Webinar_Andreas_Dolezal_Geschaeftsmodell_Cybercrime

Cyberangriffe und Datendiebstähle nehmen dramatisch zu. Homeoffice hat das Risiko von Cyberangriffen stark steigen lassen. Studien zufolge wurde jedes vierte Unternehmen in den vergangenen Jahren Opfer eines Datendiebstahls, jedes zehnte wurde von Hackern erpresst. Während die Kriminalität insgesamt zurückgeht, nimmt die Cyberkriminalität stark zu. Als besonderer Risikofaktor zeigt sich das Homeoffice.

Noch nie war es so unverzichtbar sich vor Cyber-Attacken zu schützen!

Grundlage bildet die Datenschutz-Grundverordnung, also der gesetzliche Datenschutz inklusive etwaiger berufsrechtlicher Bestimmungen zur Vertraulichkeit. In Artikel 5 besagt die DSGVO:

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Technische und organisatorische Maßnahmen (Hardware & Software) müssen gemäß Artikel 32 DSGVO dem Stand der Technik entsprechen, also stets auf dem aktuellen Stand sein:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; (…)

Die Geldbußen bei Verstößen sind enorm. Sie reichen bis zu 20 000 000 Euro oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs ( je nachdem, welcher der Beträge höher ist).

Kontrolliert und überwacht wird dies von der österreichischen Datenschutzbehörde DSB, die mit wenigen dutzend Mitarbeitern sämtliche ca. 335 000 Unternehmen in Österreich zu überwachen hat. Eine Übersicht über die von der DSB bis dato verhängten Geldbußen finden Sie auf folgender Internetseite: enforcementtracker.com (externer Link).

Cyber-Attacken sind etwas Alltägliches, genau genommen Sekündliches

Unsere Daten und IT-Landschaft sind rund um die Uhr, 365 Tage im Jahr und 24 Stunden am Tag, beruflich wie privat bedroht. E-Mail-Accounts, surfen im Internet, kommunizieren via Netzwerk, mobile Datenträger und nicht zuletzt Social Engineering sind ständig präsente Gefahren. Darüber hinaus werden beinahe tagtäglich neue Datenlecks bekannt.

Die Digitalisierung nimmt rasant zu. Kein Unternehmen der Welt funktioniert mehr ohne IT. Digitale und Cloud-Transformation sowie Big Data Analysen („ Daten sind das neue Rohöl“) und zunehmend Künstliche Intelligenz sind aus dem geschäftlichen Alltag nicht mehr wegzudenken. Unterstützt wird diese Entwicklung durch immer günstigeren Speicherplatz & Rechenleistung, immer schnellere CPUs, immer mehr und kleinere Computer, immer mehr verbundene und „smarte“ IT-Geräte .

Banner_Andreas_Dolezal_Anmeldung_Newsletter

Geld als „Lohn“ für Cyber-Kriminelle gewinnt an Bedutung. Ransomware (Angreifer legen Daten & IT-Systeme lahm und fordern Lösegeld), Phishing (Angreifer entlocken Zugangsdaten, um dann z.B. hemmungslos online zu shoppen, Überweisungen zu tätigen usw.) und Software mit Sicherheitslücken sind lohnende Methoden bzw. Angriffsziele. Dabei wissen Angreifer oft ganz genau, in welcher Liga ihre Opfer spielen. SIe passen beispielsweise die Höhe der Lösegeldforderung an die „Zielgruppe“ an.

Die Höhe des Lösegeldes ist dabei weniger das Problem, sondern viele mehr die angerichtete Schaden durch Betriebsunterberechung und leidende Reputation. Zum Problem kann auch die Art der Bezahlung werden, denn meist werden Bitcoins als Lösegeld gefodert – und nicht alle Opfer sind fit genug für Zahlungen in Kryptowährungen. Außerdem ist das Bezahlen des Lösegeldes keine Garantie für das Freigeben der gekaperten Daten und IT-Systeme.

