Zu Unrecht wird Datenklau oftmals auf den Diebstahl von Bankdaten oder Identitätsmissbrauch von Privatpersonen beschränkt. Denn das Aufkommen des Internets der Dinge (IdD) und des industriellen Internets eröffnet auch zahlreiche Möglichkeiten zur Manipulation von Unternehmensdaten. Betrüger machen auch vor manchen scheinbar bedeutungslosen Daten von Mitarbeitern nicht Halt. Die wirtschaftlichen Folgen sind mitunter verheerend.
Mit 2,6 Milliarden gestohlenen Daten im Jahr 2017 (Quelle: Breach Level Index) gehört Datendiebstahl weiterhin zu den größten IT-Bedrohungen – und zwar mit steigender Tendenz (88 % mehr als 2016). Laut dem kürzlich veröffentlichten Kaspersky-Bericht über IT-Budgets für Cybersicherheit liegen die durchschnittlich durch Datenpannen verursachten Kosten für Unternehmen mittlerweile bei über 1,2 Millionen Dollar, was einem Anstieg von 24 % im Vergleich zu 2017 und sogar 38 % zum Jahr davor entspricht.
Datendiebstahl: Eine allgegenwärtige Gefahr für Unternehmen
Cyberkriminelle greifen für ihre Machenschaften gerne auf Passwortdiebstahl zurück. „Sogenannte Password-Stealer werden immer häufiger eingesetzt, da diese leicht zu verwenden sind und nur wenig kosten“, erklärt ein Mitglied des Security-Intelligence-Teams von Stormshield, das für die Analyse von für Cyberangriffe genutzten Tools verantwortlich ist. Die gestohlenen Passwörter werden dann in bares Geld umgewandelt, entweder durch die direkte Weiterverwendung oder den Verkauf. Die Password-Stealer sind jedoch bei weitem nicht die einzige unlautere Methode. Phishing, gefälschte Websites oder WLAN-Netzwerke und virenverseuchte USB-Sticks sind alles Optionen, um Daten zu stehlen, diese zu verschlüsseln und erst gegen Lösegeld wieder freizugeben oder um ganz einfach ein Informatiksystem in Mitleidenschaft zu ziehen. Ganz zu schweigen vom Internet der Dinge, das neue Schwachstellen aufwirft. „Das IdD hat die ursprünglichen Grenzen der Informationsinfrastruktur verwischt (…).“ Das Fazit einer im Juli vom SANS-Institut und ForeScout Technologies veröffentlichten Studie über die Sicherheit des industriellen Internets der Dinge lautet: „Eine Reihe von Peripheriegeräten erfüllt die Normen nicht (…), was das Engineering, die Sicherheit und die Verwaltung dieser Geräte sowie des Gesamtsystems erschwert.“
Auch in der Industrie selbst tut sich einiges. Durch das neue industrielle Internet und die Integration komplexer Systeme, die mit Netzwerksensoren und Software ausgestattet sind, müssen Daten durch die OT (Operational Technology) verwaltet werden. „Falls diese allerdings entwendet werden, kann das wirtschaftlich bedenkliche Auswirkungen haben wie Erpressung oder Verkauf von Industriegeheimnissen, Industriespionage oder Missbrauch durch Human Intelligence“, erklärt Robert Wakim, Offer Manager Industry bei Stormshield. „Das Problem ist noch kritischer im Gesundheitssektor, wo regelmäßig Betrug mit sensiblen Informationen wie personenbezogenen Daten begangen wird. Die Rufschädigung einer Person (z. B. Politiker oder Geschäftsführer) kann zum Beispiel ein Motiv für den Klau von Patientendaten sein und stellt somit ein Risiko in Krankenhäusern dar“, fügt er hinzu.
Sie haben es auf Mitarbeiter von Unternehmen abgesehen
Wirtschaftsspionage, Sabotage, Destabilisierung und „Chef-Betrug“ sind nur einige Beispiele für Angriffe, mit denen sich Unternehmen herumschlagen müssen.
Die Natur der eingesetzten Kanäle, wie soziale Netzwerke, wird zuweilen unterschätzt. „Cyberkriminelle unternehmen im Vorfeld größere Anstrengungen, damit ihre Opfer langsam ihre Wachsamkeit ablegen. Sie verbringen immer mehr Zeit damit, die Interessensgebiete bestimmter Mitarbeiter auszuloten, um ihnen eine persönliche E-Mail zu senden und somit Zugriff auf das Intranet des Unternehmens zu erhalten und dort Daten zu stehlen“, erläutert Stéphane Prévost, Produktmarketing-Manager bei Stormshield.
Jeder Mitarbeiter des Unternehmens ist eine potentielle Zielscheibe. „Chef-Betrug“ ist ein typisches Betrugsverfahren. Dabei gibt sich jemand als Chef des Unternehmens aus. Diese Betrugsmasche wird von den Medien bisher zwar noch stiefmütterlich behandelt, was jedoch nicht heißt, dass sie ein geringes Risiko für Unternehmen und öffentliche Organisationen darstellt. So wurde das französische Departement Nord vor kurzem zur Zielscheibe eines Cyberkriminellen, dem es gelang, 800.000 Euro zu unterschlagen [Artikel in französischer Sprache], indem er sich als Unternehmen ausgab, das angeblich an der Baustelle der Umgehungsstraße der Stadt Valenciennes mitwirkte. Im März dieses Jahres erbeutete jemand mit dieser Methode über 19 Millionen Euro vom französischen Kinobetreiber Pathé.
„Unternehmen werden nach wie vor über den Tisch gezogen. Nur die Vorgehensweisen sind jetzt noch einfacher und effizienter. Eine dieser Vorgehensweisen besteht darin, E-Mail-Postfächer zu hacken, um Nachrichten abzufangen. Diese E-Mails werden im Anschluss mit gefälschten Bankdaten versehen oder es werden falsche Rechnungen erstellt, die die Kunden dann bezahlen. Genau diese Methode wurde in Nordfrankreich eingesetzt“, erklärt Pierre-Yves Hentzen, Präsident von Stormshield, der selbst erfolgreich zwei Versuche von CEO-Betrug [Artikel in französischer Sprache] vereiteln konnte. Im Fall der nordfranzösischen Verwaltungseinheit genügten schon ein paar simple Angaben über die Auftragsarbeiten, um das Verbrechen zu begehen. Dabei wirken diese Daten doch recht harmlos im Vergleich zu Bankinformationen oder anderen persönlichen Unterlagen.
Um ihre Daten vor bösen Angriffen besser zu schützen, können Unternehmen bestimmte Sicherheitsvorkehrungen treffen. Der erste Schritt sind Präventionsmaßnahmen und die Sensibilisierung der Mitarbeiter für die Gefahren von Datendiebstahl. Da die Wachsamkeit des Menschen jedoch begrenzt ist, bedarf es auch wirksamer Sicherheitstools wie solcher zur Verschlüsselung sensibler Daten.
