Jetzt sollten die (Klein-)Unternehmer unter Euch auf jeden Fall weiterlesen.
Wahrscheinlich seid Ihr es leid, immer wieder von Phishing-Angriffen, Datenschutzverletzungen und sogar von Möglichkeiten zur Verbesserung Eurer Cybersicherheit zu hören. Manchmal scheint es, als würden sich die Cybersecurity-Bedrohungen für kleine Unternehmen im Laufe der Jahrzehnte kaum ändern; schließlich versuchen wir immer noch, effektive E-Mail-Virenfilter zu entwickeln.
Das ist jedoch nicht ganz richtig. Jedes neue Jahr bringt andere Bedrohungen mit sich und die Notwendigkeit, Mitarbeiter weiterhin über Cybersicherheit aufzuklären. Es ist wichtig, neu zu bewerten, was die aktuell besten Cybersicherheitspraktiken für ein kleines Unternehmen sind.
Für das Jahr 2021 waren einige dieser Angriffe brandneu, andere erfreuen sich einer erneuten Beliebtheit. Alle sind gefährlich. Werfen wir also einen Blick auf sie und darauf, wie Ihr Euch, Mitarbeiter und Euer Unternehmen schützen könnt.
1. SMS-Phishing
Der Anstieg von SMS-Phishing ist einer der herausragenden Trends des Jahres 2020 in der Welt der Cybersicherheit geswesen. Er kam für viele überraschend, da die Erfolgsquote von E-Mail-Phishing-Angriffen rückläufig war. Die Menschen wurden sich dieser Art von Hacker-Taktik einfach immer bewusster.
Es scheint jedoch, dass der bloße Wechsel des Mediums, über das Phishing-Nachrichten übermittelt werden – von E-Mail zu kurzen Textnachrichten – viele Menschen vorerst täuschen konnte. Das liegt wahrscheinlich daran, dass wir es einfach nicht gewohnt sind, SMS-Nachrichten als Träger für Spam oder bösartige Zwecke zu verwenden. Stattdessen vermitteln SMS-Nachrichten in der Regel ein persönliches Gefühl (weil wir es gewohnt sind, sie von Freunden zu erhalten). Oder ein offizielles, weil sie auch für MFA (Multi-Faktor-Authentifizierung) von Online-Banking-Systemen verwendet werden.
Auch wenn das Übermittlungssystem für diesen Zweck neu ist, bedeutet das nicht, dass neue Tools benötigt werden, um es zu bekämpfen. Wenn Ihr bewährte Geschäftspraktiken befolgt, indem Ihr Eure Mitarbeiter darin schult, wie man einen Phishing-Angriff erkennt, sollte der Hinweis, dass diese auch per SMS ankommen können, ausreichen, um die meisten Mitarbeiter davor zu schützen, auf diese „neue“ Cybersecurity-Bedrohung für kleine Unternehmen hereinzufallen.
2. Anspruchsvolle Ransomware
Ransomware ist ein weiterer Typ, der – an sich – nicht neu ist. (Für diejenigen unter Euch, die noch nie von Ransomware gehört haben: Es handelt sich um eine Form von Malware. Sie verschlüsselt Eure Daten und fordert dann ein Lösegeld für deren Freigabe. Gehäuft sind jedoch neue, ausgefeilte Formen von Malware aufgetaucht, die alles bisher Dagewesene übertreffen.
Die anfänglichen Hauptziele dieser neuen Malware-Typen waren große Unternehmen mit vielen sensiblen Daten, die es zu stehlen galt, und viel Geld war nötig, um sie zurückzubekommen. Um sich vor solchen Angriffen zu schützen solltet Ihr zum antivirus wie TotalAV greifen, um Eure Daten zu schützen.
Der Anstieg von Ransomware war einer der Gründe, warum die Kosten für Datenschutzverletzungen gestiegen sind; ein Bericht von IBM aus dem Jahr 2018 zeigte, dass die durchschnittlichen Kosten für eine Datenschutzverletzung weltweit bei 3,86 Millionen US-Dollar liegen. Der Bericht für 2019 nennt globale Durchschnittskosten von 3,92 Millionen Dollar pro Datenschutzverletzung. Also… immer noch steigend und jetzt auch auf kleine und mittlere Unternehmen abzielend.
Für kleine Unternehmen bedeutet der Schutz der Systeme vor Ransomware, dass Ihr Euch auf Eure verschiedenen Anbieter von Cybersicherheitssoftware verlassen müsst. Dazu gehört, dass Ihr sicherstellt, dass Eure Antiviren- und Firewall-Schutzmaßnahmen auf dem neuesten Stand sind, und dass Ihr die Leistung im Vergleich zur Konkurrenz verfolgt. Wenn Ihr feststellt, dass Eure Wahl hinterherhinkt, wechselt Euren Geschäftspartner.
