherten Internetverbindung können die Wahrscheinlichkeit drastisch erhöhen, Opfer eines Cyberangriffs zu werden. Aus diesem Grund müssen die Unternehmen verstärkt eine nachhaltige, aktiv gelebte Sicherheitskultur etablieren, welche nicht nur IT-Fachkräfte, sondern alle Mitarbeiter und Mitarbeiterinnen umfasst. Aber wie kann man dies erreichen?

Eine gute Möglichkeit besteht darin, die Mitarbeiter und Mitarbeiterinnen durch Aufklärung und Prävention zu sensibilisieren. Durch gezielte Trainings und Security Awareness können verschiedene Sicherheitsbedrohungen und Szenarien, mit denen sie im Arbeitsalltag konfrontiert sein könnten, durchgespielt werden [7].

Online-Trainings bieten eine besonders einfache und schnelle Möglichkeit, die Security Awareness zu trainieren. Kurze Erklärvideos stellen dabei eine effektive Methode dar, um Inhalte während der Arbeit aufzunehmen und können von den Mitarbeitern flexibel genutzt werden, sobald Bedarf besteht. Daneben können täuschend echt aussehende und simulierte Phishing-Mails dazu beitragen, das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen. Sollte jemand versehentlich auf einen nicht identifizierten Anhang einer Phishing-Mail klicken, so kann ein darauffolgender Warnhinweis das Risiko minimieren, dass in Zukunft aus Versehen eine echt Phishing-Mail angeklickt wird [8].

Wichtig hierbei ist allerdings, dass das Thema Security Awareness nicht einfach als Einmal-Training oder Workshop durchgeführt wird, sodass alle Beteiligten einen Haken dahinter setzen können. Der Fokus muss hier schlicht und klar auf dem Bewusstsein liegen! Erst wenn sich jeder dem Ernst der Thematik bewusst wird, kann man das Risiko eines Cyberangriffs nachhaltig reduzieren.

Die Stärkung des Sicherheitsbewusstseins der Unternehmen in Bezug auf IT-Security ist ein fortlaufender Prozess, der auf der kontinuierlichen Weiterbildung und Sensibilisierung der Mitarbeiter basiert. Dabei können auch moderne Technologien wie Künstliche Intelligenz eine unterstützende Rolle spielen. Eine vorausschauende und proaktive Sicherheitsstrategie ist entscheidend, um den sich ständig weiterentwickelnden Cyberbedrohungen einen Schritt voraus zu sein.

Kann eine künstliche Intelligenz (KI) helfen?

Natürlich stellt sich auch im Bereich IT-Security die Frage, ob der Einsatz von Künstlicher Intelligenz (KI) hilfreich sein kann. Dies ist insbesondere vor dem Hintergrund relevant, dass die Komplexität von Cyberangriffen in Zukunft weiter zunehmen könnte. Eine trainierte KI kann Anomalien schneller entdecken, Risikobereiche vorhersagen und potenzielle Gefahren ausfindig machen. So kann eine KI eingesetzt werden, um eine Ursachenanalyse durchzuführen, die dann an das Security-Team weitergeleitet wird, bevor es Abhilfemaßnahmen ergreift.

Darüber hinaus kann eine KI helfen, schneller auf Bedrohungen zu reagieren und Indikatoren von Ransomware-Angriffen zu analysieren, bevor diese ein System oder Daten verschlüsseln können. Sogenannte Playbooks können helfen, schädliche Aktivitäten zu verhindern, indem sie sie im Netzwerk der Rechner isolieren und unschädlich machen. Ein Beispiel für so eine KI ist CyberGraph AI [9]. Diese KI ist besonders darauf spezialisiert, gefährliche E-Mails zu erkennen, indem sie maschinelles Lernen nutzt, um Muster und Anomalien schnell zu identifizieren. Die KI entfernt zudem eingebettete E-Mail-Tracker, welche Angreifern Informationen für gezielte Angriffe liefern können, und macht die Mitarbeiter auf falsch adressierte E-Mails aufmerksam.

Generell kann man davon ausgehen, dass spezialisierte KI-Systeme, die sich auf Cyberangriffe spezialisiert haben, in Zukunft noch stärker in den Markt kommen werden. Immer mehr Prozesse werden mithilfe von Machine Learning und KI automatisiert.

Daher wird es in Zukunft immer wichtiger werden, auch im Bereich IT-Security auf bewährte KI-Systeme zurückzugreifen, um sich den neuen Herausforderungen und Bedrohungen stellen zu können. Die Stärkung der sozialen Verantwortung der Unternehmen in Bezug auf IT-Security ist ein fortlaufender Prozess, der auf der kontinuierlichen Weiterbildung und Sensibilisierung der Mitarbeiter basiert. Dabei können auch moderne Technologien wie Künstliche Intelligenz eine unterstützende Rolle spielen. Eine vorausschauende und proaktive Sicherheitsstrategie ist entscheidend, um den sich ständig weiterentwickelnden Cyberbedrohungen einen Schritt voraus zu sein.

