Gerade die Homeoffice-Situation, bei der sich viele Mitarbeiter plötzlich außerhalb der IT-Sicherheitsarchitektur befanden, habe die Angriffe begünstigt, so die Studie. Die Konsequenz: Im schlimmsten Fall sind die Unternehmen vom Ausfall der Informations- und Produktionssysteme betroffen gewesen; aktuell sehen sogar neun Prozent der Unternehmen Ihre Existenz durch Cyber-Attacken bedroht.
Die häufigsten Bedrohungsszenarien
Spätestens jetzt sollten vor allem kleinere und mittlere Unternehmen an ihrer „Cyber-Resilienz“ arbeiten unter der Frage: Wie kann meine IT vor Cyberangriffen geschützt werden?
Dazu erklären wir Ihnen im Überblick die häufigsten Angriffsarten des vergangenen Jahres und wie Sie sich am besten schützen können.
Infizierung mit Malware
Die Infizierung mit Schadsoftware setzte deutsche Unternehmen im Jahr 2020 besonders unter Druck: 31 Prozent erlebten laut Bitkom-Studie einen solchen Angriff. Dabei versuchen Cyber-Kriminelle über die verschiedensten Kanäle, Schadprogramme wie Würmer, Trojaner oder Viren in das Unternehmensnetzwerk zu schleusen, zum Beispiel über einen scheinbar vertrauenswürdigen E-Mail-Anhang, ein bösartiges Makro innerhalb eines Office-Dokuments oder einfach durch den Klick auf ein präpariertes Werbebanner auf einer Website. Ist die Schadsoftware erst einmal ins System gelangt, führt sie in der Regel dazu, dass Cyberkriminelle die Fernsteuerung über das infizierte System übernehmen können.
Distributed Denial of Service (DDoS)
27 Prozent der befragten Unternehmen haben im vergangenen Jahr mit einer sogenannten DDoS-Attacke zu kämpfen gehabt. Dabei zielen Angreifer darauf ab, von einer Vielzahl an unterschiedlichen Systemen, Server mit so vielen Anfragen zu bombardieren, dass sie ihre Aufgabe nicht mehr bewältigen kann. Die Folge: Systeme fallen für eine bestimmte Zeit aus.
Spoofing
Das sogenannte Spoofing („täuschen“, „fälschen“) war 2020 die dritthäufigste Angriffsart (20 Prozent). Auch hierbei geht es um das unerlaubte Eindringen in ein Netzwerk, indem der Angreifer eine vertrauenswürdige Identität vortäuscht. Das Ziel: Personenbezogene Daten zu erhalten, um diese für weitere, gezielte Angriffe erhalten, zum Beispiel für Phishing.
Phishing
Spoofing ist eine Vorstufe zum Phishing (18 Prozent der Angriffe), bei dem Cyber-Kriminelle versuchen, über fingierte E-Mails, Messenger-Nachrichten oder Websites als vertrauenswürdiger Kommunikationspartner zu erscheinen. Damit verfolgen sie das Ziel, an persönliche Daten zu gelangen, mit denen die Angreifer im Folgenden zum Beispiel Konten plündern oder Spähsoftware einschleusen können.
Ransomware
Insbesondere Ransomware hat in den vergangenen Wochen große mediale Aufmerksamkeit erhalten, da diese Angriffsart für nicht mehr handlungsfähige Kreisverwaltungen und lahmgelegte Supermarktketten gesorgt hat. Wenn ein System mit einer solchen Erpressungssoftware befallen wird, verliert der Nutzer Zugriff auf seine Daten und bekommt sie – wenn überhaupt – erst gegen die Zahlung eines häufig sehr hohen Lösegelds wieder frei. „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, so Bitkom-Präsident Achim Berg. Im vergangenen Jahr waren 18 Prozent der Unternehmen von Ransomware-Attacken betroffen – diese Fälle trugen jedoch maßgeblich zur Rekordschadenssumme von 223 Milliarden Euro bei.
SQL-Injection
Bei der SQL-Injection (17 Prozent der Fälle) nutzen Angreifer Sicherheitslücken durch Programmierfehler in SQL-Datenbanken aus. Auf diese Weise können sie Datenbankbefehle einschleusen und eventuell weitere Daten auslesen, unberechtigt ändern, löschen oder sogar die Kontrolle über den kompletten Datenbankserver übernehmen.
