Sicherheitsrisiken wegen der digitalen Transformation?

Die Digitale Transformation ermöglicht eine immer stärker werdende Verlagerung von Diensten und Daten ins Internet. Kundendaten liegen im CRM oder im ERP, im Rechenzentrum kommen in Echtzeit Daten aus denen im Internet of Things (IoT) verknüpften Geräten an und dann gibt es noch Schnittstellen zu externen Partnern und Kunden. Ein Haufen Daten, der immer wieder als das Gold der Firma bezeichnet wird. Und das wird es auch bleiben. Firmen definieren ihren Wert nicht mehr über Maschinen oder Immobilien und ähnliches, sondern über Daten und geistiges Eigentum, also die nicht tangiblen Güter.

Die Wichtigkeit der Daten zeigen sich auch in Zahlen. Immer mehr KMU geben mehr und mehr Geld für Datensicherheit aus. Auf der anderen Seite sind aber auch die Ausgaben für Business Analytics, also die Analyse der vorhanden und neu reinkommenden Daten gestiegen, was wiederum in einem Anstieg an Daten per se resultiert. Mehr Daten bedeutet mehr Datenspeicherung und das bedeutet für einen Hacker eine vergrösserte Angriffsfläche, um ein Unternehmen zu schädigen.

Insgesamt 1´200 Risikoexperten aus aller Welt haben Cybervorfälle als grösste Gefahr für KMU eingestuft. Diese Vorfälle resultieren in IT-Ausfällen, Spionage und Datenmissbrauch. Im ersten Augenblick denkt man nun der Ausfall der IT wäre noch das kleinste Übel, aber passiert das genau in dem Moment, in dem 10 Kunden auf Ihre Systeme zugreifen, womöglich gar Zahlungen machen, entsteht eine Unsicherheit beim Kunden. Und diese Unsicherheit kann ihn veranlassen sich nach neuen „Problemlösern“ umzusehen. Wir wissen ja bereits, dass Kundentreue im heutigen Markt ein rares Luxusgut geworden ist. Sie sehen, im Bereich Sicherheit und Internet gibt es kaum kleine Problem.

Sie fragen sich nun, wie genau solche Angriffe zustanden kommen können? Es folgen drei Szenarien zur Veranschaulichung:

Hacker können sich über Google und andere Suchmaschinen Zugang zu Ihrem Netzwerk, Druckern und anderen Geräten verschaffen und sind durch diesen Zugang direkt bei Ihnen im internen System. So können Daten verändert, manipuliert oder gestohlen werden. Alternativ zu den „klassischen“ Suchmaschinen wie Google können geübte Hacker auch über Shodan, der Suchmaschine für das IoT zugreifen. Dort ist es ihnen möglich auf gesicherte Webcams innerhalb Ihrer Firma zuzugreifen. Das Ausmass der möglichen Gefahren muss hier wohl nicht näher geschildert werden.

Ein zweites Szenario wäre über die Mitarbeiter zu gehen durch den sogenannten CEO-Fraud. Qualifizierte und vertrauensvolle Mitarbeiter bekommen vermeintlich vom CEO eine Geschäftsmail mit der Bitte Geld oder sensible Unternehmensdaten aus dem Unternehmen an die Mail zu senden. Machen sie dies, hat der Hacker Zugriff auf Daten wie zum Beispiel Sozialversicherungsnummern etc. Dieser Trick scheint vermeintlich einfach zu durchschauen, doch leider braucht es nur einen Mitarbeiter, der im richtigen Moment nicht zu 100% aufmerksam ist.

Eine weitere Angriffsfläche bieten die Austauschmöglichkeiten mit Kunden und Lieferanten, die heutzutage mehr und mehr online passieren. Schützt ein Kunde oder ein Lieferant seine Systeme vielleicht nicht so sorgfältig und wird Opfer eines Angriffs, kann er, teils ohne sein eigenes Wissen, ein Sicherheitsrisiko für Sie darstellen. Daten werden über Schnittstellen vermittelt und mit diesen Daten können unerwünschte Malwares in die Firma eingeschleust werden.

Die Herausforderung ist gross. In 89% aller KMU gibt es mobile Mitarbeiter, sprich Angestellte die unterwegs sind. Sie greifen also von unterwegs auf Firmendaten und das Firmennetzwerk zu und sind vielleicht nicht immer über sichere Netzwerke verbunden. Ebenfalls steigt die Anzahl an Mitarbeitern, die mit eigenen mobilen Endgeräten auf Firmendaten zugreifen. Diese sind vielleicht auch nicht so geschützt wie gewünscht und schon ist wieder ein Risikofaktor identifiziert. Die IT ist und bleibt der grösste Angriffspunkt im Bereich Sicherheit – auch innerhalb der digitalen Transformation. Diese macht es vermeintlich noch einfacher. Was tut man nun also als KMU? Man bereitet sich auf das Unerwünschte bestmöglichst vor.

Neben einer intensiven Schulung von Mitarbeitern und anderen relevanten Stakeholdern über die Risken und worauf geachtet werden muss, empfiehlt es sich, jemanden einzustellen, der nicht nur im IT-Bereich besonders gut ist, sondern auch Dinge beherrscht wie Netzwerkbereiche, Security und Kryptografie. Sie suchen jemanden, der einen Hacker versteht (vielleicht war er vorher einmal selbst in diesem Bereich aktiv) und antizipieren kann wo mögliche Angriffsflächen entstehen. Aufgrund dieser Erkennung und Bewertung der ganzheitlichen Risiken wird dann ein Sicherheitskonzept entwickelt, welches einen proaktiven Ansatz in den Vordergrund stellt. So stellen Sie auch als KMU sicher, dass Ihre Daten gesichert sind und schützen damit Ihre Vermögenswerte nachhaltig.