Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

WIRTSCHAFTSSCHUTZ IM DIGITALEN ZEITALTER

Geschrieben von Carl Groves | Sep 1, 2016 4:55:00 AM

BITKOM-STUDIE VOM JULI 2016

Schadensbegrenzung ergänzt Prävention, das ist einer der wichtigen Schlüsse, den die Autoren der Bitcom-Studie unter dem Titel „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“ aus den Ergebnissen ihrer Befragung ziehen. Das Maß aller Dinge ist längst nicht mehr allein der Schutz an den Netzwerkgrenzen, vielmehr geht es darum, Angriffe möglichst frühzeitig zu erkennen.

Begehrtes Know-How, Insider nach wie vor eine der größten Bedrohungen

Das Know-how deutscher Unternehmen ist nach wie vor begehrt und zwar von ganz unterschiedlichen Interessengruppen. Neben der klassischen Wirtschaftsspionage und dem Wissensklau seitens der Wettbewerber sind innovative Technologien für die organisierte Cyberkriminalität durchaus von Interesse. Ein Mal mehr gilt das insbesondere für mittelständische Unternehmen. Aktuell von Datenschutz-verletzungen und Ransomware besonders gebeutelt: Gesundheitswesen und Finanzbranche. „Auf die deutsche Gesamtwirtschaft gerechnet war jedes zweite Unternehmen in den vergangenen zwei Jahren von einem Angriff betroffen. Das führt nach konservativen Berechnungen des Bitkom zu wirtschaftlichen Schäden in Höhe von rund 51 Milliarden Euro pro Jahr“, führt Dr. Bernhard Rohleder schon im Vorwort aus.

Die Schadensbilanz liest sich entsprechend ernüchternd. So gaben 51 % der befragten Unternehmen an, in den letzten beiden Jahren von Wirtschaftsspionage, Sabotage und Datendiebstahl betroffen gewesen zu sein. Was Unternehmen neben dem frühzeitigen Erkennen eines Datenschutzvorfalls ebenfalls große Probleme bereitet, ist, den Vorfall und die mit ihm potenziell verbundenen Schäden einzugrenzen. Zwar haben praktisch alle Befragten nach einem Datenschutzvorfall ihre technischen Sicherheitsmaßnahme verstärkt, trotzdem bescheinigt die Studie noch einen deutlichen Nachholbedarf – vor allem vor dem Hintergrund, dass die IT-Systeme von 75 % aller befragten Unternehmen regelmäßig von Angriffen betroffen sind.

Dazu kommen die Bedrohungen durch Insider. Bei 52 % der befragten Unternehmen war ein aktueller oder ehemaliger Mitarbeiter, bewegt von ganz unterschiedlichen Motiven, das Einfallstor. Aber auch Phishing kombiniert mit Social Engineering-Methoden hat einen erheblichen Anteil an erfolgreich lancierten Angriffen. Der Studienbericht weist ausdrücklich darauf hin, dass die „Sensorik im Unternehmen“ ausgeweitet werden muss. Will man Angriffe in einem frühen Stadium überhaupt als solche identifizieren, liefern Anomalien beispielsweise im Benutzerverhalten einen ersten Anhaltspunkt.

Das gilt unter anderem für Ransomware-Angriffe, die in den meisten Fällen so konzipiert sind, dass sie den Radar von Antivirensoftware unterlaufen. Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider, sehen die Systemaktivitäten aus wie die eines legitimen Nutzers…

Mittelstand im Fokus von Datendiebstählen

Praktisch ist jedes zweite Unternehmen bereits Opfer von Datenklau und Co. geworden. Und das sind nach den Bitkom-Erhebungen nicht nur Unternehmen mit einer Mitarbeiterzahl von über 500. Zwar liegen diese mit einem Anteil von 54 % noch über dem Mittelwert, am häufigsten erwischt es aber Unternehmen in der Größenordnung von 100 bis 499 Mitarbeitern. Nicht selten handele es sich dabei um Zulieferer für Großkonzerne. Zwar sind solche Unternehmen in ihrer Branche oft sogenannten „Hidden Champions“ mit Spezial-Know-how. Das heißt aber nicht unbedingt, dass sie über dieselben Mittel wie ein Großkonzern verfügen, wenn es um IT-Sicherheit geht.

