InfoGuard Cyber Security & Cyber Defence Blog

Was Jim Knopf mit Cyber Security zu tun hat – und was nicht

Geschrieben von Reinhold Zurfluh | 05. Aug 2016

Kennen Sie die Geschichte von Jim Knopf und Lukas, dem Lokomotivführer? Dort gibt es mit Herrn Tur Tur einen Menschen in der Gestalt eines Scheinriesen. Je näher man ihm kommt, desto kleiner präsentiert er sich dem Betrachter. Und verliert dabei seinen riesenhaften Schrecken. Ganz anders verhält sich das Internet und die sich darin tummelnden digitalen Risiken: Sie stimmen sicherlich zu, dass es sich hier um Scheinzwerge handelt. Erst bei eingehender Betrachtung aus der Nähe wird die ganze Tragweite ihrer Zerstörungskraft sicht- und realisierbar. Hier zeigen wir Ihnen auf, wovor Sie sich in Acht nehmen müssen und wie Sie diesem Riesen Herr werden!

Cyber Risiken 2016

Weil sich Cyber ständig weiterentwickelt, sind diese Risiken schwer vorherzusagen und die Kosten einer möglichen Attacke nicht abschätzbar. Damit Sie sich zukünftig besser gegen Cyber Attacken vorbereiten können, stellen wir Ihnen die wichtigsten Cyber Risiken vor, welche uns in den kommenden Monaten und Jahren drohen. Hier ist die Top-7-Hitliste:

  • DDoS: Der «Distributed Denial of Service» blockiert und legt Server und Websites lahm. Nicht nur grosse Online-Shop Betreiber wie die Migros oder Digitec sind betroffen. Sondern auch der lokale Maler oder der Dentalhygieniker um die Ecke. So wie jedes andere KMU auch.

  • Ransomware: Immer mehr Internetnutzer werden Opfer von Ransomware – also Lösegeld-Trojanern. Diese Schadprogramme sperren auf dem Computer Dateien, Ordner, oder gleich die ganze Festplatte. Anschliessend wird für die Freigabe Geld gefordert. Es muss aber nicht soweit kommen.

  • APT Advanced Persistent Threats: Der gezielte Angriff mit komplexen Technologien und Taktiken sowie aufwändigen Hintergrundinformationen eines Opfer-IT-Systems und dessen Umgebung richtet oft über einen längeren Zeitpunkt - und ganz unbemerkt - erheblichen Schaden an.

  • Cyber Crime & Wirtschaftsspionage: Neben Bestechung, Korruption, Unterschlagung und Bilanzfälschung gehört Cyber Crime heute mit zu den schlimmsten Verbrechen im unternehmerischen Alltag. Und diese Gefahr wird weiter steigen, da sind unsere Cyber-Experten überzeugt. Die Schattenwirtschaft der Cyber-Kriminalität im Darknet ist sehr gut organisiert und findet über dedizierte Plattformen und professionelle Stores statt.

  • Cloud Hacking: Die Cloud verfügt - anders als herkömmliche Netzwerke und Systeminfrastrukturen - über breitere Organisationsgrenzen und verteilte Kontrollpunkte, was die Sicherheitsaufgabe zusätzlich erschwert. Angreifer werden zunehmend die Cloud zum Ziel nehmen und die schlecht definierten Perimeter ausbooten.

  • Mobile Malware: Ein Drittel aller Datenschutzverletzungen stammen von Angriffen auf Apps. Neustes Beispiel ist die Webseite von 20 Minuten, die erst kürzlich von einem Trojaner infiziert wurde, um damit die Computer der Leser zu infizieren.

  • Soziale Manipulation (Social Engineering): Fast jeder ist Mitglied in einem sozialen Netzwerk und legt Privates offen. Wie unklug. Denn dabei öffnet man Tür und Tor für psychologisch gestützte Attacken wie Phishings-Angriffe. Ziel der Übung ist es, über gefälschte Webseiten oder offiziell wirkende E-Mails an die Daten des Benutzers zu gelangen.

 

Nötig sind ein Wahrnehmungswechsel und eine Verhaltensänderung

Die oben genannte Liste liesse sich beliebig fortsetzen. Tun wir aber bewusst nicht. Lieber wenden wir uns der Abwehr solcher Risiken und dem richtigen Umgang damit zu. Es muss ein Paradigmenwechsel stattfinden in der Informations- und IT-Sicherheit, sonst werden wir - werden Sie - von den Gefahren überrollt. Wir raten Ihnen dringend, sich folgenden drei Grundsätzen zu verschreiben:

  1. Verantwortung übernehmen statt Gleichgültigkeit zeigen: Die Gefahren aus dem Internet betreffen alle. Wirklich ALLE - nicht nur die grossen Unternehmen. Das müssen sich nun sowohl Arbeitgeber als auch Arbeitnehmer hinter die Ohren schreiben und entsprechend agieren.

  2. Prävention statt nur reaktive IT Sicherheit: Firewalls, Anti-Spam sowie Anti-Malware- oder Intrusion Detection-Systeme reichen nicht mehr aus. Es braucht ein vorausschauendes, proaktives Vorgehen. Es drängen sich Fragen auf wie «welches sind meine Assets», «wo liegen meine Risiken», «wo gibt es Schlupflöcher in unserem System», welche rechtzeitig gestopft werden müssen.

  3. Systematische Vorgehen statt Flickwerk: Jedes Unternehmen und jeder Sicherheitsverantwortliche muss sich die Fragen stellen: «Welches sind die wichtigsten Assets? Welche Systeme sind Business-kritisch? Was muss getan werden, wenn etwas passiert? Welche Schritte müssen auf- und ausgebaut werden?» Der Umgang mit Kundendaten. Kundenidentifikationsparameter müssen richtig gehandhabt und die Mitarbeitenden sensibilisiert werden.

Mit System zum Erfolg

Sicherheitsverantwortliche sind gut beraten, sich konsequent mit aktuellen und neuen Risiken auseinanderzusetzen und der Informationssicherheit das nötige Gewicht beizumessen. Internationale Standards wie beispielsweise die ISO/IEC 270xx Familie bieten ein anerkanntes Modell für die Einrichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung auf der Basis eines Informationssicherheits-Management-Systems (ISMS).

Der Masterplan zur maximalen Cyber Security

In der Systematik liegt der Schlüssel zum Erfolg. Mit diesen 9 Schritten erlangen Sie maximale Cyber Security für Ihr Unternehmen:

  1. Machen Sie sich mit der neusten Gesetzgebung und anderen Compliance-Vorgaben vertraut.
  2. Definieren Sie den Nutzen Ihrer Aktionen und erlangen Sie den Support des Top Managements und des Verwaltungsrats.
  3. Setzen Sie Cyber Security-Ziele.
  4. Wählen Sie ein passendes Cyber Security Framework aus.
  5. Führen Sie ein Risiko-Assessment ein
  6. Nehmen Sie die Implementation der Informationssicherheit  an die Hand.
  7. Machen Sie sich an die Umsetzung von gezielten Sicherheitsmassnahmen.
  8. Setzen Sie bei den Mitarbeitenden auf Awareness und Training.
  9. Überprüfen Sie kontinuierlich Ihre Informationssicherheit.

Cyber Security Ratgeber

Den Masterplan für maximale Cyber Security - inklusive der detaillierten Erklärung des oben genannten 9-Punkte-Plans - folgt in Kürze hier auf unserem Blog. Und zwar in Form unseres neuen, exklusiven Cyber Security Ratgebers. Sie dürfen gespannt sein!