IT-Sicherheitskonzept: Schutz vor Cyber-Angriffen
Damit sichergestellt werden kann, dass Ihre IT bestmöglich vor Ausfällen durch Cyber-Attacken geschützt ist, reicht keine einzelne Maßnahme. Es wird ein umfassendes IT-Sicherheitskonzept benötigt, das nicht nur technische Vorkehrungen berücksichtigt. Bei der Erstellung und der Umsetzung eines IT-Sicherheitskonzeptes lassen Sie sich am besten von einem IT-Experten helfen. Denn dafür muss der Ist-Zustand Ihrer IT vorab in folgenden Bereichen umfassend geprüft werden:
- Updates und Systemhärte: Sind alle Komponenten des Systems auf dem neusten Stand, sodass es keine Sicherheitslücken in Anwendungen gibt, die eine Angriffsfläche bilden könnten? Gibt es eine Update-Routine? Sind entsprechende Vorkehrungen getroffen worden, die das Netzwerk nach außen hin schützen (z.B. durch eine Next Generation Firewall)?
- E-Mail Security: Ist der E-Mail-Verkehr in Ihrem Unternehmen abgesichert durch Sicherheitslösungen und Verschlüsselung?
- Ausfallsicherheit: Ist Ihre IT-Struktur redundant ausgelegt, d.h. sind funktional vergleichbare Ressourcen mehrfach vorhanden, sodass der Betrieb bei einem Ausfall trotzdem weiterlaufen kann?
- Datensicherung: Gibt es in Ihrem Unternehmen eine Back-up-Strategie, die dafür sorgt, dass Sie Ihre Daten bei Verlust wiederhergestellt werden können?
- Segmentierung des Netzwerks: Ist Ihr Netzwerk in Subnetzwerke unterteilt, sodass z.B. im Fall eines erfolgten Angriffs infizierte Bereiche vom Rest des Netzwerks abgeschottet werden können?
- Mitarbeitersensibilisierung: Sind Ihre Mitarbeiter ausreichend geschult, wie sie beispielsweise Phishing-Mails oder verdächtige Webseiten erkennen? Denn der „Faktor Mensch“ ist das Hauptrisiko für die Unternehmens-IT.
Cloudbasierte Sicherheitslösungen für kleine Unternehmen
Gerade kleine und mittelständische Unternehmen stellen die vielen verschiedenen Anforderungen an die IT-Security zunächst vor hohe Herausforderungen. Aber auch für sie gibt es skalierbare und finanzierbare Lösungen, wie z.B. cloudbasierte Sicherheitsanwendungen, die in bestehende Systeme integrierbar sind. Damit können sie vorsorgen: Denn der Verlust von Daten kommt Unternehmen weitaus teurer zu stehen als eine Investition in die IT-Sicherheit. Bisher fließen laut Bitkom durchschnittlich sieben Prozent der IT-Mittel von Unternehmen in den Bereich IT-Security. 24 Prozent haben sie nach der stark gestiegenen Anzahl an Attacken jedoch deutlich erhöht.
Die m2solutions EDV-Service GmbH ist ein IT-Dienstleister mit Sitz in Neustadt in Schleswig-Holstein. Das Unternehmen ist sowohl Full-Service-Systemhaus für den Mittelstand als auch IT-Dienstleister für global agierende Systemhäuser. So bietet m2solutions von der konzeptionellen und organisatorischen Beratung über individuelle IT-Infrastrukturlösungen (Hard- und Software) bis zu IT-Security-Management und Communication-Lösungen individuell auf den Kunden ausgerichtete Einzel- oder Komplettlösungen an. Die mehr als 150 Mitarbeiter werden dazu bundesweit eingesetzt. m2solutions versteht sich als Partner, der nicht nur eine sichere IT-Infrastruktur realisiert, sondern durch den Einsatz geeigneter Technologien einen Support für mehr Erfolg und Wachstum der Kunden leistet. Gegründet wurde das Unternehmen im Jahr 2000 von Mirko Müller und Reiner Matthiessen. Seit 2014 gehört auch Lukas Stockmann zur Geschäftsführung.
m2solutions EDV-Service GmbH
Industrieweg 37
23730 Neustadt
Telefon: +49 (4561) 5280-130
Telefax: +49 (4561) 5280299
https://m2solutions.de
Pressekontakt
Telefon: 0451/54692373
E-Mail: modrow@agenturhoch3.de