Die Liste an potentiellen Schwachstellen ist lang:

  • Mangelnde IT-Sicherheit (gerade in KMU & EPU sowie bei IT-Sicherheit in „Eigenregie“)
  • Dezentrales arbeiten & Homeoffice verstärken den Trend
  • Zunehmende Komplexität der IT
  • Nichterkennen erster Anzeichen (Angriffe werden unentdeckt vorbereitet)
  • „Gefahrenfaktor Mensch“, besonders „Gefahrenfaktor Chef“
  • Unachtsamkeit und Nachlässigkeit (Phishing, Dateianhänge usw.)
  • Social Engineering (deutsch: Soziale Manipulation, Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen, ausgenutzt werden dabei menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität, dadurch können Personen so manipuliert werden, dass sie unzulässig handeln, Angriffe erfolgen auch im Technologie-Mix via E-Mail, Telefon, Chat-Nachrichten, aber auch persönlich)

Eine der zentralen Schutzmaßnahmen lautet: Zuerst DENKEN, dann KLICKEN!

Cybercrime as a Service

Hacker mit bösen Absichten müssen heutzutage nicht zwingend über technisches Knowhow verfügen. Im Darknet gibt es „Cybercrime as a Service“, also Cyberangriffe auf Bestellung für kleines Geld. Schon für wenige Euro bzw. US-Dollar können DDoS-Attacken bestellt werden, die Datennetze und Internetseiten lahmlegen.

DIe Strafverfolgung scheitert oft an der globalen Vernetzung der Angreifer. Viele Angriffe werden auch gar nicht zur Anzeige gebracht, die Dunkelziffer ist höchstwahrscheinlich weit größer als die offiziellen Zahlen im Cybercrime Report des Bundeskriminalamtes (externer Link).

Zum echten Problem für betroffene Opfer kann auch Identitätdiebstahl werden, wenn also Kriminelle die eigene Identität für zwielichtige Zwecke missbrauchen. Vorschub leisten wir dem Identitätsdiebstahl unter anderem durch unsere Datenspuren, die wir jeden Tag im Internet hinterlassen sowie den Informationen, die wir freizügig in sozialen Medien preisgeben. Dies veranschaulicht auf entlarvende Weise das YouTube-Video „Amazing mind reader reveals his gift“ (externer Link).

Unbemerkter Datendiebstahl ist ein Problem unserer vernetzten und digitalisierten Welt. Sozial Medien und Apps sammeln ebenso unentwegt Daten und Informationen wie Suchmaschinen, Mobilfunkbetreiber und Automobilkonzerne. Auch Messenger-Dienste wie WhatsApp geraten zunehmend in Kritik.

Webinar_Andreas_Dolezal_Online-Meetings_Webinare

Die Folgen von erfolgreichen Cyber-Attacken

  • Verlust von Daten & Informationen : personenbezogene Daten sind rechtlich relevant, Data Breach erfordert ggf. Meldung an DSB & Info an Betroffene
  • Störung/Ausfall des Geschäftsbetriebes, weil Daten nicht mehr verfügbar oder unbrauchbar sind, keine Bestellungen & keine Lieferungen, keine Rechnungen & keine Gehälter für Stunden und womöglich Tage
  • Ausfall von Kommunikationskanälen: keine E-Mail, kein Internet, kein VoIP usw.
  • Zeitverlust für Abwehr des Angriffes und ggf. das Organisieren von IT-Experten
  • Zeitverlust durch das Neuinstallieren von Systemen und Geräten sowie das Wiederherstellen der Daten
  • Zeitverlust durch versäumte & nachzuholende Aufgaben/Termine/Lieferungen usw.
  • Reputationsverlust gegenüber Kunden, Lieferanten & Geschäftspartnern
  • Verstoß gegen gesetzliche Pflichten, z.B. DSGVO, DSG, GewO, VAG
  • Entstehende Kosten für Wiederbeschaffung von Geräten, Wiederherstellung von Daten, IT-Experten, Rechtsanwälte, Sanktionen der DSB, Lösegeld

Schutz vor Cybercrime

Unternehmen stehen vor einem Dilemma. Während Angreifer nur eine Schwachstelle finden müssen, die sie zu einem beliebigen Zeitpunkt ausnützen können, um nach beliebig vielen Versuchen nur einmal erfolgreich zu sein, müssen Verteidiger alle Schwachstellen vermeiden, jederzeit für Schutz sorgen, dabei immer erfolgreich sein, denn schon ein Fehler kann verheerend sein.

