Keine Chance für Cyberattacken!

Foto: Achim Barth
Achim Barth: "Eine Datenschutzbehörde ist kein Gericht. Sie kann sich irren. Es ist schon vorgekommen, dass nicht die Aufsichtsbehörde, sondern dem Unternehmer Recht zugesprochen wurde."

Wie Finanzprofis ihr Unternehmen, ihre Kundendaten und Systeme vor Hackern schützen.

Wer im Internet agiert und digitale Technologien nutzt, ist zu jeder Zeit Cyberkriminellen ausgesetzt. Seit Beginn der Coronapandemie hat die Zahl der Attacken deutlich zugenommen. Von 2019 auf 2020 meldete das Bundeskriminalamt einen Anstieg um mehr als 15 Prozent, über 100.000 Angriffe auf Unternehmen wurden 2020 in Deutschland zur Anzeige gebracht. Die Dunkelziffer wird deutlich höher sein und die Einschläge kommen immer näher. Kaum ein Tag vergeht, an dem Medien nicht von versuchten oder erfolgreichen Cyberangriffen berichten.

Die Opfer kommen querbeet aus allen Branchen. Die meisten Vorstöße zielen nicht auf ein bestimmtes Unternehmen ab. Vielmehr trifft es Betriebe, die ihre IT-Systeme, Web- und Mailserver oder mobilen Arbeitsplätze nicht hinreichend gesichert haben. Für Unternehmen, die mit der Finanzberatung, -vermittlung und Co. ihr Geld verdienen, wäre eine Cyberattacke eine massive Katastrophe. Hier stehen nicht nur wichtige Daten und viel Geld auf dem Spiel, sondern auch die Existenz des Geschäfts. Haben die Kunden einmal das Vertrauen in die Sicherheit des Unternehmens verloren, wandern sie ab. Und warnen ihr Umfeld.

Zerstörung und Erpressung durch Malware

Die Bedrohungen sind vielfältig. Besonders selbstständige Finanzberater brauchen ein passendes Sicherheitskonzept. Erhöhtes Risiko ergibt sich im Alltag durch Malware wie Viren, Trojaner und Würmer. Der Begriff Malware setzt sich aus „malicious“ und „Software“ zusammen und bezeichnet bösartige Programme, die gewollt Schaden anrichten. Diese Schadware verbreitet sich meist durch geöffnete oder angeklickte Spam-E-Mails. Die Angreifer verschicken geschickt getarnte Nachrichten, um in das IT-System des Finanzexperten eindringen zu können. Gelingt der Durchbruch, können Unbefugte geheime Kunden- und Firmendaten einsehen, zerstören oder transparent machen.

Viele Unternehmen fürchten den Einsatz von Ransomware, eine Art Malware, die spezifisch auf Erpressung abzielt. Auch hier verschicken Angreifer Phishing-E-Mails, damit unbedarfte Kollegen den Anhang öffnen oder einen Link anklicken. Inzwischen wirken diese Mails so authentisch  – teilweise mit persönlichem Bezug (Spearfishing-Mail) – dass Empfänger nur nach vorheriger Unterweisung den kriminellen Charakter erkennen. Tappt doch jemand in die Falle, lädt sich das Schadprogramm heimlich im Hintergrund herunter. Zunächst bleibt es inaktiv, um in Ruhe das IT-System zu analysieren. Erst nach Tagen oder Wochen beginnt der Schädling, alle Daten auf Servern und Notebooks zu verschlüsseln. Für die Decodierung erpressen die Kriminellen einen Geldbetrag in Kryptowährung. Auf die gleiche Weise greifen Betrüger personenbezogene Infos, Kontodaten oder Vermögensverhältnisse von Kunden ab. Auch Firmendaten lassen sich im Darknet zu Geld machen.

Social Engineering – Kriminelle manipulieren Mitarbeiter

Eine weitere Strategie nennt sich Social Engineering. Diese Methode will Personen manipulieren, um  ein bestimmtes Verhalten hervorzurufen. Fast immer geht es darum, vertrauliche Informationen weiterzugeben, Interna zu verraten oder Geldsummen zu überweisen. Beim Social Engineering im Web arbeiten die Kriminellen nicht mehr mit Scannern, die das Internet automatisiert und querbeet nach Sicherheitslücken durchsuchen. Vielmehr stürzen sich die Akteure gezielt auf ein bestimmtes Opfer. Über die Homepage, Social-Media-Profile, Google-Recherchen, aber auch scheinbar harmlose Anrufe bei Kollegen ermitteln Hacker zahlreiche Fakten über das Unternehmen wie den Geburtstag des Chefs oder wann die Buchhaltung Urlaub macht.

So entsteht für die Betrüger Stück für Stück ein schlüssiges Gesamtbild, das die digitale Offensive möglich macht. Weiß der Hacker zum Beispiel, dass der Chef im Ausland weilt, klingelt er mit vertrauenswürdiger Stimme bei einem Stellvertreter durch – mit der überzeugenden Bitte, dringend Summe X zu überweisen. Diese Anliegen wird so gut begründet, dass schon viele Angestellte mit bestem Gewissen hohe Geldbeträge an irrtümlich-seriöse Kontakte angewiesen haben. Keiner der Opfer sah am Ende das Geld wieder. In Österreich verlor ein Unternehmen durch einen solchen Angriff mehrere Millionen Euro.

