Die vier grössten Cyber Security Risiken für KMU

Die vier grössten Cyber Security Risiken für KMU

Die Anzahl an Cyber-Angriffen ist enorm gestiegen: Die israelische Cybersecurity-Firma Check Point Software Technologies spricht von 50 Prozent mehr Angriffen 2021 gegenüber dem Vorjahr. Doch wie sehen solche Cyber-Angriffe aus und wie kann man diese verhindern? EKZ Eltop bietet für Ihr Bedürfnis die passende Lösung, damit Sie sich online sicher fühlen können.

Ransomware – digitale Erpressung

Ransomware ist eine Form von Malware, die darauf abzielt, Dateien zu verschlüsseln. Die betroffenen Dateien und Systeme, die auf ihnen basieren, werden unbrauchbar. Die Angreifer erpressen von ihren Opfern hohe Summen im Austausch für die Entschlüsselung.

Gemäss einer Studie der ZHAW machten schon in den Jahren 2018/2019 Ransomware-Angriffe 14% aller Cyber-Angriffe aus. In den letzten Jahren verstärkte sich der Trend. Mittlerweile wird alle 11 Sekunden ein Ransomware-Angriff erfolgreich durchgeführt. Von den Angriffen sind mittlerweile auch Institutionen wie Spitäler und Staatsverwaltungen betroffen. Auch grosse und namhafte Unternehmen sind vor solchen Angriffen nicht gefeit. 

Ransomware ist eine Form von Malware, die darauf abzielt, Dateien zu verschlüsseln. Die betroffenen Dateien und Systeme, die auf ihnen basieren, werden unbrauchbar. Die Angreifer erpressen von ihren Opfern hohe Summen im Austausch für die Entschlüsselung.

Gemäss einer Studie der ZHAW machten schon in den Jahren 2018/2019 Ransomware-Angriffe 14% aller Cyber-Angriffe aus. In den letzten Jahren verstärkte sich der Trend. Mittlerweile wird alle 11 Sekunden ein Ransomware-Angriff erfolgreich durchgeführt. Von den Angriffen sind mittlerweile auch Institutionen wie Spitäler und Staatsverwaltungen betroffen. Auch grosse und namhafte Unternehmen sind vor solchen Angriffen nicht gefeit. 

Cyber-Angriff
Nur durch ein ausgereiftes Monitoring und eine durchdachte Sicherheitsarchitektur können Ransomware-Angriffe rechtzeitig entdeckt und Schäden vereitelt werden.

Phishing/Social Engineering – wie Menschen gehackt werden

Unter dem Begriff Social Engineering versteht man den Angriff auf das schwächste Glied in der IT-Landschaft: den Menschen. Cyberkriminelle nutzen Social Engineering in fast 98% aller Angriffe. Allein im Jahr 2020 wurden 75% aller Firmen zum Opfer von Social Engineering.

Die Königsdisziplin des Social Engineerings ist dabei das Phishing. Dabei werden von den Cyberkriminellen E-Mails versendet, welche dazu auffordern ein «Update» zu installieren oder sich (unter falschem Vorwand) auf einer Phishing-Website mit den Login-Daten des Unternehmens anzumelden. Oft kommen so Krypto-Miner, Ransomware und sonstige Malware auf die Rechner des Unternehmens und können sich im schlimmsten Fall weiterverbreiten. Für jede Malware Webseite im Internet existieren rund 75 Phishing Webseiten. Phishing gibt es auch in verschiedenen Auslegungen, so z.B. das Vishing. Dabei geben sich die Angreifer mittels Deep Fake Technologie per Telefon als CEO oder anderes Management-Personal aus.

Eine kontinuierliche Schulung der Mitarbeitenden ist dabei das A und O für die Bekämpfung solcher Angriffe.

Unter dem Begriff Social Engineering versteht man den Angriff auf das schwächste Glied in der IT-Landschaft: den Menschen. Cyberkriminelle nutzen Social Engineering in fast 98% aller Angriffe. Allein im Jahr 2020 wurden 75% aller Firmen zum Opfer von Social Engineering.

