Inhalt

Cyber als Schlüsselfaktor für die Wahl des Geschäftspartners

Die veränderte Welt, in der wir seit dem Ausbruch der globalen Pandemie im Jahr 2020 leben, hat Cyberkriminellen besonders geholfen. Nichts veranschaulicht dies so gut wie der SolarWinds-Hack, der von Microsoft-Präsident Brad Smith als einer der raffiniertesten Cyberangriffen aller Zeiten bezeichnet wurde und dessen Nachhall noch im Jahr 2021 zu spüren war.

 


Von Mischa Kemmer
Information Security, Bank Julius Bär
 

 

Home-Office, die fortschreitende Digitalisierung der Gesellschaft und die zunehmende Online-Natur unseres Lebens bieten Hackern, Betrügern und Erpressern viele Möglichkeiten. Mit Blick auf das Jahr 2022 gibt es leider keine Anzeichen dafür, dass sich die Situation entspannt. Deshalb ist es für Unternehmen wie auch Privatpersonen von entscheidender Bedeutung, sich der ständig wachsenden Zahl von Angriffen bewusst zu sein und zu wissen, was man tun kann, um die Risiken zu verringern!

Werfen wir also einen Blick auf die wichtigsten und bedeutendsten Trends, unterlegt mit praktischen Hinweisen, so vermeiden Sie Opfer zu werden.

Cyber Security

Die Kosten der Cyberkriminalität für die Schweiz wird gemäss Comparitech auf 728 Millionen Dollar beziffert. Zum Vergleich: Weltweit beläuft sich der Schaden auf 318 Milliarden Dollar. Mit der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) ist ein Gesetz in Kraft getreten, dass bei Fehlern in der Informationssicherheit hohe Strafen fordern kann. Das bedeutet, dass jeder Partner, der potenziell Zugang zu den Daten oder Systemen eines Unternehmens hat, genauestens überprüft werden muss. Unternehmen, die nicht in der Lage sind, Fragen zu ihren Cybersicherheitsvorkehrungen oder -bewertungen zu beantworten, werden zunehmend das Nachsehen haben.

Ransomware

Bei Ransomware werden Geräte in der Regel mit einer Malware infiziert, welche die Dateien verschlüsselt und damit Lösegeld erpresst, in der Regel in Form von nicht zurück verfolgbarer Kryptowährung. Neuerdings wird auch damit gedroht, die Daten zu veröffentlichen, wodurch das Unternehmen, neben dem Reputationsrisiko, zusätzlich enormen Geldstrafen ausgesetzt ist.

Angreifer versuchen, Personen durch Täuschung dazu zu bringen, etwas zu tun, was diese eigentlich nicht wollen - in der Fachsprache als Social Engineering bekannt. Das dafür gewählte Szenario soll das mögliche Opfer emotional berühren oder dessen Interesse wecken. So wird auch Ransomware in der Regel durch Phishing-Angriffe verbreitet, bei denen Mitarbeiter eines Unternehmens dazu verleitet werden, auf einen Link zu klicken und damit den Computer mit Malware zu kompromittieren.

Awareness Massnahmen und Schulungen sind eine wirksame Methode, um dieser Art von Bedrohung entgegenzutreten. Untersuchungen haben gezeigt, dass Mitarbeiter, die sich der Gefahren dieser Art von Angriffen bewusst sind, viel seltener Opfer von solchen Angriffen werden.

Julius Bär bietet auf Anfrage Awareness-Schulungen für ihre EAM’s an, in denen unter anderem gezielt auf die Themen Social Engineering und Ransomware eingegangen wird.

IoT

Die Zahl der vernetzten Geräte - bekannt als das Internet der Dinge (IoT) - wird Prognosen zufolge bis 2025 rund 75 Milliarden Geräte erreichen. Dies hat unter anderem zur Folge, dass die Zahl der potenziellen Zugangspunkte für Cyberkriminelle, die sich Zugang zu sicheren digitalen Systemen verschaffen wollen, enorm steigt. Grund dafür ist die Tatsache, dass IoT-Geräte als besonders anfällig für Cyber Attacken gelten, da solche Geräte doch zahlreiche Schwachstellen aufweisen. IoT-Geräte sind oftmals rund um die Uhr in Betrieb, immer online und vor allem auch schlecht gewartet beziehungsweise werden nicht mit Software-Updates aktualisiert und sind selten überwacht. In der Vergangenheit wurden Angriffe festgestellt, bei denen Hacker angeschlossene Haushaltsgeräte ausnutzten, um sich Zugang zu Firmen- oder Heimnetzwerken zu verschaffen und von dort aus auf Computer oder Telefone zuzugreifen, auf denen wertvolle Daten gespeichert sind.

Beim Einsatz von IoT wird empfohlen, die Geräte vom Internet zu trennen, wenn diese nicht benötigt werden. Das Aktualisieren der Soft- bzw. Firmware ist eine wiederkehrende und wichtige Aufgabe. Nicht zuletzt muss sichergestellt sein, dass der Router betreffend Datenschutz und Sicherheit richtig konfiguriert ist, wie z. B. das Ändern des Default Passwortes und der Verzicht von Universal Plug and Play (UPnP).

Künstliche Intelligenz

Ähnlich wie bei der Betrugserkennung im Finanzdienstleistungsbereich kann künstliche Intelligenz (KI) der Cyberkriminalität entgegenwirken, indem sie Verhaltensmuster erkennt, die darauf hindeuten, dass etwas Ungewöhnliches geschieht. Diese Vorhersagekraft von KI macht sich hier sehr nützlich, weshalb immer mehr Unternehmen künftig in diese Lösungen investieren werden. Leider sind sich auch Cyberkriminelle der Vorteile von KI bewusst und so entstehen auch neue Bedrohungen, die Technologien wie Machine Learning (eine Unterart der KI) nutzen, um die Schutzmassnahmen der Cybersicherheit zu umgehen. Aber genau dieser Umstand macht KI umso wichtiger - denn es ist die einzige Möglichkeit, KI-gestützte Cyberangriffe abzuwehren!

Schützen Sie Ihr Unternehmen

Die Geschäftsleitung bleibt für die Cyber-Sicherheit eines jeden Unternehmens verantwortlich – unabhängig davon, ob sich ihre persönliche Expertise auf diesen Bereich erstreckt oder nicht. Obwohl technische Massnahmen einen wesentlichen Beitrag zur Gewährleistung der Informationssicherheit leisten, müssen diese technischen Massnahmen durch organisatorische Massnahmen ergänzt werden. Das Merkblatt Informationssicherheit für KMUs des Nationalen Zentrum für Cybersicherheit (NCSC) kann in diesem Zusammenhang empfohlen werden.

Falls gewünscht bietet Julius Bär ihren EAM-Kunden neben den bereits erwähnten Angeboten im Bereich der Awareness-Schulungen, Zugang zu Cybersicherheitsprüfungen via einem externen Partner.


Biografie

Mischa Kemmer leitet das Team Awareness & Consulting bei der Bank Julius Bär, welches schwergewichtig für die Schulung und Beratung der Mitarbeiter im Bereich der Informationssicherheit verantwortlich ist. Er stiess 2013 zur Bank Julius Bär und war davor u.a. als Information Security Officer bei zwei weiteren grossen schweizerischen Universalbanken tätig.