Fazit und Ausblick für die Zukunft

In einer zunehmend vernetzten und digitalisierten Welt ist die IT-Sicherheit zu einer entscheidenden sozialen Verantwortung für Unternehmen geworden. Die steigende Zahl von Cyberangriffen, wie Phishing-Attacken, Ransomware und Social Engineering, bedroht nicht nur die Unternehmen selbst, sondern auch die Privatsphäre und Sicherheit ihrer Kunden und Mitarbeiter. Daher ist es von entscheidender Bedeutung, dass Unternehmen proaktiv Maßnahmen ergreifen, um ihre IT-Sicherheit zu stärken und ihre Kunden und Nutzer zu schützen.

Die Förderung von Security Awareness und die Schaffung einer nachhaltigen Sicherheitskultur sind dabei unerlässlich. Mitarbeiter und Mitarbeiterinnen sollten über die verschiedenen Cyberbedrohungen und deren Auswirkungen informiert und geschult werden, um potenzielle Angriffe frühzeitig zu erkennen und zu vermeiden. Technologische Fortschritte, wie der Einsatz von Künstlicher Intelligenz, können zusätzlich dabei helfen, Anomalien und Bedrohungen schneller zu identifizieren und darauf zu reagieren.

Für die Zukunft sind weitere Entwicklungen in der IT-Security zu erwarten. Cyberangriffe werden vermutlich immer komplexer, und Unternehmen müssen sich darauf vorbereiten, mit innovativen Lösungen wie spezialisierten KI-Systemen Schritt zu halten. Die Zusammenarbeit zwischen Unternehmen, Regierungen und der Gesellschaft wird ebenfalls entscheidend sein, um den Schutz vor Cyberbedrohungen zu stärken und eine sichere digitale Umgebung zu gewährleisten.

Es ist an der Zeit, dass Unternehmen ihre Verantwortung in Bezug auf IT-Sicherheit erkennen und proaktiv handeln, um ihre Kunden und Nutzer zu schützen. Die Sicherheit sollte stets an erster Stelle stehen, denn nur so können wir eine vertrauenswürdige und robuste digitale Welt schaffen, in der wir uns sicher fühlen können.

Literaturverzeichnis

[1]R. Bocksch, „heise.de,“ 05 07 2022. [Online]. Available: https://www.heise.de/hintergrund/Cyber-Angriffe-auf-deutsche-Unternehmen-Die-Statistik-der-Woche-7161998.html. [Zugriff am 25 07 2023].
[2]lawpilots, „Cyberangriffe auf Unternehmen,“ 13 04 2023. [Online]. Available: https://lawpilots.com/de/blog/it-sicherheit/cyberangriffe-auf-unternehmen/. [Zugriff am 25 07 2023].
[3]B. f. S. i. d. Informationstechnik, „DoS- und DDoS-Attacken,“ 20 05 2020. [Online]. Available: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/DoS-Denial-of-Service/dos-denial-of-service_node.html. [Zugriff am 24 07 2023].
[4]P. Pieper, „zeit.de,“ 12 06 2023. [Online]. Available: https://www.zeit.de/digital/2023-06/hacking-cyberkriminalitaet-umfrage-unternehmen#:~:text=Cyberkriminalit%C3%A4t%20Jedes%20zehnte%20Unternehmen%20von,und%20der%20Einsatz%20von%20Erpressungssoftware.. [Zugriff am 24 07 2023].
[5]verbraucherzentrale.de, „Was ist Ransomware und wie kann ich mich schützen?,“ 03 03 2023. [Online]. Available: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/was-ist-ransomware-und-wie-kann-ich-mich-schuetzen-69789#:~:text=Hinter%20den%20Bezeichnungen%20Ransomware%20(Englisch,Zahlung%20von%20L%C3%B6segeld%20zu%20erpressen.. [Zugriff am 24 07 2023].
[6]bitkom, „203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen,“ 31 08 2022. [Online]. Available: https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022. [Zugriff am 25 07 2023].
[7]C. Samurai, „Cyber Samurai,“ 2020. [Online]. Available: https://cyber-samurai.net/wissen/glossar/security-awareness/. [Zugriff am 26 07 2023].
[8]S. Luber und P. Schmitz, „security-insider.de,“ 22 06 2018. [Online]. Available: https://www.security-insider.de/was-ist-security-awareness-a-727040/. [Zugriff am 26 07 2023].
[9]mimecast, „Social-Engineering-Verteidigung,“ [Online]. Available: https://www.mimecast.com/de/products/email-security/cybergraph-ai-cybersecurity/. [Zugriff am 27 07 2023].

Posted

in

,

by

Michael Maximilian Bader

Comments

Leave a Reply