Die Königsdisziplin des Social Engineerings ist dabei das Phishing. Dabei werden von den Cyberkriminellen E-Mails versendet, welche dazu auffordern ein «Update» zu installieren oder sich (unter falschem Vorwand) auf einer Phishing-Website mit den Login-Daten des Unternehmens anzumelden. Oft kommen so Krypto-Miner, Ransomware und sonstige Malware auf die Rechner des Unternehmens und können sich im schlimmsten Fall weiterverbreiten. Für jede Malware Webseite im Internet existieren rund 75 Phishing Webseiten. Phishing gibt es auch in verschiedenen Auslegungen, so z.B. das Vishing. Dabei geben sich die Angreifer mittels Deep Fake Technologie per Telefon als CEO oder anderes Management-Personal aus.

Eine kontinuierliche Schulung der Mitarbeitenden ist dabei das A und O für die Bekämpfung solcher Angriffe.

Schwache Passwörter – in 2 Sekunden geknackt
Laptop und Mobile
Besserer Schutz: Multifaktor-Authentisierung

Einer der einfachsten, schnellsten und häufigsten Wege von Angreifern, in eine Firma einzudringen, sind schwache und wiederverwendete Passwörter. Unter schwachen Passwörtern versteht man beispielsweise solche, die:

  • zu kurz sind
  • nur aus Buchstaben bestehen
  • nicht zufällig sind
  • aus «echten» Wörtern bestehen

Einer der einfachsten, schnellsten und häufigsten Wege von Angreifern, in eine Firma einzudringen, sind schwache und wiederverwendete Passwörter. Unter schwachen Passwörtern versteht man beispielsweise solche, die:

  • zu kurz sind
  • nur aus Buchstaben bestehen
  • nicht zufällig sind
  • aus «echten» Wörtern bestehen

Aber nur die Anforderungen an die Passwörter zu setzen, reicht leider nicht aus. Das Passwort «Password1!» besteht z.B. aus 10 Zeichen, darunter Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen. Mit einer Brute-Force Attacke können Angreifer dieses Passwort zwar erst in ca. 5 Jahren knacken. Mit Hilfe einer Dictionary Attacke ist dies aber schon in wenigen Stunden, Minuten oder sogar Sekunden möglich.

Einzig der Einsatz von unterschiedlichen und komplexen Passwörtern hilft dabei, Passwort-Angriffe zu vereiteln. Dazu können auch Passwort-Manager eingesetzt werden, die zufällige und sichere Passwörter generieren und speichern.

Aber nur die Anforderungen an die Passwörter zu setzen, reicht leider nicht aus. Das Passwort «Password1!» besteht z.B. aus 10 Zeichen, darunter Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen. Mit einer Brute-Force Attacke können Angreifer dieses Passwort zwar erst in ca. 5 Jahren knacken. Mit Hilfe einer Dictionary Attacke ist dies aber schon in wenigen Stunden, Minuten oder sogar Sekunden möglich.

Einzig der Einsatz von unterschiedlichen und komplexen Passwörtern hilft dabei, Passwort-Angriffe zu vereiteln. Dazu können auch Passwort-Manager eingesetzt werden, die zufällige und sichere Passwörter generieren und speichern.

Sichere Passwörter durch Multifaktor-Authentisierung

Das beste Mittel gegen einen Passwort Angriff ist das Einsetzen von Multifaktor-Authentisierung, bei zwei oder mehr Faktoren eingesetzt (z.B. Passwort und Fingerabdruck). Dabei wird neben dem Passwort noch ein weiterer Faktor für das Authentisieren eingesetzt.

Unter Authentisierungs-Faktoren versteht man:

  • Etwas, das die anwendende Person besitzt: Physikalische Objekte wie USB-Security-Tokens, Schlüssel, oder das gelbe Kästchen von PostFinance
  • Etwas, das die anwendende Person weiss: Passwort, PIN, TAN, etc.
  • Etwas, das die anwendende Person ist: Fingerabdruck, Iris Scan, Stimme, weitere biometrische Eigenschaften
  • Ein Ort, an dem sich die anwendende Person befindet: Spezifisches Netzwerk, GPS Signal für einen bestimmten Ort

Das beste Mittel gegen einen Passwort Angriff ist das Einsetzen von Multifaktor-Authentisierung, bei zwei oder mehr Faktoren eingesetzt (z.B. Passwort und Fingerabdruck). Dabei wird neben dem Passwort noch ein weiterer Faktor für das Authentisieren eingesetzt.

