Bereits 2019 zeigt die Kriminalstatistik des BMI eine immense Steigerung der Anzeigenzahl von Cyberdelikten in Österreich. Die Aufklärungsquote ist dagegen leicht gesunken.[1] Für 2020 wird eine weitere Verstärkung dieser Trends erwartet – nicht zuletzt wegen der COVID19-Verordnungen.
Die Bandbreite der Delikte ist weit gefächert: Von gezielten, professionellen Angriffen auf Unternehmen bis hin zu weit verbreiteten Fake-Web-Shops und anderen Betrugsversuchen via E-Mail und Soziale Medien wird alles erfasst, was zur Anzeige gebracht wird.
Privatanwender: Bewusstsein fehlt häufig noch
Eine Umfrage unter Privatanwendern, durchgeführt von Helvetia Austria im April 2020, bringt Nachholbedarf beim Thema IT-Sicherheit ans Licht: Nur etwa die Hälfte der Befragten kümmert sich um aktuellen Virenschutz und die Nutzung starker Passwörter. Nur ein Viertel der Teilnehmer erkundigt sich über aktuelle Betrugsmaschen im Internet. Eine Versicherung gegen Cyberangriffe besitzen rund drei Prozent. Rund 40% der Befragten sind jedoch bereits aktiv mit Internetbetrug in Berührung gekommen. Die häufigsten Kontakte waren dabei Phishing sowie gefälschte E-Mails und Websites.[2]
Großteil der Unternehmen bereits betroffen
Bei Unternehmen scheinen Cyber-Angriffe beinahe zum Alltag zu gehören: Über einen Zeitraum von zwei Jahren waren 80% der Unternehmen betroffen. In den letzten 12 Monate kam es bei 57% der Befragten zu Sicherheitsvorfällen, so die aktuelle KPMG Studie „Cyber Security in Österreich“ von März 2020.[3]
Rund ein Viertel der befragten Unternehmen verfügt über eine Cyberversicherung. Als besondere Herausforderung wird die Verschränkung der digitalen Transformation mit Cybersecurity wahrgenommen. Mit der Corona-Krise erfuhr dieses Thema eine neue Brisanz.
Unterstützungspaket der Europäischen Cybersecurity Organisation
Die ECSO – European Cyber Security Organisation hat eine kompakte Zusammenfassung erstellt, die Initiativen und Unterstützungsleistungen zum Thema „Cybersecurity in der Covid-19-Krise“ auflistet. Das Dokument auf https://www.ecs-org.eu/ wird regelmäßig aktualisiert und soll Unternehmen, aber auch private Nutzer bei der Suche nach Informationen und Angeboten unterstützen, um den Herausforderungen beim Thema Cybersecurity zu begegnen. [4]
[1] https://bundeskriminalamt.at/501/files/Broschuere_PKS_2019.pdf
[2] https://home.kpmg/at/de/home/media/press-releases/2020/05/cyber-security-widersprueche-bei-oesterreichischen-unternehmen.html
[3] https://www.helvetia.com/at/web/de/home/ueber-uns/media-investor-relations/neueste-pressemeldungen/2020/helvetia-studie-cyberschutz.html
[4] https://www.ecs-org.eu/documents/uploads/covid-19-cyber-package-release-4.pdf
ORF Magazin Thema: „Kriminalität im Netz explodiert“
Die alarmierenden Ergebnisse aktueller Statistiken zur massiv steigenden Internet-Kriminalität waren Inhalt eines Beitrags im ORF-Magazin „Thema“ im September 2019. Am Beispiel eines Hotels in Kärnten wurde gezeigt, wie Hacker den Betrieb lahmlegen und die Betroffenen zur Verzweiflung bringen können. Joe Pichlmayr, CEO von IKARUS Security Software, stellte dabei im Interview fest: „Es bedarf nur der kriminellen Energie und der Motivation, es zu tun. Cybercrime hat im Lauf der letzten Jahre eine unglaublich arbeitsteilige Spezialisierung erfahren. Sie können sich ähnlich wie in einem Supermarkt alles kaufen.“
Diese bedrohliche Entwicklung stellt viele Unternehmen vor massive Herausforderungen. IT-Systeme sind inzwischen in vielen Bereichen unentbehrlicher Bestandteil der täglichen Routine. Im betroffenen Hotelbetrieb funktionierten weder der Schankautomat oder der Zimmerzugang, noch konnten Abrechnungen vorgenommen werden. Jegliche Störung eines Teilsystems durch Angriffe oder Malware-Infektionen kann weitreichende Auswirkungen verursachen. Durch die steigende Verbreitung und zunehmende Komplexität der IT-Systeme sind die meist historisch gewachsenen Installation bei vielen KMU nicht mehr am aktuellen Stand der Technik. Viele neue Lösungen mit Digitalisierungsansatz erfordern flexible Kommunikation und werden allzu oft ohne sicherheitsrelevante Überlegungen in bestehende Landschaften implementiert. Oft fehlt das nötige Bewusstsein für mögliche Beeinträchtigungen und wichtige Gegenmaßnahmen – bis es zu einem Zwischenfall kommt.
