Verstöße gegen die Cybersicherheit können zu erheblichen finanziellen Verlusten für Unternehmen führen. Bedrohungsakteure können böswillige Aktivitäten durchführen, wie den Diebstahl geistigen Eigentums, das Lahmlegen von Systemen durch Ransomware-Angriffe oder das Vortäuschen vertrauenswürdiger Identitäten, um sich unberechtigten Zugang zu Netzwerken zu verschaffen. Diese Verstöße können auch den Ruf von Unternehmen schädigen, was zu einem Verlust an Wettbewerbsfähigkeit und zu Umsatzeinbußen führen kann. Selbst die Reaktion auf Sicherheitsvorfälle kann Kosten verursachen, da wichtige IT-Support-Ressourcen von anderen wesentlichen IT-Funktionen abgezogen werden. Um diesen Bedrohungen wirksam zu begegnen, sollten Unternehmen ihre Cybersicherheitsanstrengungen strategisch auf die Angriffsarten ausrichten, die ihre Branche am ehesten betreffen.
Kostspielige Angriffsmuster
Es ist unrealistisch, alle Cyber-Sicherheitsrisiken zu eliminieren. Stattdessen sollten sich Unternehmen auf die Angriffsmuster konzentrieren, die die größte Bedrohung darstellen und die Angreifer wahrscheinlich am meisten Geld einbringen. Zu diesen Mustern gehören Ransomware und Pretexting.
Laut dem Verizon 2024 Data Breach Investigations Report (DBIR) kostet ein Ransomware-Angriff ein Unternehmen durchschnittlich über 42.000 Euro und kann in einigen Fällen sogar in die Millionen gehen. Dieses Angriffsmuster kann Organisationen, die sich keine Ausfälle leisten können, enorm unter Druck setzen. Für solche Unternehmen gibt es keine Alternative. Entweder sie zahlen das Lösegeld und verlieren Geld, oder sie erleiden Ausfallzeiten beim Versuch, die Systeme wiederherzustellen, und verlieren ebenfalls Geld.
Pretexting ist nicht nur kostspielig, sondern nimmt auch immer mehr zu und macht ein Viertel aller finanziell motivierten Cyberangriffe aus. Sie werden häufig zur Durchführung von Business Email Compromise (BEC)-Angriffen verwendet, die eine Organisation durchschnittlich 47.000 Euro kosten. BEC-Angriffe können besonders gefährlich sein, da sie sich häufig gegen hochrangige Führungskräfte und das Management richten, die in der Regel Zugang zu hochsensiblen Unternehmensinformationen haben. Man könnte annehmen, dass ihre Konten am sichersten sind, aber das ist oft nicht der Fall, da die IT-Abteilung dazu neigt, für sie Ausnahmen von den Sicherheitsprotokollen zu machen.
Branchen mit hohem Risiko
Branchen mit kritischer Infrastruktur oder sensiblen Informationen sind für Cyberkriminelle oft wertvolle Ziele, da Ransomware hier besonders verheerende Auswirkungen haben kann.
Ein Hersteller kann es sich beispielsweise nicht leisten, dass eine Produktionslinie in seinem Werk über einen längeren Zeitraum ausfällt. Die Auswirkungen können sich auf die gesamte Lieferkette erstrecken, wobei die Kosten potenziell exponentiell ansteigen können. Dies kann sich auf die Beziehungen eines Herstellers zu seinen Zulieferern und Einzelhändlern auswirken und seinen Ruf in der Branche schädigen. Angesichts des zunehmenden Drucks werden die Hersteller wahrscheinlich immer stärker gezwungen sein, die Kosten zu tragen. Dazu wurde NIS2-Richtlinie überarbeitet, um die Sicherheit von Netzen und Informationssystemen in kritischen Unternehmen zu verbessern. Der Anwendungsbereich wird nun auf zusätzliche national kritische (wesentliche und wichtige) Unternehmen (Organisationen mit mehr als 50 Mitarbeitern) ausgeweitet.