Unter Authentisierungs-Faktoren versteht man:

  • Etwas, das die anwendende Person besitzt: Physikalische Objekte wie USB-Security-Tokens, Schlüssel, oder das gelbe Kästchen von PostFinance
  • Etwas, das die anwendende Person weiss: Passwort, PIN, TAN, etc.
  • Etwas, das die anwendende Person ist: Fingerabdruck, Iris Scan, Stimme, weitere biometrische Eigenschaften
  • Ein Ort, an dem sich die anwendende Person befindet: Spezifisches Netzwerk, GPS Signal für einen bestimmten Ort

Angriffe auf Home-Office

In den letzten Monaten wurde das Home-Office immer häufiger zum Arbeitsort. Oft wird Mitarbeitenden ein Gerät zur Verfügung gestellt – ohne die Netzwerksicherheit des Unternehmens. Im Jahr 2021 wurde ein Schaden von ca. 53 Milliarden Euro durch Cyber-Angriffe im Home-Office verursacht.

Viele Personen verfügen nicht über die notwendigen Fähigkeiten, Ihr Heimnetzwerk auf den gleichen Sicherheitsstandard wie ein Firmennetz zu bringen. Ohne Firewalls, Monitoring des Netzes und weiteren Präventionsmassnahmen birgt das Heimnetzwerk viele offene Angriffspunkte.

Die Risiken für Unternehmen können reduziert werden durch Mittel wie VPNs, Schulungen und Endpoint-Security-Lösungen (wie z.B. HP Wolf Security). Schulungen der Mitarbeitenden sorgen für eine zusätzliche Sensibilisierung. Den je besser die anwendenden Personen die Gefahren kennen, desto besser können sie sich selbst und ihr Unternehmen schützen.

In den letzten Monaten wurde das Home-Office immer häufiger zum Arbeitsort. Oft wird Mitarbeitenden ein Gerät zur Verfügung gestellt – ohne die Netzwerksicherheit des Unternehmens. Im Jahr 2021 wurde ein Schaden von ca. 53 Milliarden Euro durch Cyber-Angriffe im Home-Office verursacht.

Viele Personen verfügen nicht über die notwendigen Fähigkeiten, Ihr Heimnetzwerk auf den gleichen Sicherheitsstandard wie ein Firmennetz zu bringen. Ohne Firewalls, Monitoring des Netzes und weiteren Präventionsmassnahmen birgt das Heimnetzwerk viele offene Angriffspunkte.

Die Risiken für Unternehmen können reduziert werden durch Mittel wie VPNs, Schulungen und Endpoint-Security-Lösungen (wie z.B. HP Wolf Security). Schulungen der Mitarbeitenden sorgen für eine zusätzliche Sensibilisierung. Den je besser die anwendenden Personen die Gefahren kennen, desto besser können sie sich selbst und ihr Unternehmen schützen.

Interessiert?

Im Bereich Cyber Security bieten wir Ihnen Schulungen, Testing und Angriffssimulationen, die Ihnen dabei helfen, Ihr Unternehmen vor Cyber Angriffen zu schützen. Machen Sie jetzt den ersten Schritt – wir freuen uns auf Ihren Kontakt.

Im Bereich Cyber Security bieten wir Ihnen Schulungen, Testing und Angriffssimulationen, die Ihnen dabei helfen, Ihr Unternehmen vor Cyber Angriffen zu schützen. Machen Sie jetzt den ersten Schritt – wir freuen uns auf Ihren Kontakt.

Eltop ICT-Services
Telefon
058 359 25 60
E-Mail
ict@ekzeltop.ch
Telefonische Erreichbarkeit
Montag bis Freitag: 07:15 bis 12:00 und 13:00 bis 17:15 Uhr

Sie können uns Ihr Anliegen auch gerne direkt über das Kontaktformular mitteilen.

Kein Risiko eingehen

Lassen Sie sich durch die Fachleute von Eltop ICT-Services vertraulich und umfassend beraten.

Jetzt Kontakt aufnehmen