Lesen Sie 5 strategische Schritte, mit denen jedes Unternehmen seinen IST-Stand abgleichen sowie konkrete Best-Practice-Tätigkeiten planen und umsetzen kann:
- Umfassende Planung & vollständige Dokumentation
Erfassen Sie lückenlos alle vorhandenen IT-Systeme in Ihrem Unternehmen – eigene sowie externe von Dritten. Die groben Aufgaben und einzelnen Teilfunktionen für Ihren Geschäftsablauf sollen dabei nach Priorität und Auswirkung festgehalten werden. Schon beim Einkauf und der Beauftragung von neuen Systemen oder ganzen Anlagen soll der IT-Beauftragte oder der externe IT-Dienstleister von Beginn an mit einbezogen werden. IT-Sicherheit von allen Systemen – Zutrittssystemen, Videoüberwachung, Schankanlagen, Abrechnungssystemen, Haussteuerung usw. – ist am effizientesten umsetzbar, wenn diese bereit bei der Implementation integriert wird. Verlangen Sie von Ihren PartnerInnen und Zuliefernden schon in der Angebotsphase entsprechende Sicherheits-Konzepte für den gesamten Lebenszyklus des Systems. - Umsetzung von Sicherheitszonen & Segmentierung
Verschiedene Systeme in Ihrem Unternehmen haben unterschiedliche Aufgaben und daher auch andere, differenzierte Sicherheitsanforderungen. Teilsysteme mit hoher Priorität sollen in einem IT-Netzwerk ausreichend getrennt werden, um mögliche negative Auswirkungen einzugrenzen. Die Einteilung erfolgt nach vorher identifizierter Prozesswichtigkeit und den davon abgeleiteten Anforderungen. Die Umsetzung kann nach dem Zwiebelprinzip mit Schichten von innen nach außen realisiert sein. Im Kern befindet sich z.B. ein besonders wichtiges Zutrittssystem oder eine komplexe Maschinensteuerung, die vielleicht auch physikalisch isoliert ist. In einer zweiten Ebene sind auch ablaufrelevante Systeme, wie Planungs-, Logistik- oder andere höhere Steuersysteme zu finden. Auf der letzten Stufe sind immer deutlich getrennt von den darunterliegenden Schichten die allgemeinen Büro- oder auch Gästenetzwerke zu finden. - Zugriffskontrollen nach dem Prinzip „Least Privilege“
Gewachsene Netzwerke unterscheiden oft nicht zwischen verschiedenen Risiken und Anforderungen einzelner Teilsysteme. Um mögliche Gefahren und Beeinträchtigungen effektiv zu begrenzen, hilft nur eine Segmentierung und Einschränkung auf die wirklich nötigen Kommunikationsarten. Zwischen den einzelnen Bereichen sollen z.B. über eine Firewall nur die absolut notwendigen Zugriffe von intern vertrauenswürdigen Quellen erlaubt sein. Dadurch können sich Malware oder Hacker von allgemeinen Systemen, z.B. einem durch Web-Surfen infiziertem