22.02.2021 | Jens Kersten

Cyberangriffe im KMU Bereich, die unterschätzte Gefahr

Ooops, your files have been encrypted! Mit dieser Meldung begann am 12.5.2017 der bisher größte Cyber Angriff aller Zeiten. Schätzungsweise 230.000 Computer in 150 Ländern wurden infiziert, Festplatten verschlüsselt und Lösegeld gefordert: ein Milliardenschaden. Der Ransomware Angriff mit dem Namen WannaCry überraschte viele Firmen. Größtenteils wurden kleine und mittlere Firmen angegriffen und nicht wie man vielleicht vermuten würde DAX Unternehmen. Und das aus dem einfachen Grund, dass in den meisten KMU Unternehmen die IT-Sicherheit nicht den eigentlich erforderlichen Stellenwert hat.

Besonders Deutschland ist Fokus, da im internationalen Vergleich die Firmen relativ wohlhabend sind, aber die IT-Sicherheit unterdurchschnittlich ist. Ein bevorzugtes Ziel für alle Hacker. Während die großen deutschen Unternehmen die Gefahr erkannt haben und massiv in Personal und Ressourcen investieren, sieht es im Mittelstand und bei kleinen Firmen noch ganz anders aus.

Lang sind die Zeiten vorbei wo ein Einzelner im heimischen Keller aus Spaß oder Idealismus Unternehmen gehackt hat. Heutzutage ist Cyberkriminalität ein Geschäftsfeld, wo im großen Stil Firmen erpresst, Information gestohlen und IT-Infrastruktur für andere Zwecke missbraucht werden. Diese Entwicklung nimmt seitdem weiter zu und ich selbst habe immer öfter bei Kunden und Partnern, wie Arztpraxen, Architekturbüros oder Modemarken, erlebt, dass diese Opfer von Cyberangriffen wurden.

Die Schwierigkeit ist mit dieser Entwicklung mitzuhalten. Hier beginnt oftmals schon das erste Problem. Sind Netzwerke mittels einer Firewall relativ gut nach außen geschützt, bestehen im internen Netz meist keine ausreichenden Sicherheitsmaßnahmen. Es reicht oft ein einziger technischer oder menschlicher Fehler um das gesamte Firmennetz zu infiltrieren. Heutzutage kommen leider die meisten Angriffe von innen.

Weiterlesen auf Seite 2

Momentane Bedrohungslage

Die aktuell gefährlichste Malware ist Emotet. Wie andere Ransomware verschafft es sich Zugriff über Social Engineering, also das Ausspähen einzelner Mitarbeiter. In E-Mails, als Anhang, Bild oder manipulierter Links getarnt. Einmal infiltriert spät Emotet die E-Mail-Kommunikation aus und versucht darüber zum Beispiel Geschäftspartner anzugreifen. Im Schneeballprinzip greift damit Emotet immer mehr Personen an. Wenn die gesamte Infrastruktur infiziert ist, wird diese an Dritte vermietet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vermutet, dass diese Mieter auch wieder Cyberkriminelle sind, die weitere Malware nachladen wie z.B. Trickbots, die Passwörter beim Online Banking mitlesen. Ziel ist es so viele Zugangsdaten und vertrauliche Dokumente wie möglich zu sammeln. Dann am Tag X, nach Wochen oder Monaten, werden alle Server und Daten verschlüsselt und bei nicht Bezahlung eines Lösegeldes veröffentlicht oder gelöscht. Diese Angriffe sind im KMU Umfeld sehr erfolgreich, da meist keine Notfallkonzepte vorliegen, wie mit einem Hackerangriff umgegangen werden soll. Davon abgesehen das Virus vollständig zu entfernen und den ursprungszustand wiederherzustellen.

Laut BSI sind durch Hackerangriffe allein in Deutschland in Jahre 2019 100 Milliarden Euro Schaden entstanden. Mehr als jedes zweite Unternehmen berichtet 2020 mindestens einmal Opfer eines Angriffes geworden zu sein. 12% fürchten sogar um ihre Existenz. Die Dunkelziffer ist wahrscheinlich deutlich höher, da viele Firmen Angriffe gar nicht erkennen.

Wie kann man sich als Mittelstandsfirma mit vertretbaren Aufwand besser vor solchen Angriffen schützen?

Einen Angriff zu 100% zu verhindern ist faktisch unmöglich, aber man sollte es den Hackern so schwer wie möglich machen sich auszubreiten. Aus diesem Grund sollte dem internen Firmennetz das gleiche Vertrauen schenkt werden wie dem Internet. Eine Segmentierung des Firmennetzes ist unabdingbar. Hierfür gibt es Konzepte wie das Zero Trust Modell.

Am Anfang sollte besonderer Wert auf die Basis IT-Hygiene gelegt werden, wie:

  • Aktueller Patch Level und Bug fixes
  • Komplexitätsrichtlinien für Passwörter
  • Unnötige Ports auf der Firewall blockieren
  • Begrenzung der Zugänge zu Sensible Daten

Auch sind Regelmäßige offline Backups essenziell, um nach einem Angriff wieder handlungsfähig zu sein. Zusätzlich ist neben allem technischem Aufwand wichtig die Mitarbeiter zu sensibilisieren. Erst dann zahlen sich weiterreichenden Security Lösungen aus.


Nächste Schritte

Wie beim Auto der TÜV sollte auch die IT-Infrastruktur durch einen Spezialisten einem gründlichen IT-Security Check unterzogen werden. Bei TechData gibt es einen eigenen Geschäftsbereich der sich nur mit Security Themen beschäftigt.

Falls Sie neue Wege gehen möchten könnte die Migration zu einem Cloud Provider wie Microsoft eine Lösung sein. Seit diesem Jahr ist Microsoft zum größten Security Anbieter im Markt aufgestiegen. Jedes Jahr investiert Microsoft Milliarden in Security Themen. Einer der großen Unterschiede ist das Cloudanbieter proaktive nach Schwachstellen in ihren Lösungen suchen, mittels Penetrationstest. Die Erfahrung die Microsoft hier sammelt werden in den Form von Tools und Empfehlungen an die Kunden weitergegeben. Mit Funktionen wie 2FA-Zwei Faktor Authentifizierung und Conditional Access lassen sie die meisten Angriffe bereits verhindern. Mittels Azure Security Center können Schwachstellen in der eigenen IT-Infrastruktur besser erkannt werden. Im Falle eines erfolgreichen Angriffs  kann mit Azure Sentinel einer SIM-Security Management Lösung der Angriffsverlauf nachvollzogen, Logs gesichert und daraus Handlungsempfehlungen erstellt werden.

Welchen Weg Sie auch immer Wählen, wichtig ist, dass Sie eine Strategie haben mit Cyberangriffen umzugehen!

Über den Autor

Jens Kersten | Website

Jens Kersten ist seit März 2019 bei der TechData als Azure PreSales Engineer in der Cloud Abteilung tätig. Zuvor war er bei der T-Systems im Datacenterbetrieb in verschiedenen Rollen, später bei der Matrix und Microsoft als Azure Consultant tätig. Mit diesem Wissen unterstützt er unsere Partner bei der Realisierung von Azure Projekten.

  • Drei Fragen an den Autoren

    Was ist deine Funktion bei Tech Data?

    Technical Presales Specialist

    Wie lange bist du schon beim Unternehmen?

    Im März 2021 sind es 2 Jahre

    Auf welchem Wege kann man dich bei Fragen kontaktieren?

    Am besten via E-Mail unter Jens.Kersten@techdata.com

Zur Specialists Übersicht