Zudem vertrauen erstaunlicherweise gerade die als besonders sicherheitsaffin geltenden Deutschen ihren Partnern mehr als die Befragten aus den anderen Nationen. Nur wenige überprüfen, welche Dienstleister wie in ihre Systeme gelangen, geschweige denn welche Zugriffsberechtigungen vergeben worden sind. Das hatte schon eine Umfrage (der „Vendor Vulnerability Survey 2016“) ergeben, bei der mehr als 600 IT-Experten aus Deutschland, Großbritannien, Frankreich und den USA befragt worden waren. Warum gerade bei den Deutschen der Anteil der Vertrauensseligen so hoch ist, darüber kann man nur spekulieren. Bei der zitierten Umfrage sind es jedenfalls satte 92 % der Befragten, die ihren Dienstleistern so weit vertrauen, dass sie ihnen weitreichende Privilegien einräumen. Und das, obwohl bei Externen erwiesenermaßen eines der wesentlichen Einfallstore für Angriffe liegt.

Wer ist betroffen?

Wenig überraschend liegt die Automobilbranche unangefochten auf dem Spitzenplatz, gefolgt von der Chemie- und Pharmaindustrie. Danach allerdings haben sich erst kürzlich das Finanz- und Versicherungswesen und der Bereich Gesundheit dauerhaft in der Liste „etabliert“. Zumindest was diese Erhebung anbelangt liegen die Betreiber der Kritischen Infrastrukturen bei Angriffen nicht deutlich über oder unter anderen Wirtschaftszweigen. Was den regionalen Ursprung der Angriffe anbelangt unterscheiden sie sich allerdings von anderen Institutionen und Unternehmen. „Betrachtet man die KRITIS-Sektoren isoliert, so stammen die Täter bei den Betreibern Kritischer Infrastrukturen deutlich häufiger aus Russland, den USA, Westeuropa und China.“

Neben dem Diebstahl von Daten und Datenträgern sind verstärkt sensible elektronische Dokumente betroffen und IT-Angriffe mittlerweile auch jenseits der großen Schlagzeilen in deutschen Unternehmen alltäglich geworden. Drei von vier Unternehmen haben angegeben von IT-Angriffen betroffen zu sein, wenn auch in unterschiedlicher Intensität. Nahezu die Hälfte der befragten Unternehmen (45 %) gibt an, regelmäßig angegriffen zu werden, also mindestens einmal pro Monat, und immerhin noch 9 % sehen sich täglichen Angriffen ausgesetzt. Hier gibt es einen direkten Zusammenhang zur Größe des Unternehmens: Je größer die Organisation desto häufiger wird in dieser Weise attackiert. Zwar scheitern die meisten dieser Angriffe an der Firewall und/oder dem Virenscanner, aber gerade die besonders raffiniert programmierten Schadsoftware-Varianten schaffen es zunehmend häufiger bis ins Innere des Netzwerks. Und dort bleiben sie lange Zeit unerkannt.

Und das kostet….

Ein Ziel der Bitkom-Erhebung bestand darin, den aus Datendiebstahl, Wirtschaftsspionage und Sabotage entstehenden Schaden für die deutsche Wirtschaft zu beziffern. Selbst nach konservativen Berechnungen, so das Ergebnis, entsteht der deutschen Wirtschaft durch das Trio Wirtschaftsspionage, Datendiebstahl und Sabotage pro Jahr ein Schaden von 51 Milliarden Euro. Die Folgen sind weitreichend, wobei Unternehmen nach eigenen Angaben die größten Umsatzeinbußen durch nachgemachte Produkte (Plagiate) erleiden. Darüberhinaus gehen Wettbewerbsvorteile verloren, IT-Systeme, Produktions- und Betriebsabläufe nehmen Schaden, genauso wie das Image bei Kunden und Lieferanten. Oben drauf kommen die Kosten für datenschutzrechtliche Maßnahmen insbesondere gemäß der neuen EU-Datenschutz-Grundverordnung und nicht selten Kosten für anhängige Rechtstreitigkeiten.

