Pressemitteilung von Henry Wolter

Cyberrisiken - Herausforderungen,Strategien und Lösungen

---

---

Kein Monat vergeht ohne neue Meldungen zu Computerviren, Verschlüsselungstrojanern, Lösegeldforderungen oder sonstigen IT Pannen. Doch wie kommt es zu diesen Vorfällen? In einem "normalen" Unternehmen passiert das nicht?

Wetten dass doch?

Variante 1: Die Bewerbung
In unserer Zeit werden Bewerbungsunterlagen online zugesendet. Bei einem kleinen Unternehmen aus Köln ging eine solche Bewerbung ein, die Personalabteilung öffnete die Anlagen. Das Resultat: Ein Virus schlich sich ein und verbreitete sich auf die im Netzwerk registrierten Geräte. Zwei Tage lag die komplette IT lahm, neue Hardware musste angeschafft werden.

Bewerbung über Drop Box

Die Drop Box ist ein System, mit dem größere Datenmengen im Internet "versendet" werden. Genau dieses System wurde einem Kunden zum Verhängnis. Das exakt selbe Vorgehen wie bei der Onlinebewerbung brachte den Schaden.

Lösungen / Strategien:

Die Strategie mit dieser Bedrohung umzugehen ist einfach. Lässt sich aus der email eventuell der Name des Bewerbers ableiten, wer kennt den Bewerber? Ist eventuell in der E-mail selbst (ohne die Anlagen zu öffnen) eine Telefonnummer erkennbar, zum Beispiel in einer Signatur?
Falls nicht hat es sich bewährt, eine E-Mail an den Absender der Bewerbung zu senden mit der Bitte um Mitteilung der Telefonnummer. Wenn keine Antwort kommt, ist klar, was hinter der "Bewerbung" steckt.

Variante 2: Die falsche Email mit persönlichen Informationen

Im Internet hinterlässt jeder Spuren und ist somit persönlich ansprechbar und dadurch der Kandidat
für den Zugang zum Firmennetzwerk, unfreiwillig natürlich. Die Feier im Sportverein, der Sieg beim Tennis, die Spendenaktion, die Feuerwehrübung oder die Hilfsaktion für den örtlichen Kindergarten- für einen Hacker ist es ein Leichtes hier "aufzusatteln".
Ein aktueller Fall beweist das einfache Vorgehen. Ein Mitarbeiter, der übrigens im Bereich "unser Team" in der Homepage aufgeführt war, erhielt eine E-Mail vom einem Schützenverein. In der Anlage war eine "Einladung" zur Kür des Schützenkönigs enthalten.
Die "Einladung" war schuld an einem knapp 30.000EUR Schaden der IT inklusive einer Betriebsunterbrechung.

Was war passiert? Der angeschriebene Mitarbeiter wurde vor einem Jahr als bester Schütze ausgezeichnet, sogar die Zeitung war da und stellte den Bericht mit Namen und Bild online. Nachdem der Mitarbeiter nun eine E-Mail mit diesem persönlichen Bezug erhielt gab es kein Misstrauen den Anhang zu öffnen.

Lösungen / Strategien: Eine gute IT Versicherung, ansonsten ist ein Lösungsansatz kaum vorhanden. Wer allerding E-Mails mit Firmenfremden Inhalten öffnet, auch wenn diese an die Firmenemail gehen, macht sich angreifbar. Es bietet sich an, solche Vorfälle in der Firma offen zu kommunizieren, ohne Wertung natürlich. Somit werden die Mitarbeiter gut sensibilisiert.

Variante 3: Der "verlorene" USB Stick - mein Favorit!

Machen Sie sich doch ruhig mal den Spaß! Legen Sie bei sich zu Hause, vielleicht vor der Haustür oder beim Empfangsbereich Ihrer Firma einen USB Stick auf den Boden.
In 90% der Fälle wird ein Mitarbeiter garantiert nachschauen was drauf ist. Haben Firmen sogar eigene USB Sticks mit Firmenwerbung drauf, ist das Vertrauen sofort da. Was soll schiefgehen, ist doch ein firmeneigener Stick? Mal schauen wem der gehört...wo ist der nächste Computer?
Oh ein Virus!.... Stimmt, letztes Jahr hatten wir ja eine Werbeaktion wo wir 300 Sticks verschenkt haben.....
Wir sprachen ja von 90 % der Fälle..... in den restlichen 10 % der Fälle kommt bloß ein firmenfremder "Finder" dem Mitarbeiter zuvor und finden den Stick. Der gibt den dann am Empfang ab... sozusagen mit persönlicher Empfehlung.... "der gehört doch Ihnen... gelle?"

Wer reinkommen will kommt rein! Es gibt nur eine sichere Option für Firmen:

Wer reinkommen will kommt rein, wer schädigen will wird schädigen. Die hier genannten Fälle sind nur im Bereich "Hackerlevel: Anfänger" einzuordnen. Es geht auch drastischer. Beschreiben könnten wir es, es wäre aber nutzlos da solche Angriffe nicht zu verhindern sind. Die finanziellen Folgen können jedoch sehr wohl verhindert werden.
Spezielle Versicherungslösungen ersetzen die Kosten für den Austausch der Hardware, auch die Kosten für Forensik und Service. Hinzu kommen Lösegelder, Kosten für vertrauensbildende PR Maßnahmen nach einem öffentlich gemachten Angriff oder die Betriebsunterbrechung. Zusätzlich muss auch der Geschäftsführer, Manager oder leitender Angestellter gegen Haftpflichtansprüche der eigenen Firma geschützt werden. Personen in solch exponierten Positionen laufen ständig Gefahr für Fehler in Haftung genommen zu werden. Das finanzielle Risiko "Cybercrime" wird nicht mit einer Police gelöst, eine umfängliche Lösung kann nur durch ein Konzept dargestellt werden. Risikobereiche werden durch individuelle Konzepte, Risikobereich für Risikobereich, abgesichert. Mehr infos unter : Cyberversicherung Vergleich Kosten (http://www.transparent24.de/cyberversicherung/) Firmen- & Pressekontakt