Die Corona-Krise hat das Risiko einer Cyber-Attacke schlagartig erhöht
Die Corona-Pandemie hat Deutschland und die ganze Welt noch immer fest im Griff. Diese ungewöhnliche Zeit nutzen vor allem auch Cyber-Kriminelle aus. In einem Interview spricht Hanno Pingsmann, Gründer und Geschäftsführer von CyberDirekt, über Cyber-Gefahren und was bei einer Cyber-Versicherung wichtig ist.
Herr Pingsmann, die Corona-Krise hat zu einem drastischen Anstieg der Cyberkriminalität geführt, wie ist das zu erklären?
Hanno Pingsmann: Krisenzeiten sind für Betrüger immer Hoch-Zeiten und so haben sich auch in der Corona-Krise diverse Angriffsflächen für Cyber-Kriminelle eröffnet, die nun ausgenutzt werden: Bekanntermaßen wurden kurzfristig Websites und Portale errichtet, um der Bevölkerung zu helfen respektive sie vor dem Virus zu warnen. Als Folge wurde im großen Stil bei Corona-Soforthilfen betrogen, indem ahnungslose Unternehmer auf gefälschten Websites ihre Anträge gestellt haben (soforthilfe-corona-nrw.de anstatt soforthilfe-corona.nrw.de) – mit diesen Informationen haben die kriminellen Website-Betreiber anschließend echte Anträge erstellt und dabei ihre eigenen Bankdaten hinterlegt.
Ein weiteres Beispiel ist die „Corona-Warm-App“ – man achte hier auf die Schreibweise „Warm“ – mit der ebenfalls Daten abgezogen wurden.
Zum Anderen wurde mit der Verlagerung der Arbeitsstätte ins Home Office eine weitere, viel größere Angriffsfläche geschaffen. Nahezu jeder hat seine Bürotätigkeit in das private und damit in der Regel nur mangelhaft geschützte private Heimnetzwerk verlagert – vom DAX-30-Vorstandsvorsitzenden bis hin zum selbstständigen Rechtsanwalt.
Warum bietet die Arbeit im Home Office eine große Angriffsfläche für Cyber-Kriminelle?
Hanno Pingsmann: Private Netzwerke sind in der Regel nicht so umfassend (Passwort- und Firewall-)geschützt wie berufliche, das Einfallstor ist also umso größer beziehungsweise steht gar „offen“. Mit dieser Steilvorlage werden gezielt Phishing-Attacken durchgeführt, um Malware zu platzieren.
Ein solcher Angriff kann dabei für Kriminelle umso erfolgreicher sein, wenn sich private Geräte im Netzwerk befinden oder die privaten Geräte selbst für die Arbeit genutzt werden – es sind damit nicht nur berufliche, sondern entsprechend auch private Dokumente und Dateien (deutlich einfacher) zugänglich.
Um sich zu schützen, muss man verstehen, dass menschliche Fehler für knapp die Hälfte aller Cybervorfälle verantwortlich sind. Sie werden konsequent ausgenutzt, um Daten zu stehlen oder zu sperren, um dann ein Lösegeld für die Freigabe zu fordern.
Was kann man tun, um die Ursache „Mensch“ in Bezug auf Cybervorfälle zu reduzieren?
Hanno Pingsmann: Vor allem ist Aufklärungsarbeit zu leisten. Mitarbeiter sind in Bezug auf die Gefahren zu sensibilisieren. Dies ist vor allem auch deswegen wichtig, da laut einer YouGov-Studie drei von vier Mitarbeitern auch nach der Corona-Krise nicht auf die Home-Office-Option verzichten wollen – womit eben auch die hiermit einhergehen Gefahren bestehen bleiben.
Für diese Sensibilisierung setzen wir auf Online-Schulungen, die wir im Zuge der Corona-Krise nochmals überarbeitet haben. Diese behandelt drei Ebenen, um sich bei der Nutzung jeglicher Netzwerk mit (mobilen) Geräten ausreichend abzusichern, was übrigens nicht nur im beruflichen Kontext von Vorteil ist: Erstens schulen wir die Mitarbeiter in ihren eigenen Verhaltensweisen, wie bei der Vergabe von Passwörtern. Zweitens vermitteln wir ein technisches Verständnis über die Infrastrukturen wie das Social Engineering. Drittens, versetzen wir die Mitarbeiter in die Lage der Hacker, um Verhaltensweisen zu antizipieren. So können wir mit einem Phishing-Simulationstest realitätsnahe Angriffsszenarien (für Unternehmen und deren Mitarbeiter) durchführen, um die Reaktion der eigenen Mitarbeiter zu testen und deren Skepsis in Bezug auf fragwürdige Mails und Anhänge zu trainieren. Solche Online-Schulungen zur Sensibilisierung federn schon ein Großteil der Maßnahmen ab, doch um sich umfangreich abzusichern, empfiehlt sich eine Cyber-Versicherung.
Was hat es mit einer Cyber-Versicherung auf sich und greift diese auch im Home Office?
Hanno Pingsmann: Die Cyber-Versicherung unterstützt beim Bewältigen einer Cyber-Attacke und kompensiert deren finanzielle Schäden. Häufig umfasst diese auch Präventionsangebote wie die genannten Online-Schulungen, um eine Attacke zu verhindern. Grundsätzlich ist die Versicherung damit eine gute Maßnahme und die Vielzahl der Versicherer deckt auch die Arbeit im Home Office ab.
Was beim Abschluss einer Cyber-Versicherung prüfenswert ist, ist ob beim Umfang der abgedeckten IT-Systeme auch eigene, private Geräte („Bring your own Device“) eingeschlossen sind, also ob private Geräte im Versicherungsschutz eingeschlossen sind und wenn ja, welche dies sind. Das ist entsprechend sinnvoll, wenn diese Geräte für berufliche Zwecke verwendet werden.
Seit der Corona -Krise werden die Themen „Home Office“ und „Bring your own Device“ in jedem Gespräch mit Unternehmern aktiv angesprochen und abgefragt. Für uns als marktführender Vergleicher von Cyber-Versicherungen stellt es ein K.O.-Kriterium, wenn hier entsprechende Ausschlüsse von Seiten der Versicherer vermerkt sind.
Vielen Dank für das Gespräch.
