Ein Grund, dass wir den Cyberkrieg auf allen Ebenen verlieren, ist, dass wir unsere Feinde nicht verstehen und daher nicht wirkungsvoll zurückschlagen können. Ein anderer ist, dass Edward Snowden, zur Zeit der wohl berühmteste und bedrohlichste Insider, eine Menge Gesellschaft hat.

Eine neueste Studie zu Cyberkriminalitätstrends (PwC, CSO-Magazin, US-Geheimdienst und Carnegie Mellon Universität) offenbart, dass die Bedrohungen durch Cyberkriminalität zunehmen, aktuelle Abwehrmechanismen gleichzeitig aber wirkungslos bleiben. Mitschuld daran tragen eine große Anzahl Führungskräfte, die die Ausweitung und die Gefährlichkeit dieser Bedrohungen immer noch nicht verstehen und keine Experten für Internetsicherheit einstellen.

Moderne Arbeitsplätze erhöhen zwar die Produktivität und den Komfort, gleichzeitig aber auch die Anfälligkeit von Cyber-Attacken. Dazu zählen auch Mobiltelefone, Speicherplatz in der Cloud, die Digitalisierung sensibler Daten und die Einführung von Smart-Grid-Technologien.

Im letzten Jahrzehnt wurden keine Veränderungen bei Cyberschutz-Ausgaben registriert, keine Durchbrüche in der Erfindung neuer Anti-Cyberkriminalitäts-Software oder im Bedrohungsbewusstsein festgestellt, so die Studie. Am alarmierendsten sei die Fehleinschätzung der Unternehmen bezüglich des Risikos, welchem sie ausgesetzt sind.

Die Gefahren entstehen durch Cyber-Attacken in finanzieller, rufschädigender und rechtlicher Hinsicht. Opfer von Cyber-Attacken würden erst Maßnahmen ergreifen, wenn es bereits zu spät sei.

David Burg, Leiter von PwCs IT-Sicherheitsabteilung:

„The facts are clear: today’s organizations are not taking the necessary steps to mitigate the risk of cybercrime, even in the face of increasingly serious and frequent threats.“

Und als ob das noch nicht genug wäre, offenbart die Studie, dass interne Angreifer eine größere Bedrohung darstellen als Externe. Interne können Berater, Vertragsunternehmer, externe Dienstleister, Lieferanten oder Geschäftspartner sein, die Zugangsberechtigung haben.

Drei große Probleme wurden in dieser Studie offenbar:

• Die Leiter der Unternehmen wissen nicht, wer für die Cyber-Sicherheit zuständig ist. Die Sicherheitsexperten kommunizieren nicht effektiv über die Gefahren.
• Viele Unternehmen unterschätzen ihre Gegner, deren Möglichkeiten und auch die Risiken.
• Firmen erhöhen unwissentlich ihre Verwundbarkeit gegenüber Angriffen über die Verwendung von mobilen Geräten, Auslagerung von Daten in die Cloud und das Sammeln und Speichern von sensiblen vertraulichen Informationen.

Positive Erkenntnisse:

• 80 Prozent der Angriffe hätten abgewehrt werden können, wenn die Mitarbeiter das Know-How dazu gehabt hätten.
• Die restlichen 15 Prozent der Vorfälle wären mit einer geeigneten Bewusstseinsbildung und Schulung der Mitarbeiter in Sicherheitsbereichen zu vermeiden gewesen.
• Die restlichen 5 Prozent sind oft staatlich unterstützte Angriffe der Industriespionage.

Einige Ergebnisse:

• Insider sind zu 33 Prozent für den Schaden verantwortlich, externe Personen zu 31 Prozent.
• 22 Prozent der Unternehmen wissen nicht, wie sich ihr Schaden durch Computerkriminalität in den letzten 12 Monaten entwickelt hat.
• 17 Prozent der befragten Unternehmen hatten überhaupt keine Aufzeichnungen über Computerangriffe und deren Ursachen vorliegen.

[Anmerkung: itEXPERsT könnte so ein Unternehmen für Sie sein. Mit den empfohlenen Sicherheitstests / Penetrationstests erhalten sie erstklassige Sicherheit. Penetrationstests werden empfohlen von BSI, SANS und vielen anderen.]

Analysen ergaben, dass Angreifer gezielten Eintritt durch veraltete Betriebssysteme und Hardware sowie Software im Wartungszustand erlangen.

Bezüglich der Gefahr von innen empfiehlt die Studie, den Mitarbeitern nur Zugang zu Systemen zu erlauben, die sie zur Ausführung ihrer Arbeit benötigen. Manchmal seien jedoch gar keine IT-Tools nötig, um interne Cyberkriminalität aufzudecken: Mangelnde Arbeitsleistung, Probleme mit Kollegen, Disziplinarverfahren, den eigenen Verhältnissen übersteigender Lebenswandel – solche Signale können Managern und Mitarbeitern auffallen und entsprechend überprüft werden.

Ein Drittel der Unternehmen führt keine Evaluation der Sicherheit des IT-Netzes durch externe Experten durch.

Die Sicherheitsstudie 2013 wurde mit der Unterstützung von PricewaterhouseCoopers, dem CSO-Magazin, dem US-Geheimdienst und der Carnegie Mellon Universität durchgeführt.

Artikel von csoonline.com, 26.06.2013: Why business is losing the war against cybercrime

Artikel von pwc.com, 20.06.2013: As cybercrime threats continue to escalate, 2013 State of Cybercrime Survey from PwC and CSO finds companies aren’t doing enough to defend themselves