Cybervorfälle gehören zu den wichtigsten Geschäftsrisiken für Unternehmen weltweit und rufen die höchsten Verluste hervor. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf das „Allianz Risk Barometer“. Laut Studie wurden 2020 Cyber-Risiken neben Betriebsunterbrechungen und dem Pandemieausbruch als eine der wichtigsten Geschäftsrisiken betrachtet. „Betriebsunterbrechungen waren in 2020 an der Tagesordnung: Zum einen aufgrund der Pandemie, die viele Unternehmen in die Zwangspause schickte. Zum anderen aber auch aufgrund von Cybersicherheitsvorfällen“, fasst Patrycja Schrenk, Geschäftsführerin der PSW Group, zusammen.
Letztere waren dann auch am teuersten: Aus ihnen entstehen 60 Prozent all jener Schäden, die bei digitalen Problemen in Firmen entstehen. Die Mehrzahl aller entstehenden Schäden ist auf menschliches Versagen sowie interne Systemausfälle zurückzuführen. Kriminelle Angriffe jedoch wie Ransomware oder Phishing rufen die höchsten Verluste hervor.
„Wir können heutzutage zwei wesentliche Cyberrisiken identifizieren. Das sind der Faktor Mensch und das Unternehmensnetzwerk“, so Schrenk. Denn obwohl der Faktor Mensch als Sicherheitsrisiko mehr ins Bewusstsein gerückt ist, werde noch zu wenig zur Senkung dieses Risikos unternommen, kritisiert die IT-Sicherheitsexpertin: „Tatsächlich kann IT-Sicherheit immer nur so gut sein wie der Anwendende, der die Techniken nutzt. Es ist deshalb von essenzieller Bedeutung, Mitarbeiter durch Schulungen zu sensibilisieren und auf etwaige Gefahren vorzubereiten.“
Insbesondere Angriffe per Social Engineering sowie Phishing funktionieren hervorragend auf jene Beschäftigte, die nicht gut auf diese Art eines Angriffs vorbereitet sind. Die Expertin verdeutlicht dies anhand eines Beispiels: „Der Cyberkriminelle gibt sich als Systemadministrator des Unternehmens aus. Er ruft in der Zentrale an und behauptet, zur Behebung eines Systemfehlers das Passwort zu benötigen. Das arglose Opfer glaubt an die Geschichte und möchte mithelfen, die Sicherheit zu erhöhen. In der Annahme das Richtige zu tun, macht das Opfer genau das Falsche, indem es das Passwort preisgibt.“
Eine andere Form eines Social-Engineering-Angriffs ist Phishing: Auch dabei wird dem Opfer etwas vorgetäuscht, um Daten abzufischen. Auch dabei tarnen sich die Angreifer als vertrauenswürdige Quelle, beispielsweise als Hausbank eines Unternehmens, um das Opfer dazu zu bringen, sensible Informationen herauszugeben oder Malware zu installieren.
Nach wie vor ist die E-Mail beim Phishing der beliebteste Vektor. Doch auch gefälschte Websites sind denkbar, ebenso wie Chat-Tools, Telefonanrufe oder auch Nachrichten per Social Media. „Es ist deshalb von höchster Wichtigkeit für eine gelungene IT-Sicherheitsstrategie, die Tatsache anzuerkennen, dass Mitarbeiter Teil dieser Sicherheitsstrategie sein müssen. Beschäftigte, die die Gefahren nicht kennen, die vom Phishing ausgehen, werden weiterhin jeden Link anklicken und wertvolle Informationen direkt in die Hände der Cyberkriminellen geben. Mitarbeitende, die sich der Gefahren bewusst sind, agieren deutlich umsichtiger“, betont Schrenk.