Der Mittelstand muss sich auf den nächsten Cyberangriff vorbereiten?

16th September 2022

Laut der Cyber ​​Security Breaches Survey 2022 des Department for Digital, Culture, Media & Sport berichten 39 % der Unternehmen und 26 % der Wohltätigkeitsorganisationen von Sicherheitsverletzungen oder Angriffen in den letzten 12 Monaten.

Es gibt viele Beispiele für globale Unternehmen, die Cyberangriffe erlitten haben. Im Jahr 2020 verhängte das ICO seine erste Geldbuße nach der neuen DSGVO und belegte British Airways mit einer Geldstrafe von 20 Millionen Pfund für eine Datenschutzverletzung, von der mehr als 400,000 seiner Kunden betroffen waren. Yahoo, eines der berüchtigtsten Opfer von Cyberangriffen, wurde dreimal gehackt. Dies trotz der umfangreichen Ressourcen beider Unternehmen. 

Natürlich wird es für KMU noch schwieriger, im Wettbewerb zu bestehen und den gleichen Standard an Vorsicht beizubehalten. Hiscox schätzte im Jahr 2018, dass zwar die meisten Versuche scheitern, aber alle 19 Sekunden ein kleines Unternehmen in Großbritannien erfolgreich gehackt wird. Dies stellt ein monumentales Problem dar. Und Cyberangreifer sind nur noch raffinierter geworden, da sie die verwundbarsten und lukrativsten Beute jagen.

Der Covid-19-Effekt

Es ist keine Übertreibung zu sagen, dass COVID-19 die Arbeitswelt radikal verändert hat. Die meisten britischen Unternehmen waren gezwungen, zum ersten Mal auf Fernarbeit umzustellen, und eine große Mehrheit hat sich entschieden, dabei zu bleiben – entweder auf dauerhafter oder hybrider Basis. 

Könnte die Bereitstellung von Daten an vorderster Front Unternehmen helfen, widerstandsfähig zu bleiben?
Trending
Könnte die Bereitstellung von Daten an vorderster Front Unternehmen helfen, widerstandsfähig zu bleiben?

Dieser Schritt hat erhöhte Cybersicherheitsrisiken mit sich gebracht. Zu den Verhaltensherausforderungen gehören zum einen Mitarbeiter, die glauben, dass sie mit riskanterem Verhalten wie dem Teilen vertraulicher Dateien per E-Mail davonkommen können, anstatt sicherere Kanäle zu verwenden, wenn sie nicht in der Nähe der Augen von Vorgesetzten sind. Zudem steigt im Home Office die Wahrscheinlichkeit, an unsicheren persönlichen Geräten und/oder Netzwerken zu arbeiten, massiv an. 

Zweitens waren einige Organisationen gezwungen, ihr Geschäft schnell anzupassen. Ihre Zielkunden – sowohl B2B (Unternehmen) als auch B2C (Verbraucher) – wurden über Nacht ausschließlich zu „digitalen Käufern“. Infolgedessen mussten Unternehmen ihre Geschäftstätigkeit ausrichten, um mehr Waren und Dienstleistungen online anzubieten, wodurch der Anteil des E-Commerce am weltweiten Einzelhandel von 14 % im Jahr 2019 auf etwa 17 % im Jahr 2020 anstieg. 

Das Wachstum der Online-Aktivitäten erhöht jedoch auch das Potenzial für Cyberangriffe. Hacker machten sich diese Fundgrube an neuen persönlichen Daten zunutze, die in E-Commerce-Sites eingespeist wurden, z. B. E-Mail-Adressen von Kundenanmeldungen, Kartendaten während des Kaufs, Lieferadressen und sogar Passwörter für Anmeldungen oder Geburtsdaten zur Altersüberprüfung . Diese Daten bedeuten, dass E-Commerce-Sites ein noch größeres Ziel auf dem Rücken haben. 

Kein kleiner Phish zum Braten: Die Folgen eines Verstoßes

Die Folgen eines erfolgreichen Angriffs können in der Tat hoch sein. Die Datenschutz-Grundverordnung der EU erlaubt es den EU-Behörden, Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro zu verhängen, je nachdem, welcher Betrag höher ist. Die Schwere dieser Verordnung entspricht dem Ausmaß des Problems. Wenn ein Unternehmen die Daten eines Kunden bei einem Cyberangriff verliert, werden diese Daten online an Kriminelle verkauft, die sie gewinnbringend verwenden wollen.

In einem von Deloitte untersuchten Fall nutzten Angreifer die schlechte WLAN-Sicherheit eines Einzelhändlers aus, um Kreditkarteninformationen abzufangen und in die unverschlüsselte Kundendatenbank des Unternehmens einzudringen. In diesem Fall nutzten die Cyberkriminellen verschiedene Angriffstechniken, bis sie eine funktionierende fanden, und warteten dann im Netzwerk, bis sie die Daten abfangen konnten, die sie brauchten, um in die Datenbank des Unternehmens zu gelangen. Das betroffene Unternehmen erlitt einen erheblichen Reputationsverlust und musste Umsatzeinbußen, Bußgelder und einen Vergleich hinnehmen. 

Trotzdem haben laut CyberSmart 32 % der britischen KMU immer noch keinerlei Cybersicherheitsprogramm (ob intern oder ausgelagert), und genau die Hälfte der KMU-Manager gab an, dass sie keine formelle Reaktion auf Cyber-Vorfälle hatten planen. 

Ein ständiges Katz-und-Maus-Spiel: Was tun?

Auf dem Laufenden bleiben: Cybersicherheit erfordert einen ernsthaften Realitätscheck. Wenn eine Organisation auf Ihre Informationen zugreifen möchte, wird sie dies tun. Es ist eine Frage des Wann, nicht des Ob. Der Schlüssel ist, proaktiv zu sein. Denke nicht, dass dir das nicht passieren wird. 

Wenn Ihre E-Commerce-Site offline geschaltet wird, werden Sie mit Sicherheit mehrere Auswirkungen haben: Umsatzeinbußen, Markenschäden und die Kosten für die Wiederherstellung. Es lohnt sich, Ihre Website regelmäßig zu aktualisieren, Websites, Plugins und das CMS zu aktualisieren. Aufgrund der Upgrade-Kosten kann es verlockend sein, die Aktualisierungen zu verschieben, insbesondere wenn keine zusätzlichen Features oder Funktionalitäten hinzugefügt wurden. Es ist jedoch absolut wichtig, dass Unternehmen dies tun, sobald Systemupdates veröffentlicht werden. Es ist nur eine Frage der Zeit, bis eine Schwachstelle oder ein Exploit in einer bestimmten Software von Hackern ausgenutzt wird. Im Fall von British Airways wurde der Cyberangriff auf ihre Systeme zwei Monate lang nicht erkannt, sodass Verzögerungen bei der Identifizierung von Risiken lediglich zu den potenziell verheerenden Auswirkungen einer Datenschutzverletzung und den daraus resultierenden behördlichen Entscheidungen führen.

Sie können sich schützen, indem Sie sicherstellen, dass die von Ihnen verwendete Software sicher ist und von einem Anbieter unterstützt wird. Wenn Sie Software verwenden, mit der Sie sich nicht an den Entwickler wenden und um ein Update für ein Element bitten können, das nicht ganz richtig ist, sei es eine Sicherheitslücke oder etwas anderes, lassen Sie die Haustür für einen Angriff weit offen jetzt oder in der Zukunft. In dieser Hinsicht ist es auch wichtig, Backups zu haben, damit die Site schnell wiederhergestellt werden kann, wenn etwas schief geht, und diese müssen für böswillige Akteure mit Air-Gap versehen/unzugänglich sein.

Zertifiziert werden: Cyber ​​Essentials, eine Reihe von technischen und administrativen Kontrollen, die sicherstellen, dass Ihr Unternehmen die überwiegende Mehrheit der Bedrohungen abwehren kann, ist ein Beispiel für ein von der Regierung geführtes System, das hilfreich sein kann, um Ihr Unternehmen zu schützen und zu verhindern, dass die meisten Bedrohungen real werden. Das Programm bewertet fünf Schlüsselkriterien, um sicherzustellen, dass Sie wissen, wie Sie sich selbst schützen können. Untersuchungen der Lancaster University haben ergeben, dass eine einfache Zertifizierung dazu beitragen kann, das Cyber-Risiko eines Unternehmens um bis zu 98.5 % zu reduzieren. 

Gehen Sie beim Training keine Kompromisse ein: Schließlich können Insider-Bedrohungen wie Verwaltungsfehler eine ebenso große Herausforderung darstellen. Es geht nicht nur darum, Ihre vertraulichen Informationen vor böswilligen Außenstehenden zu schützen. Beispielsweise sind Phishing-E-Mails – im vergangenen Jahr der am häufigsten verwendete Bedrohungsvektor für erfolgreiche Angriffe – überzeugender geworden. Vielleicht legt ein Mitarbeiter ein schwächeres Passwort fest oder notiert es an einem zugänglichen Ort. Hier erfordert die Förderung der Cybersicherheit einen kulturellen Wandel. Es ist zwingend erforderlich, dass jeder Mitarbeiter in Ihrem Unternehmen eine Schulung zum Sicherheitsbewusstsein erhält und gut über die Arten von Bedrohungen informiert ist, die es gibt. Darüber hinaus sollte ein dedizierter Chief Information Security Officer ernannt werden, unabhängig davon, ob es sich um Sie als Leiter des Unternehmens oder um eine Teilzeitstelle handelt. diese Person muss entsprechend geschult und befähigt sein, um die Rolle zu erfüllen.

Überlassen Sie schließlich nichts dem Zufall. Rechnen Sie immer mit einem Angriff, da Cyberkriminelle ständig nach diesem offenen Eingang suchen. KMU können es sich nicht leisten, die Tür offen zu lassen. Eine negative Erfahrung kann Ihre Kundenbeziehungen, Ihren Ruf und die allgemeine Gesundheit Ihres Unternehmens schädigen. Bei diesem ständigen Katz-und-Maus-Spiel müssen wir alle auf der Hut sein. 

Wir glauben, dass Ihnen Folgendes gefallen wird:

Andreas Armitage

Andrew Armitage ist Gründer und Eigentümer von A Digital, einer Digitalagentur mit Sitz im Nordwesten Englands. Er ist Podcast-Moderator und Autor des Amazon-Bestsellers Holistic Website Planning: Positioning your Website at the center of your Digital Transformation. In Zusammenarbeit mit Kunden wie dem NHS, Hawkshead Relish, Windermere Lake Cruises und zuletzt James Cropper plc hat er A Digital von einem Gästezimmer zu einem florierenden Team gemacht.

WAICF – Tauchen Sie ein in die KI und besuchen Sie eines der ...

Delia Salinas • 10. März 2022

Cannes veranstaltet jedes Jahr eine internationale Technologieveranstaltung namens World Artificial Intelligence Cannes Festival, besser bekannt unter dem Akronym WAICF. Eine der luxuriösesten Städte der Welt, an der französischen Riviera gelegen und Gastgeber der jährlichen Filmfestspiele von Cannes, der Midem und des Cannes Lions International Festival of Creativity. 

Die Evolution von VR und AR

Amber Donovan-Stevens • 28. Oktober 2021

Wir sehen uns an, wie sich die Extended-Reality-Technologien VR und AR vom reinen Gaming zu einer langsamen Integration in andere Aspekte unseres Lebens entwickelt haben.