Sichere Passwörter, die ausreichend (je nach Schutzniveau) lang und komplex sind, liefern den Basisschutz. Ob diese zeitlich begrenzt oder biometrisch sein sollen, ist auch Geschmackssache, denn IT-Experten sind sind dabei uneins. Jede Art von Passwörtern hat Vor- und Nachteile. Ratsam ist jedenfalls eine Zwei-Faktor-Authentifizierung.

Geschäftliche Passwörter & Login-Daten dürfen niemals privat genutzt werden, ebenso wie private Passwörter & Login-Daten niemals geschäftlich nutzen werden dürfen. Dies gilt auch für E-Mail-Accounts und IT-Geräte. Geschäftliche E-Mail-Accounts & IT-Geräte niemals privat nutzen, private E-Mail-Accounts & IT-Geräte nicht geschäftlich nutzen. Dies führt u.a. auch zu einer untrennbaren Vermischung von Daten.

Sichere Verbindungen für den Datentransfer sind ein Muss, wie zum Beispiel:

  • SSL/TLS für E-Mail-Accounts – auf allen Endgeräten
  • VPN-Verbindung für „sensible“ Daten und große Datenmengen
  • eventuell Remote Desktop-Lösungen und
  • HTTPS für Internetseiten.

Viele Cyber-Attacken nutzen als Einfallstor den Posteingang. Daher gilt: Zuerst denken, dann klicken! Sensibilisieren & schulen Sie Ihre Mitarbeiter! Es hilft wenig, wenn nur der Chef Bescheid weiß.

Banner_Andreas_Dolezal_Anmeldung_Newsletter

Aktivieren Sie Firewall & Virenschutz-Programme am Desktop-PC, Laptop, Tablet, Smartphone, Speicherträger usw., und installieren was Sie nur was Sie tatsächlich brauchen. Stellen Sie sicher, dass auch Ihre Mitarbeiter dies auch im Homeoffice tun.

Installieren Sie Updates und Patches zeitnahe (Betriebssystem, Web-Browser, Software – insbesondere Virenschutz-Programme) usw., nutzen Sie die automatische Aktualisierung und spielen Sie Sicherheitsupdates umgehend ein. Deinstallieren Sie nicht benötigte Programme und Programme, zu denen der Hersteller keine Updates & Patches mehr liefert (Windows 7!).

Verwenden Sie einen aktuellen Web-Browser und beschäftigen Sie sich mit den Einstellungen Ihres Browsers (privater Modus, Verlauf & Cookies löschen, Cookies nicht für Drittanbieter zulassen, usw.). Blockieren Sie Werbung (Ad-Blocker) und speichern Sie möglichst keine Login-Daten im Browser (und wenn doch, dann nur mit einem wirklich starken Master-Passwort).

Wenn Sie technisch nicht fit genug sind, holen Sie sich Unterstützung von Profis. Die beste Firewall, der beste Virenschutz usw. sind nutzlos, wenn sie nicht korrekt installiert und richtig konfiguriert sind! Vorsorge ist besser als Nachsorge!

Nutzen Sie WhatsApp & Co. nicht geschäftlich. Der Daten-Transfer ist zwar in der Regel sicher, weil verschlüsselt, aber Messenger-Dienste sammeln trotzdem viele Daten und greifen oft auf den Speicher und/oder Kontaktdaten zu. Achtung bei Aufzeichnungspflicht!

Installieren Sie ausschließlich Apps, die Sie tatsächliche benötigen. Apps aus sicheren Quellen downloaden und nicht mehr genutzte Apps sowie Apps, die keine Updates & Patches mehr liefern, löschen. Prüfen Sie Zugriffsrechte, z.B. Standort, kritisch (insbesondere nach Updates!) und treffen Sie Regelungen für Mitarbeiter mit Firmen-Smartphone.

Vorsicht beim Nutzen öffentlicher WLANs! Dazu gehören auch Gäste-WLANs von Firmen. Schalten Sie digitale Sprachassistenten während der Arbeitszeit aus, nur so ist sichergestellt, dass diese IT-Geräte nicht lauschen.