Krankenhäuser und andere Gesundheitseinrichtungen sind einer doppelten Bedrohung ausgesetzt: Vertrauliche Patienteninformationen können in die falschen Hände geraten und lebenswichtige medizinische Geräte wie Infusionspumpen können gehackt werden. Durchgesickerte Patientenakten können den Ruf einer Gesundheitseinrichtung erheblich schädigen, während kompromittierte medizinische Geräte ein Krankenhaus dazu zwingen können, Lösegeld zu zahlen, um die Gesundheit der Patienten nicht zu gefährden.
Die Bedrohung durch menschliches Versagen
Angreifer haben oft unfreiwillige Komplizen: die Mitarbeiter eines Unternehmens. Mehr als zwei Drittel (68 %) der Sicherheitsverletzungen werden durch nicht böswilliges menschliches Versagen (DBIR) verursacht, z.B. wenn ein Mitarbeiter versehentlich auf eine bösartige E-Mail oder einen Textlink klickt, was zu einer Sicherheitsverletzung führt. Mitarbeiter können durch Pretexting-Techniken getäuscht werden, was zu einem BEC-Angriff (Business Email Compromise) führt. Manchmal werden sie nicht einmal Opfer eines Cyber-Angriffs. Sie senden einfach sensible Informationen an die falsche E-Mail, z. B. wenn ein Mitarbeiter des Gesundheitswesens vertrauliche Patientendaten an einen unbeabsichtigten Empfänger sendet.
Minimierung des finanziellen Risikos von Sicherheitsverletzungen
Um das finanzielle Risiko von Sicherheitsverletzungen zu minimieren, sollte ein Unternehmen die häufigsten und destruktivsten Bedrohungen identifizieren (insbesondere diejenigen mit den potenziell höchsten finanziellen Kosten). In der Produktion kann im schlimmsten Fall eine Produktionslinie von einem Bedrohungsakteur als Geisel genommen werden. Die Vorbereitung auf dieses Szenario erfordert einen Notfallplan, der auch die Wiederherstellung im Katastrophenfall umfasst. In Krankenhäusern hingegen kommt es häufig zu Fehllieferungen, wenn Mitarbeiter des Gesundheitswesens eine E-Mail an die falsche Adresse senden. Verbesserte Zugangskontrollen können helfen, diese und andere Fehler zu vermeiden.
In der Diskussion über digitale Identitäten werden nichtmenschliche Identitäten (NHIs) oft übersehen und an den Rand gedrängt. NHIs umfassen ein breites Spektrum digitaler Identitäten, die mit Anwendungen, Diensten und Maschinen verbunden sind. Dazu gehören Bots, OAuth-Tokens, API-Keys und Dienstkonten – Anmeldeinformationen, die es Maschinen ermöglichen, sich zu authentifizieren, auf Ressourcen zuzugreifen und miteinander zu kommunizieren, sowohl in kritischen als auch in nicht kritischen Umgebungen. Insbesondere Organisationen, die in diesem Bereich tätig sind, müssen sorgfältig darüber nachdenken, wie sie mit Unternehmen umgehen, die einen umfassenden Versicherungsschutz bieten. Nur so können wirksame Sicherheitsmaßnahmen ergriffen werden, die das Risiko minimieren.
Da Bedrohungsakteure häufig menschliche Fehler ausnutzen, kann die Schulung von Mitarbeitern in bewährten Verfahren der Cybersicherheit und in Angriffsmustern einen wichtigen Beitrag zur Verringerung der Verwundbarkeit von Unternehmen leisten. Mitarbeiterschulungen allein reichen jedoch nicht aus: Um die finanziellen Kosten von Sicherheitsverletzungen zu reduzieren, müssen Unternehmen in robuste Lösungen zur Bedrohungserkennung und Perimetersicherheit investieren. Es heißt, man braucht Geld, um Geld zu verdienen. Nun, es braucht auch Geld, um Geld zu sparen.
Von Ashish Khanna, Senior Managing Director, Verizon Business (Security Consulting Services)
Bild/Quelle: https://depositphotos.com/de/home.html