Information und Bildungsarbeit von und für die SAP-Community
IT-Security Kolumne, Mag 22-10

Leichtsinn fördert Cyberattacken

Phishing-Attacken gehören zu den größten Gefahren der IT-Sicherheit. Ein gezielter Abbau der Schwachstellen, die Cyberkriminelle nutzen, um sich Zugang zum System ihres Opfers zu verschaffen, ist gefordert.
Xenia Joselew, FIS-ASP
9. November 2022
Inhalt:
it security Header
avatar

Phishing-Attacken sind bei Cyberkriminellen besonders beliebt. Durch Betrug, Täuschung oder Irreführung ihrer Opfer versuchen diese dabei vertrauliche und sensible Daten zu erlangen. Die Angriffsart ist unter dem Begriff Social Engineering einzuordnen. Dazu zählen neben Attacken per E-Mail auch das sogenannte USB-Dropping, gefälschte Textnachrichten via SMS oder fingierte Telefonanrufe. Beim E-Mail-Verkehr enthält die Mail einen bösartigen Anhang oder Link zu einer „Fake“-Seite. Gewinne oder Erbschaften werden versprochen, es kann aber ebenso wie ein seriöses Angebot eines bekannten Lieferanten oder Kunden anmuten, sodass die Hemmschwelle für eine Interaktion durch das potenzielle Opfer möglichst gering ist.

Schwächstes Glied

Letzten Endes ist der Faktor Mensch der ausschlaggebende Punkt. Wenn Mitarbeiter als vermeintlich letzte Verteidigungslinie den E-Mail-Adressaten oder Inhalt nicht hinterfragen, sondern mit ihm interagieren, ist das Risiko einer gelungenen Attacke extrem hoch.

Derartige Angriffe können für Unternehmen am Ende zu enormen finanziellen wie auch reputativen Schäden führen. Ein möglicher Vertrauensverlust bei Kunden und Partnern, Kosten für den Daten- und Wissensabfluss, die Beseitigung der Folgeschäden, etwaige Produktionsausfälle oder Auftragsstornierungen sind nur ein Auszug der möglichen Folgen, die bei einem erfolgreichen Cyberangriff entstehen könnten. 

Im Falle einer Verschlüsselung ist die jeweils verwendete und immer wieder angepasste Verschlüsselungstechnik in der Regel nicht einfach aufzulösen, um wieder Zugriff auf die Daten zu erlangen. Unternehmen, die ihre eigenen Daten nicht durch regelmäßige Backups gesichert und explizit geschützt haben, sollten die geforderten Lösegeldforderungen dennoch auf keinen Fall zahlen und sich stattdessen von Experten beraten lassen, wie sie mit der Situation weiter umgehen sollten. Denn fraglich ist, ob die Systeme nach der Zahlung des Lösegelds überhaupt entschlüsselt werden. 

Cyberkriminelle werden auch zukünftig weiterhin auf Phishing-Attacken zurückgreifen, da die bereits vorhandene technische Sicherheit vieler Systeme ihre Angriffsmöglichkeiten reduziert und infolgedessen der Mensch inzwischen als schwächstes Glied in der Kette angesehen werden kann. Zudem sind derartige Attacken mit deutlich weniger Know-how und in größerem Ausmaß durchführbar als klassische Hackerangriffe. Letztendlich ist die Erfolgsquote entscheidend: Unabhängig von der Unternehmensgröße reicht ein abgelenkter beziehungsweise unvorsichtiger Angestellter aus, um folgenschwere Auswirkungen für das Unternehmen auszulösen. Prozentuell betrachtet reicht beispielsweise eine Person bei
1000 Beschäftigten (= 0,1 Prozent), die auf die Phishing-Mail hereinfällt. Eine solch hohe Erfolgswahrscheinlichkeit gibt es in kaum einem anderen Angriffsszenario und wird dementsprechend unterschätzt – besonders im KMU-Bereich, wo Mittel und Ressourcen für IT-Sicherheit oft knapp bemessen sind und kein ausreichendes Know-how vorhanden ist.

Regelmäßige Schulungen

Das entscheidende Stichwort lautet: Awareness. Wiederholende, gut aufeinander aufgebaute und an die aktuelle Sicherheitslage angepasste Sensibilisierungsmaßnahmen der Angestellten sind der Schlüssel, um den Phishing-Angreifern den Wind aus den Segeln zu nehmen. Denn ohne eine menschliche Interaktion mit den kompromittierten Mails besteht in der Regel auch keine erhöhte Gefahr – vorausgesetzt die technischen Maßnahmen des Unternehmens entsprechen einem aktuell notwendigen Sicherheitsniveau. Zudem sind Awareness-Schulungen preisgünstig, vergleicht man sie mit den Wiederherstellungskosten nach einem Cyberangriff. Diese Art von Sensibilisierung muss jedoch regelmäßig stattfinden und sich immer an die aktuelle Sicherheitslage anpassen.

https://e3mag.com/partners/fis-asp/

avatar
Xenia Joselew, FIS-ASP


Alle Artikel des Autors

Schreibe einen Kommentar

Fivetran und Vanson Bourne: Studie zur KI-Einsetzung

KI-Enabler und Automatisierer

Items entscheidet sich für Natuvion

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.