Attacken aus dem Cyberspace richten gravierende Schäden in deutschen Unternehmen an. Die Zeitungen der Funke-Mediengruppe beispielsweise („WAZ“, „Hamburger Abendblatt“) erschienen nach einem Cyber-Angriff Ende 2020 tagelang in reduziertem Umfang.
Nach Berechnungen des Branchenverbands Bitkom verursachte Internetkriminalität in Deutschland im Jahr 2019 Schäden von knapp 103 Milliarden Euro – fast doppelt so viel wie im vorherigen Erhebungszeitraum 2017/18.
2019 seien nur 64 Prozent der deutschen Mittelständler technisch und organisatorisch auf Cyber-Angriffe vorbereitet gewesen, ergab der Quick-Check Cybersecurity des GDV und der VdS Schadenverhütung. „Vielen ist nicht bewusst, dass es nur eine Frage der Zeit ist, bis sie gehackt werden“, sagt Christian Swoboda, Sicherheitschef der Gothaer Versicherung. „Es gibt immer ein Schlupfloch.“
Red Team von Dienstleistern greift geplant an
Aber es gibt auch Gegenmaßnahmen. Die im Verborgenen arbeitende Mannschaft eines sogenannten Ethical Hackers – das Red Team – bereitet über Monate einen Angriff vor und führt ihn durch, während die hauseigene IT – das White Team – nichts davon ahnt. Das ist ein Aufwand, den sich nicht jede Firma leisten kann, denn bei Tagessätzen von 1800 Euro und mehr gehen die Kosten schnell in den sechsstelligen Bereich.
Aber es geht auch viel schneller: „Bei Mittelständlern sind wir in der Regel zwei bis drei Tage im Einsatz“, sagt Ethical-Hacker Michael Wiesner: „Die ersten Schwachstellen finden wir meist schon nach zehn Minuten.“ Schwachstellen sind beispielsweise schlechte Passwörter: „Ich hatte einen Kunden, bei dem mehr als die Hälfte der Benutzer noch das Initialpasswort verwendete: den Namen des Unternehmens.“
White-Box-Tests: Auch für den Mittelstand durchführbar
Wie aggressiv ein Ethical Hacker vorgeht, besprechen Auftraggeber und Dienstleister vorab, ebenso die Art des Tests. Bei einem Black-Box-Test etwa bekommt der Hacker vorab keine Informationen über die Netzwerke und Systeme des Kunden, er muss selbst nach Schwachstellen suchen.
Schneller geht in der Regel ein White-Box-Test, bei dem die Hacker zuvor technische Informationen erhalten und zielgerichteter bestimmte Schwachstellen angreifen können. Voraussetzung ist stets ein gutes Vertrauensverhältnis zwischen Kunde und Dienstleister.
Lesen Sie den vollständigen Beitrag auf dem Portal des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). Dort sind weitere Beiträge zum Thema Cyber-Sicherheit erschienen:
