IT Sicherheitsrisken gefährden mittelständische Unternehmen

Als Mitglied des Mittelstandsverbands "Die Familienunternehmer" (ASU/BJU) sind wir uns sehr bewusst, dass der Mittelstand nicht nur der Hauptarbeitgeber in Deutschland ist aber auch ein Hauptangriffsziel ausländischer Personenkreise ist. Die Innovation von Mittelständlern wird meist verkannt, da Konzerne das Budget haben für eine massive Selbstdarstellung haben. Diese Hidden Champions sind aber besonders innovativ und nachhaltig orientiert. Das macht sie aber noch attraktiver für Wirtschaftsspionage und Erpresung (Ransomware).

1. Angriffsziel - Internet der Dinge?


Risiken: Immer mehr Computer, Maschinen und allgemeine Systeme sind mit dem Internet verbunden. Dazu gehören nicht nur vernetzte Kühlschränke sondern auch komplette Fertigungsanlagen, Gebäudesteuerungsanlagen, Alarmanlagen, Überwachungskameras und Toröffner.

Gerade Maschinensteuerungen sind beliebte Angriffsziele, neben den üblichen Smart Home Produkten als auch IP basierende Überwachungskameras (webcams). Auch vernetzte Autos geraten immer mehr ins visier der Angreifer. Die Enthüllungen auf Wikileaks haben gezeigt, dass selbst manche Geheimdienste davor nicht zurückschrecken Erfindungen zu missbrauchen. Elektroautos sind eines der Hauptziele, wodurch auch Attentate und Entführungen gezielt vorgenommen werden sollten.

Der Schutz gegen solche Angriffe?

Die vielen Erfinder von IoT (internet of Things) Geräten müssen deutlich nachbessern, um die Angreifbarkeit von Geräten zu vermindern. Immer wieder werden solche Geräte gekappert und für Internet Attacken (z.B. Massenhafter Telekom Router Ausfall 2016) oder für boshafte Verleumdungskampangen (z.B. kapern von Twitter Konten für Hetze gegen die Niederlande). Darüberhinaus stellen Produkte aus bestimmten Ländern immer wieder signifikante Risiken dar, da sie Backdoors für ihre Heimatländer vorhalten. Diese Hintertüren können aber durch Kriminelle missbraucht werden.

Es reicht nicht mehr eine Firewall oder ein Antivirus Programm auf jedem Rechner zu haben. Eine Risikoanalyse muss an das Unternehmen angepasst sein, um alltagstaugliche Maßnahmen zu erarbeiten. Regeln an die sich keiner hält, braucht ein Unternehmen nicht.

2. Angriffsziel - Kritische Infrastruktur?


Risiken: Computer Netzwerke und Infrastruktursysteme (Energieversorger, Wasserversorgung, Medizinische Einrichtungen) sind das Angriffsziel von kriminellen Banden. Aufgrund der hohen Werte und Bedeutung können angreifer sowohl einen massiven Schaden anrichten als auch hoffen durch Erpressung erhebliche finanzielle Mittel zu bekommen. Diese finanziellen Mittel dienen nicht nur zur persönlichen Bereicherung (Luxusartikel) aber auch zur Finanzierung von terroristischen Organisationen. Daher sollte man sich gut überlegen, ob man Lösegeld zahlt.

Dabei gibt es auch staatlich gelenkte Attacken auf Infrastruktur, um digitale Angriffsszenarien zu erproben. Diese Cyberarmeen testen so ihre Cyberwaffen und können auf Befahl ihren Angriff ausweiten, so dass ihr Angriffsziel skalliert werden kann. Das hat man auch anhand von Schadsoftware gesehehn, die gezielt auf Steuerungssysteme von Siemens ausgelegt waren. Struxnet hat gezeigt, dass mehr den je unsere Unternehmen der öffentlichen Hand und privaten wirtschaft ihre Sicherheit nachhaltiger gestalten müssen. Sicherheit bassiert nicht allein auf Hardware oder Software Lösungen. Ein nachhaltiges und passendes Konzept ist notwendig.



Der Schutz gegen solche Angriffe?

Der Gesetzgeber hat in 2016 ein Gesetz in Kraft gesetzt, um kritische Infrastrukturen besser zu schützen. Die Absicherung ....