Bürorechner, nicht uneingeschränkt ausbreiten. Auch hierbei findet das Zwiebelprinzip Anwendung – interne Systeme greifen nur auf die nächsthöhere Ebene zu, nicht weiter. „Unsichere“ Systeme (z.B. ein Büro-Netzwerk, in dem im Internet gesurft wird) sollen sich nicht unkontrolliert auf wichtige interne Systeme (z.B. Zutritts- oder Steuerungssysteme) verbinden können. - Laufende Updates & Kontrolle
Alle vorhandenen IT-Systeme sollen regelmäßig und zeitnah mit Updates versorgt werden – auch jene von Drittherstellern. Kontrollieren Sie mögliche externe Zugänge von PartnerInnen und Dienstleistenden auf Rechtmäßigkeit, um möglichst keine Hintertüren offen zu lassen. Die Gesamtlandschaft soll in angemessenen Abständen (z.B. ein bis zwei mal pro Jahr) vollständig einer Überprüfung ausgesetzt sein, um festzustellen, ob alle Systeme erfasst und Regeln noch den Anforderungen entsprechen. Nötige Nachbesserungen können ein Ergebnis von solchen Untersuchungen, die die Risikominimierung unterstützen und die Betriebssicherheit erhöhen. Setzen Sie dabei auf kompetente Dienstleister und sparen Sie nicht an der falschen Stelle. - Backup & Wiederherstellung
Erstellen Sie für jedes System nach Dringlichkeit eine zeitliche angepasste Backupstrategie sowie einen Wiederherstellungsplan. Dabei soll nicht nur die Software, sondern auch mögliche Ausfälle der Hardware berücksichtigt werden – wo können z.B. Ersatzteile besorgt werden? Einzelne Vorgänge bei den Wiederherstellungen müssen wie Feuerübungen regelmäßig geprobt werden – nur dann ist sichergestellt, dass sie im Fehlerfall wirklich funktionieren. Für besonders wichtige Systeme sollen entsprechende Redundanzen oder mehrfache Sicherungen existieren. Berücksichtigen Sie bitte auch die Verfügbarkeit der MitarbeiterInnen oder Dienstleistenden, die Sie bei Bedarf unterstützen und die technischen Prozesse steuern und überwachen können.
IT-Sicherheit, und somit die Sicherstellung der Funktion ihres Unternehmens, ist ein stetiger Prozess und keine einmalige Umsetzung. Joe Pichlmayr geht davon aus, „dass solche Angriffe mit kriminellem Hintergrund in Zukunft noch stärker zunehmen werden. Durch die Einführung immer neuer und zusätzlicher Funktionalitäten gilt es, hierbei das IT-Gesamtsystem Ihres Unternehmens vollständig zu betrachten.“ Neben einer guten Schulung der MitarbeiterInnen für aktuelle Gefahren wie Phishing oder Ransomware sind für Erhaltung der IT-Sicherheit kompetente PartnerInnen äußerst wichtig. IKARUS als spezialisiertes österreichisches Security-Unternehmen unterstützt Sie sehr gerne!