Tipps zum Hackerschutz: Stück für Stück zum sicheren Betrieb

IT-Systeme lassen sich von vielen Seiten bedrohen. Die Frage lautet: Wie können Finanzberater sich schützen? Als Erstes müssen Unternehmer ihre Hausaufgaben machen. Sprich, die gesetzlichen Vorgaben umsetzen, die die DSGVO von jedem Betrieb verlangt. Egal, ob es sich um ein Ein-Mann-Business, ein Büro mit mehreren Kollegen oder einen Big Player in der Branche handelt – die DSGVO fordert zum Beispiel in Artikel 32, dass Verantwortliche passende technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten ihrer Mitarbeiter, Kunden, Interessenten, Kollegen oder Dienstleister zu schützen.

Darüber hinaus schirmen vorbereitete Unternehmen auch andere Informationen vor Feinden ab. Produkte, Konzepte, Verträge, Firmengeheimnisse – all das gehört hinter Schlösser und Riegel. Finanzprofis überlegen sich, mit welchen Maßnahmen sie den Schutz garantieren und fremde Nasen in ihren Unterlagen verhindern können. Da geht es umZutrittskontrolle (wie sichere ich Verwaltungs-/Server-/Büroräume), Zugangskontrolle (wie sichere ich IT-Systeme wie Laptops oder Smartphones), Zugriffskontrolle (wie gewährleiste ich, dass jeder Mitarbeiter nur die für ihn relevanten Daten einsieht) und Trennungskontrolle (wie garantiere ich, dass Kundendaten nicht vermischt werden).

Gleichzeitig müssen Berater technische Maßnahmen entwickeln, die Daten so zu speichern, dass ein Personenbezug nicht direkt möglich ist. Unternehmer überlegen sich gemeinsam mit ihren IT-Verantwortlichen, wie sie Datenintegrität (Richtigkeit der Daten) und Datenverfügbarkeit (z.B. bei einem Wasserschaden) sicherstellen. Diesen IT-Sicherheit-Basisschutz muss jedes Finanzbüro mit Verstand und Augenmaß umsetzen. Die Devise lautet nicht, möglichst viele Schützengräben, Hochsicherheitszäune und Schutzmauern auszugraben oder aufzustellen. Vielmehr überzeugt ein angepasstes umsetzbares Konzept, das Datenschutz- und IT-Sicherheit ausreichend würdigt.

Am Ende bleibt noch die Schwachstelle Mensch – Mitarbeiter, die täglich mit Daten arbeiten. Chefs sollten ihr Team am besten jährlich zu Weiterbildung in diesem Bereich verpflichten. Auch Phishing-Simulationen sensibilisieren Anwender. Hierbei schickt ein Experte fingierte Spam-E-Mails in die Posteingänge der Crew. Wer die Mails öffnet, landet auf einer Lernwebsite.

Absoluten Schutz gibt es nicht

Die meisten Cyberangriffe gelingen durch eine löchrige IT, Fehlbedienung eines Systems, falsch geschultes Personal oder plötzliche technische Systemausfälle. Wer bei diesen Faktoren aufrüstet, macht Internetkriminellen das Leben schwer. Absoluten Schutz gibt es jedoch nie. Deshalb sollten Finanzunternehmen unbedingt zwei Rettungsmaßnahmen ergreifen: Jeder Betrieb braucht ein Back-up-System mit tagesaktuellen Sicherungen, Wochensicherungen, Monatssicherungen oder sogar Jahres-Back-ups. Verantwortliche überlegen sich eine pragmatische Strategie, die berücksichtigt, dass auch in Back-ups Schadcodes enthalten sein können. Die Back-up-Einspielung sollten Experten regelmäßig testen. Wer nicht ausprobiert, ob sich der Datenschatz in verschiedenen Szenarien einspielen lässt, dem nützt das Konzept im Ernstfall wenig. Nicht nur aus diesem Grund brauchen Unternehmer zu guter Letzt ein klares Notfallkonzept. Was ist zu tun und wer ist zu informieren, wenn Systeme längere Zeit ausfallen? Tritt der Notfall ein, sparen diese Vorüberlegungen jede Menge Zeit, Geld und Nerven.

Als digitaler Aufklärer kennt er sie alle – die Gefahren der Datenspinne, die Tricks der Datenräuber, aber auch zuverlässige Wege, wie jeder seine Privatsphäre im Netz schützen kann. Achim Barth ist einer der kompetentesten Ansprechpartner rund um den Schutz personenbezogener Daten. Zielgerichtet, sachkundig und immer up to date begleitet der mehrfach zertifizierte Datenschutzbeauftragte Privatleute und Unternehmen in die IT-Sicherheit. In Workshops, Seminaren und Vorträgen begeistert der Gründer von „Barth Datenschutz“ mit praktikablen Lösungen. Sein Fachwissen vermittelt er eingängig und unterhaltsam – sodass sowohl Unerfahrene als auch Technikfans vom Mehrwert und Wettbewerbsvorteil seines Know-hows profitieren. http://www.barth-datenschutz.de/

Weitere Artikel
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments