Eine Bonuszahlung für jeden Mitarbeiter in Höhe von 650 Dollar: Als die Angestellten des Hosting-Providers GoDaddy das in einer E-Mail lasen, war die Freude groß. Um sicherzustellen, dass man den Bonus korrekt auszahlen könne, sollten die Beschäftigten einen Link in der E-Mail anklicken. Der führte zu einem Formular, in dem Informationen ergänzt werden mussten.
Am DUB Digital Business Talk nahmen teil:
- Julia Nebe, Underwriter Haftpflicht & Cyber, Basler Versicherungen
- Sören Brokamp, Leiter Produktmanagement Cyber, HDI Versicherung
- Dr. Andreas Reinhold, Bereichsleiter Kompositversicherung Produktmanagement und Underwriting, Signal Iduna
- Brigitte Zypries, Bundeswirtschaftsministerin a.D. und DUB-Herausgeberin
Moderation: Arne Gottschalck, Redakteur, DUB UNTERNEHMER
Rund 500 Beschäftigte klickten den Link an und hinterließen die geforderten Daten. Zwei Tage später schickte ihnen ihr Arbeitgeber eine Folge-Mail. Darin wurden sie darüber informiert, dass sie durchgefallen seien. Denn die Bonus-Ankündigung war ein Phishing-Test. GoDaddy wollte herausfinden, wie kritisch Mitarbeiter mit E-Mail-Inhalten umgehen.
Angestellte als größte Schwachstelle
Phishing bezeichnet den Versuch von Cyberkriminellen, sich über täuschend echt wirkende E-Mails oder Webseiten als vertrauenswürdig auszugeben. Ziel ist es, auf diesem Wege etwa an persönliche Daten zu kommen oder Firmennetzwerke mit Schadsoftware, die sich beispielsweise in E-Mail-Anhängen verbirgt oder über Links unbemerkt heruntergeladen wird, zu infizieren. Um ihre Ziele zu erreichen, nutzen Kriminelle bevorzugt die größte Schwachstelle von Unternehmen aus: die Mitarbeitenden. Laut einer Umfrage des Sicherheitsspezialisten Cofense beginnen 91 Prozent der Cyberangriffe mit einer infizierten Mail.
Wie also Mitarbeitende für die Gefahren sensibilisieren? Regelmäßige Security-Awareness-Trainings sind eine Möglichkeit. Solch eine Schulung mussten übrigens auch alle GoDaddy-Angestellten absolvieren, die in der Hoffnung auf einen Bonus arglos auf den Link in der E-Mail geklickt hatten.
Doch hundertprozentige Sicherheit bieten solche Trainings auch nicht. Denn: „Angreifer haben erkannt, dass Mitarbeiter wachsamer werden und Attacken durchaus erkennen können“, sagt Sören Brokamp, Leiter Produktmanagement Cyber bei der HDI Versicherung. Also ändern sie die Taktik: „Sie lesen inzwischen E-Mail-Verkehre mit, imitieren die genutzten Schriftarten und antworten auf echte, bestehende E-Mails. Das erschwert es Mitarbeitern, Angriffe zu erkennen“, so Brokamp.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
„Big Game Hunting“ nimmt zu
Die Schäden, die durch Cyberkriminalität entstehen, steigen. Laut Digitalverband Bitkom entstand der deutschen Wirtschaft so zuletzt ein jährlicher Schaden von 102,9 Milliarden Euro – vor fünf Jahren lag dieser noch halb so hoch.
Im aktuellen IT-Sicherheitslagebild des Bundesamts für Sicherheit in der Informationstechnik und der französischen Agence nationale de la sécurité des systèmes d’information heißt es, man beobachte eine „gesteigerte Aggressivität der Erpressungsmethoden bei Ransomware-Angriffen sowie immer mehr Fälle des sogenannten Big Game Hunting, also hochprofessionelle und gezielte Angriffe auf zahlungskräftige Ziele“.
Es kann jeden treffen
Und dennoch wird die Gefahr nach wie vor unterschätzt. Cyberkriminalität sei eben ein relativ neues Risiko, betont Brokamp. Ein Risiko, das für viele Unternehmer nach wie vor schwer greifbar ist. Dabei kann es jeden treffen.
„Dax-Konzerne werden meiner Erfahrung nach eher Opfer von zielgerichteten Angriffen“, sagt Julia Nebe, Underwriter Haftpflicht & Cyber bei der Basler Versicherung. „Aber es gibt auch Unmengen von nicht zielgerichteten Angriffen – frei nach dem Motto ‚Wir verschicken einfach mal Tausende E-Mails und schauen dann, wo wir reinkommen‘. Und irgendwo finden Hacker immer eine offene Tür, um Schäden anzurichten.“ Meist treffe es dann kleine und mittelständische Unternehmen, deren Absicherungslevel nicht so hoch sei wie der bei Großkonzernen, so Nebe. Und gerade für kleine Unternehmen könne eine Cyberattacke schnell existenzbedrohend werden.
Andreas Reinhold von der Signal Iduna sagt: „Cybersicherheit ist keine Raketenwissenschaft.“ Er plädiert dafür, mit vernünftigen und ökonomisch sinnvollen Maßnahmen das Risiko für Angriffe zu reduzieren. Und dann gilt es, das Restrisiko mit einer Cyberversicherung abzusichern. Entsprechende Policen beinhalten weit mehr als nur finanzielle Entschädigungen. Versicherer unterstützen etwa beim Krisenmanagement und vermitteln Kontakt zu IT-Spezialisten, die im Notfall ganz praktisch dabei helfen, die Systeme wieder zum Laufen zu bringen.
Mehr Digitalisierung, mehr Absicherung
Laut Reinhold sind Cyberpolicen momentan die am stärksten wachsende Versicherungssparte. Das – so HDI-Mann Brokamp – liege vor allem daran, dass sich Geschäftsmodelle verändern, digitaler werden. „Wer zumindest Teile seines Geschäfts online abwickelt und damit von IT-Systemen abhängig ist, der hat auch eine gewisse Affinität zu Technik und ist damit für
die Risiken sensibilisiert“, sagt Brokamp.
Und deshalb – davon ist Nebe überzeugt – werden Cyberversicherungen in drei bis fünf Jahren für Unternehmer genau so selbstverständlich sein wie eine Feuer- oder Betriebshaftpflichtversicherung.