Linktipps:
ISIS12 – InformationsSicherheitsmanagementSystem in 12 Schritten
IKARUS mail.security mit ATP: Schutz vor Ransomware, Spam und gezielten Angriffen
Malware Intrusion: 5 Schritte, wenn die eigene Website gehackt wurde
ORF Magazin Thema: „Kriminalität im Netz explodiert“
Die alarmierenden Ergebnisse aktueller Statistiken zur massiv steigenden Internet-Kriminalität waren Inhalt eines Beitrags im ORF-Magazin „Thema“ im September 2019. Am Beispiel eines Hotels in Kärnten wurde gezeigt, wie Hacker den Betrieb lahmlegen und die Betroffenen zur Verzweiflung bringen können. Joe Pichlmayr, CEO von IKARUS Security Software, stellte dabei im Interview fest: „Es bedarf nur der kriminellen Energie und der Motivation, es zu tun. Cybercrime hat im Lauf der letzten Jahre eine unglaublich arbeitsteilige Spezialisierung erfahren. Sie können sich ähnlich wie in einem Supermarkt alles kaufen.“
Diese bedrohliche Entwicklung stellt viele Unternehmen vor massive Herausforderungen. IT-Systeme sind inzwischen in vielen Bereichen unentbehrlicher Bestandteil der täglichen Routine. Im betroffenen Hotelbetrieb funktionierten weder der Schankautomat oder der Zimmerzugang, noch konnten Abrechnungen vorgenommen werden. Jegliche Störung eines Teilsystems durch Angriffe oder Malware-Infektionen kann weitreichende Auswirkungen verursachen. Durch die steigende Verbreitung und zunehmende Komplexität der IT-Systeme sind die meist historisch gewachsenen Installation bei vielen KMU nicht mehr am aktuellen Stand der Technik. Viele neue Lösungen mit Digitalisierungsansatz erfordern flexible Kommunikation und werden allzu oft ohne sicherheitsrelevante Überlegungen in bestehende Landschaften implementiert. Oft fehlt das nötige Bewusstsein für mögliche Beeinträchtigungen und wichtige Gegenmaßnahmen – bis es zu einem Zwischenfall kommt.
Lesen Sie 5 strategische Schritte, mit denen jedes Unternehmen seinen IST-Stand abgleichen sowie konkrete Best-Practice-Tätigkeiten planen und umsetzen kann:
- Umfassende Planung & vollständige Dokumentation
Erfassen Sie lückenlos alle vorhandenen IT-Systeme in Ihrem Unternehmen – eigene sowie externe von Dritten. Die groben Aufgaben und einzelnen Teilfunktionen für Ihren Geschäftsablauf sollen dabei nach Priorität und Auswirkung festgehalten werden. Schon beim Einkauf und der Beauftragung von neuen Systemen oder ganzen Anlagen soll der IT-Beauftragte oder der externe IT-Dienstleister von Beginn an mit einbezogen werden. IT-Sicherheit von allen Systemen – Zutrittssystemen, Videoüberwachung, Schankanlagen, Abrechnungssystemen, Haussteuerung usw. – ist am effizientesten umsetzbar, wenn diese bereit bei der Implementation integriert wird. Verlangen Sie von Ihren PartnerInnen und Zuliefernden schon in der Angebotsphase entsprechende Sicherheits-Konzepte für den gesamten Lebenszyklus des Systems. - Umsetzung von Sicherheitszonen & Segmentierung
Verschiedene Systeme in Ihrem Unternehmen haben unterschiedliche Aufgaben und daher auch andere, differenzierte Sicherheitsanforderungen. Teilsysteme mit hoher Priorität sollen in einem IT-Netzwerk ausreichend getrennt werden, um mögliche negative Auswirkungen einzugrenzen. Die Einteilung erfolgt nach vorher identifizierter Prozesswichtigkeit und den davon abgeleiteten Anforderungen. Die Umsetzung kann nach dem Zwiebelprinzip mit Schichten von innen nach außen realisiert sein. Im Kern befindet sich z.B. ein besonders wichtiges Zutrittssystem oder eine komplexe Maschinensteuerung, die vielleicht auch physikalisch isoliert ist. In einer zweiten Ebene sind auch ablaufrelevante Systeme, wie Planungs-, Logistik- oder andere höhere Steuersysteme zu finden. Auf der letzten Stufe sind immer deutlich getrennt von den darunterliegenden Schichten die allgemeinen Büro- oder auch Gästenetzwerke zu finden. - Zugriffskontrollen nach dem Prinzip „Least Privilege“
Gewachsene Netzwerke unterscheiden oft nicht zwischen verschiedenen Risiken und Anforderungen einzelner Teilsysteme. Um mögliche Gefahren und Beeinträchtigungen effektiv zu begrenzen, hilft nur eine Segmentierung und Einschränkung auf die wirklich nötigen Kommunikationsarten. Zwischen den einzelnen Bereichen sollen z.B. über eine Firewall nur die absolut notwendigen Zugriffe von intern vertrauenswürdigen Quellen erlaubt sein. Dadurch können sich Malware oder Hacker von allgemeinen Systemen, z.B. einem durch Web-Surfen infiziertem Bürorechner, nicht uneingeschränkt ausbreiten. Auch hierbei findet das Zwiebelprinzip Anwendung – interne Systeme greifen nur auf die nächsthöhere Ebene zu, nicht weiter. „Unsichere“ Systeme (z.B. ein Büro-Netzwerk, in dem im Internet gesurft wird) sollen sich nicht unkontrolliert auf wichtige interne Systeme (z.B. Zutritts- oder Steuerungssysteme) verbinden können. - Laufende Updates & Kontrolle
Alle vorhandenen IT-Systeme sollen regelmäßig und zeitnah mit Updates versorgt werden – auch jene von Drittherstellern. Kontrollieren Sie mögliche externe Zugänge von PartnerInnen und Dienstleistenden auf Rechtmäßigkeit, um möglichst keine Hintertüren offen zu lassen. Die Gesamtlandschaft soll in angemessenen Abständen (z.B. ein bis zwei mal pro Jahr) vollständig einer Überprüfung ausgesetzt sein, um festzustellen, ob alle Systeme erfasst und Regeln noch den Anforderungen entsprechen. Nötige Nachbesserungen können ein Ergebnis von solchen Untersuchungen, die die Risikominimierung unterstützen und die Betriebssicherheit erhöhen. Setzen Sie dabei auf kompetente Dienstleister und sparen Sie nicht an der falschen Stelle. - Backup & Wiederherstellung
Erstellen Sie für jedes System nach Dringlichkeit eine zeitliche angepasste Backupstrategie sowie einen Wiederherstellungsplan. Dabei soll nicht nur die Software, sondern auch mögliche Ausfälle der Hardware berücksichtigt werden – wo können z.B. Ersatzteile besorgt werden? Einzelne Vorgänge bei den Wiederherstellungen müssen wie Feuerübungen regelmäßig geprobt werden – nur dann ist sichergestellt, dass sie im Fehlerfall wirklich funktionieren. Für besonders wichtige Systeme sollen entsprechende Redundanzen oder mehrfache Sicherungen existieren. Berücksichtigen Sie bitte auch die Verfügbarkeit der MitarbeiterInnen oder Dienstleistenden, die Sie bei Bedarf unterstützen und die technischen Prozesse steuern und überwachen können.
IT-Sicherheit, und somit die Sicherstellung der Funktion ihres Unternehmens, ist ein stetiger Prozess und keine einmalige Umsetzung. Joe Pichlmayr geht davon aus, „dass solche Angriffe mit kriminellem Hintergrund in Zukunft noch stärker zunehmen werden. Durch die Einführung immer neuer und zusätzlicher Funktionalitäten gilt es, hierbei das IT-Gesamtsystem Ihres Unternehmens vollständig zu betrachten.“ Neben einer guten Schulung der MitarbeiterInnen für aktuelle Gefahren wie Phishing oder Ransomware sind für Erhaltung der IT-Sicherheit kompetente PartnerInnen äußerst wichtig. IKARUS als spezialisiertes österreichisches Security-Unternehmen unterstützt Sie sehr gerne!
Linktipps:
ISIS12 – InformationsSicherheitsmanagementSystem in 12 Schritten
IKARUS mail.security mit ATP: Schutz vor Ransomware, Spam und gezielten Angriffen
Malware Intrusion: 5 Schritte, wenn die eigene Website gehackt wurde