Speichern Sie Ihre Daten sicher. Wo speichern Ihre Mitarbeiter im Homeoffice Daten? Ist die Verbindung zum zentralen Datenspeicher (File-Server, Cloud) sicher? Sind gespeichert („sensible“) Daten verschlüsselt?
Werden Zugriffe auf den Speicher dokumentiert bzw. haben ausschließlich berechtigte Mitarbeiter Zugriff? (Stichwort Berechtigungsmanagement). Lokal sollten Daten nur im Notfall gespeichert werden! Sicherungskopien von Daten in der Cloud erstellen.

Erstellen Sie regelmäßig Sicherungskopien. Online (automatisch) ist bequem, aber der Datenspeicher ist vernetzt und damit von innen & außen angreifbar. Offline (manuell) ist nicht so bequem, aber der Datenspeicher ist nicht vernetzt und damit vor Cyber-Angriffen sicher. Sicherungsdatenträger sicher verwahren und vor unbefugtem Zugriff schützen (Verschlüsselung!?)

Testen Sie die Wiederherstellung der Sicherungsdaten regelmäßig, denn Niemand will BACKUP, alle wollen RESTORE! Sicherungskopien sind nutzlos, wenn sich die Daten im Fall der Fälle nicht wiederherstellen lassen. Löschen Sie Daten sicher. Sicher löschen bedeutet überschreiben. Denken Sie dabei an: Laptops, Tablets, Smartphones , mobile Datenträger (USB-Sticks usw.), Drucker & Kopierer, Cloud-Speicher, E-Mail-Accounts usw.

Benennen Sie einen zentralen Ansprechpartner für alle Fragen zu Organisation, Datenschutz & IT. Legen Sie ein Verfahren für Datenschutzvorfälle fest: was ist wie schnell und wie an wen zu melden? Beachten Sie: wenn ggf. die Datenschutzbehörde informiert werden muss, haben Sie dafür max. 72 Stunden Zeit.

Machen Sie sich Gedanken über einen Notfallplan und spielen Sie Notfälle vorsorglich durch. WIe kommunizieren Sie ohne E-Mail, ohne Internet, ohne VoIP, ohne Meeting-Tool usw. mit Ihren Mitarbeitern, IT-Experten, Kunden (Betroffenen) usw.?

Nutzen Sie z.B. die Tools der WKO, etwa die Online-Ratgeber (externer Link) oder die Cybersecurity-Hotline (externer Link). Auch die IT-Sicherheitshandbücher (für EPU/KMU sowie Mitarbeiter) (externer Link) sind eine gute Informationsquelle Informieren Sie sich über aktuelle Bedrohungen und abonnieren SIe Newsletter, z.B. WKO, BSI, Watchlist Internet, onlinesicherheit.gv.at. Sichern Sie sich den Support von IT-Experten, denn im Fall der Fälle brauchen Sie schnelle Hilfe! Die paar Euro sind gut investiert! Beim Abschluss einer Cyber-Versicherungen achten Sie auf das „Kleingedruckte“ und/oder wenden Sie sich an den Versicherungsmakler Ihres Vertrauen.

Aber seien Sie sich trotz alles Schutzmaßnahmen darüber im Klaren:

100 % Sicherheit gibt es nicht!


Banner_Andreas_Dolezal_Anmeldung_Newsletter


Disclaimer: Diese Inhalte stellen einen allgemeinen, unvollständigen und unverbindlichen Überblick zu den Themen Datenschutz & IT-Sicherheit sowie Schutz vor Cyber-Angriffen dar. Es handelt sich um KEINE VOLLSTÄNDIGE UND ABSCHLIESSENDE INFORMATION! Eine individuelle Betrachtung sowie ggf. die Inanspruchnahme von spezialisierten (Steuer-/Rechts-/IT-)Beratern kann durch die Inhalte nicht ersetzt werden. Die Inhalte beruhen auf zuverlässigen Quellen und geben den Wissens- und Erfahrungsstand des Verfassers im Mai 2021 wieder.