Insider werden Täter

Wenn man sich schon länger mit den Aktivitäten rund um Daten und Dateien beschäftigt, überrascht es nicht besonders, dass eigene oder ehemalige Mitarbeiter zum Einfallstor für erfolgreiche Attacken werden. Und zwar sowohl mutwillig wie unbeabsichtigt. Bei 52 % der im Rahmen der Bitkom-Studie befragten Unternehmen waren es derzeitige oder ehemalige Mitarbeiter, die entweder zu Tätern wurden oder unbeabsichtigt einen Datenschutzvorfall verursachten. Auf Platz 2 der Urheber liegt dann immerhin noch das, was in der Studie als „unternehmerisches Umfeld“ bezeichnet wird. Dazu gehören Wettbewerber, Lieferanten und andere externe Dienstleister, aber auch Kunden, die vielleicht einen direkten Zugang zum Unternehmen haben. 39 % der Angriffe lassen sich auf diese Gruppe zurückführen.

Bleibt noch zu erwähnen, dass die befragten Unternehmen wenig Vertrauen in staatliche Stellen haben, wenn es darum geht, Angriffe in den Bereichen Wirtschaftsspionage, Datendiebstahl oder Sabotage aufzuklären. Organisationen setzen hier verstärkt auf interne Untersuchungen (53 %) oder auf die Hilfe von externen Spezialisten (30 %), weniger auf die Unterstützung durch staatliche Stellen (20 %). Gerade kleine und mittlere Unternehmen wünschen sich aber durchaus mehr Hilfestellung seitens des Staates, sei es durch wirtschaftliche Förderung, durch CERTs (Computer Emergency Response Teams), die sowohl präventiv als auch reaktiv tätig werden können, durch Experten und Arbeitskreise, personelle Beratung oder Regulierung.

Was ist zu tun?

Bei den technischen Sicherheitsmaßnahmen verfügen Unternehmen in Deutschland laut dem Branchenverband zwar über einen guten Basisschutz, bei Investitionen in umfassende Sicherheitsmaßnahmen seien sie aber immer noch zu zurückhaltend: „Nur 29 Prozent der befragten Unternehmen verfügen über eine Absicherung gegen Datenabfluss von innen (Data Leakage Prevention) und nicht einmal ein Viertel (23 Prozent) über spezielle Systeme zur Einbruchserkennung (Intrusion Detection)“ oder darüber hinausgehende und ergänzende Systeme. An dieser Stelle sind die Unternehmen durchaus selbstkritisch. Zwar sehen sich 39 % der Befragten ausreichend gerüstet, dennoch bekennt eine deutliche Mehrheit von 60 % vermutlich nicht umfassend genug gewappnet zu sein.

Fazit

Die Ansprüche an Unternehmenssicherheit haben sich dramatisch geändert und Firmen müssen darauf reagieren. Dazu gehören die technischen Sicherheitsvorkehrungen genauso wie die Schulung von Mitarbeitern, die noch viel stärker als bisher in Sicherheitskonzepte einbezogen werden sollten. Das schon angesprochene Umdenken in Sachen Schadensbegrenzung plus Prävention mit eingeschlossen: „Notwendig sind Maßnahmen zur Analyse und Beendigung des Angriffes, zur Wiederherstellung des Betriebszustandes, zur Datenwiederherstellung sowie zur Bewertung von Schäden.“

Quelle: https://www.bitkom.org/Publikationen/2015/Studien/Studienbericht-Wirtschaftsschutz/150709-Studienbericht-Wirtschaftsschutz.pdf