3. Deepfake-Videos
Deepfake-Videos waren eine virale Sensation im Jahr 2019 und wurden 2020 zum Mainstream. Die Chancen stehen gut, dass Ihr bereits eines dieser Videos gesehen habt, vor allem in den USA leben ist die Produktion stark angestiegen.
Lange Zeit entweder als Ärgernis oder als Bedrohung für die Demokratie angesehen – je nach Kommentator – gibt es jetzt einen wachsenden Konsens darüber, dass Deepfake-Videos auch eine Gefahr für die Cybersicherheit von kleinen Unternehmen darstellen. Es gibt Software, mit der Hacker Videos erstellen können, um Geschäftsinhaber oder Mitarbeiter dazu zu bringen, wertvolle Informationen preiszugeben. Dazu können die Passwörter zu Euren wichtigsten Systemen gehören.
Erschwerend kommt hinzu, dass Kleinunternehmer nur wenig tun können, um diese Art von Angriffen zu bekämpfen, außer ihr allgemeines Misstrauen zu schärfen. Außerdem solltet Ihr Euch darauf konzentrieren, rigorose Reaktionsmechanismen einzurichten.
4. Gefälschte Konten
Gefälschte Social-Media-Konten sind eine weitere Art von „weicher“ Bedrohung, die neben Deepfake-Videos aufgetaucht ist. Die Idee dabei ist, dass ein Hacker ein überzeugendes, aber gefälschtes Facebook-Konto einrichtet. Dann freundet er sich mit Euren Mitarbeitern an und nutzt diese „Freundschaft“, um ihnen wichtige, sensible und lukrative Informationen zu entlocken.
Die Verwendung von gefälschten Social-Media-Konten ist eine Technik, die Teil eines erweiterten Drehbuchs für fortschrittliche Social-Engineering-Taktiken ist. Dieser Ansatz hat in den letzten Jahren stark zugenommen. Er beinhaltet, dass Angreifer einen langfristigen Ansatz verfolgen, um das Vertrauen ihrer Opfer zu gewinnen.
Für kleine Unternehmen ist die beste Verteidigung gegen diese Art von Angriffen eine detaillierte, regelmäßige Schulung der Mitarbeiter, wie man Phishing-Angriffe erkennt und wie man das richtige Maß an Misstrauen bewahrt. Außerdem solltet Ihr Euch die Zeit nehmen, alle Betrüger, denen Ihr begegnet, bei den zuständigen Behörden zu melden. Dies verhindert wiederholte Angriffe auf Euer eigenes Unternehmen und schützt andere.
5. Insider-Bedrohungen
Zum Schluss noch das Thema Insider-Bedrohungen. Die traurige Realität ist heute, dass das größte Risiko für ein Unternehmen die Mitarbeiter sein können, die man beschäftigt. Da im Dark Web mehr Geld als je zuvor bewegt wird, wählen einige Hacker einen weniger technischen Ansatz und greifen darauf zurück, Mitarbeiter dafür zu bezahlen, dass sie Passwörter preisgeben, die dann dazu verwendet werden können, unbefugten Zugriff auf Unternehmenssysteme zu erlangen.
Um diese Art von Bedrohung zu bekämpfen, müsst Ihr ein Gleichgewicht zwischen Vertrauen und Paranoia finden. Es ist wichtig, wachsam zu bleiben und ungewöhnliche Mitarbeiteraktivitäten, die auf böswillige Absichten hindeuten könnten, schnell zu erkennen. Obwohl es wahrscheinlich keine gute Idee ist, die Überwachung der Mitarbeiter komplett auf Big Brother umzustellen, ist ein gewisses Maß an gesundem Misstrauen tatsächlich notwendig, um Euch zu schützen.
Fazit
Die Quintessenz ist: Egal, wie gut Ihr geschützt seid, Euer Unternehmen wird irgendwann gehackt (oder zumindest heftig angegriffen) werden. Ihr solltet Euch also auf jeden Fall dieser Cybersecurity-Bedrohungen für kleine Unternehmen bewusst sein und die oben genannten Maßnahmen ergreifen, um sich zu schützen. Wenn Ihr noch nicht kompromittiert wurdet, rechnet damit, dass 2022 das Jahr sein könnte, in dem es passiert. Macht Euch vorher mit der richtigen Reaktion auf eine Datenattacke vertraut. So wisst Ihr, wie Ihr eine solchen Datenangriff am besten von vornherein vermeiden könnt.