Die COVID-19-Krise hat Österreich derzeit fest im Griff und stellt Unternehmen nicht nur vor wirtschaftliche, arbeitsrechtliche und steuerliche Herausforderungen. Die landesweite Umstellung auf Home-Office wirkt sich auch als drastische Belastung der heimischen IT Systeme aus und erweckt die Aufmerksamkeit von Cyberkriminellen. [...]
Die Erkennungszeit solcher Attacken ist dabei noch deutlich zu hoch. So vergehen im Schnitt – noch vor Corona-Zeiten – 50 bis 100 Tage, und bei 28 Prozent der Vorfälle sogar über 200 Tage, bis Unternehmen eine Infektion oder einen Angriff feststellen. Um besonders in Krisenzeiten richtig reagieren und die Ressourcen effizient einsetzen zu können, muss die Erkennung von Vorfällen schnell erfolgen und Maßnahmen müssen priorisiert werden.
„Auch wenn Unternehmen derzeit vor einer Vielzahl von Herausforderungen stehen, ist es gerade jetzt wichtiger denn je, auch die eigene Cybersecurity im Griff zu haben. In Zeiten, in denen man absolut abhängig von der digitalen Kommunikation ist, können die Auswirkungen von Cybersecurity-Vorfällen weitreichende negative Folgen haben“, warnt Georg Beham, Cybersecurity & Privacy Leader bei PwC Österreich.
„Corona Phishing“ und das Schlupfloch Home-Office
Beobachtungen des österreichischen Internets zeigen vermeintliche Verwundbarkeiten heimischer Unternehmen. Angreifer nutzen solch ein Monitoring auch, um Schwachstellen zu finden. Besonders in Krisenzeiten wie jetzt, in denen der Fokus der Verantwortlichen oftmals anderswo liegt, wird diese Unaufmerksamkeit ausgenutzt. Neben der derzeitigen Corona-Krise verzeichnete man Ähnliches rund um Feiertage wie Weihnachten oder Neujahr.
Insbesondere wird ein verstärktes Aufkommen von “Corona Phishing” beobachtet. Es handelt sich dabei in erster Linie um E-Mails, die sich als aktuelle Informationen zu COVID-19 durch behördliche Stellen, Virologen oder Ärzte als Absender tarnen. In Wahrheit handelt es sich dabei um Phishing-Versuche, meist mit dem Ziel, Zugangsdaten abzugreifen oder Schadsoftware wie Verschlüsselungstrojaner zu platzieren. Auch das Österreichische Bundeskriminalamt warnte bereits in einer offiziellen Stellungnahme vor einem erhöhten Phishing-Aufkommen.
Durch die Umstellung auf Remote-Arbeiten waren viele Unternehmen in der letzten Woche gezwungen, eine Vielzahl an neuer Software auf den Endgeräten ihrer Angestellten zu installieren. Daraus ergeben sich nun zahlreiche neue Angriffsmöglichkeiten für Cyberkriminelle. Oftmals bleiben Phishing-Versuche auf Mitarbeiter unerkannt. Auch häufen sich derzeit Phishing E-Mails sowie SCAM Anrufe, die beispielsweise Mitarbeiter zur Installation einer neuen Software, zur Teilnahme an Videokonferenzen oder zur Zugriffserlaubnis auf Unternehmensdaten bewegen sollen
„Besonderes Augenmerk muss bei der Umstellung auf Remote-Working auch auf die Fernzugriffe der Mitarbeiter gelegt werden. Diese sollten ausschließlich über gesicherte Zugänge, wie beispielsweise VPN, erfolgen. Idealerweise werden die Zugänge zudem analysiert und laufend auf Anomalien überwacht“, rät Experte Georg Beham. Drei Schritte für mehr Cybersecurity im Home-Office:
1. Prävention: Awareness schaffen
Neben den klassischen Aufgaben zur Absicherung der eigenen IT Infrastruktur sollte aktuell besonderer Fokus auf das Training und die Awareness von Mitarbeitern, vor allem im Umgang mit Phishing E-Mails und SCAM Anrufen, gelegt werden. Insbesondere E-Mails mit allgemeinen Informationen über COVID-19, Links zu Login-Formularen sowie E-Mails mit Anhängen müssen derzeit kritisch hinterfragt werden. Georg Beham, Spezialist für Informationssicherheit bei PwC Österreich, rät dazu, nachfolgenden Fragenkatalog bei Verdacht auf Phishing-E-Mails abzuhandeln:
- Passen Absender, Inhalt und Schreibstil der E-Mail zusammen?
- Ist der Absender ein mir bekannter und vertrauenswürdiger Kontakt? Und stimmt die E-Mail Domain mit dem vermeintlichen Absender überein?
- Wo führt der Link in der E-Mail tatsächlich hin? Um das Ziel eines Links einfach und risikofrei herauszufinden, fahren Sie mit der Maus über den Link ohne diesen anzuklicken.
- Handelt es sich beim Anhang um eine ausführbare Datei (z.B.: .exe, .msi) oder ein Office Dokument mit Makros (z.B.: .xlsm, .docm)?
Zudem sollten unternehmensexterne E-Mails gekennzeichnet werden. Diese Funktion bieten fast alle E-Mailserver an und erleichtert Mitarbeitern die rasche Identifizierung von externen, möglicherweise gefährlichen E-Mails.
2. Detektion: Überwachung der IT-Infrastruktur
„Ziel der Sicherheitsmaßnahmen von Unternehmen muss es sein, Angriffsversuche vorab zu blockieren bzw. erfolgreiche Angriffe frühzeitig zu erkennen und zeitnah alarmiert zu werden. Das inkludiert das entsprechende Management von Detektionsregeln, Log-Informationen, die Verwendung ausreichender Regelwerke für die Auswertung und Analyse dieser Informationen sowie eine entsprechende Alarmierungskette im Nachgang“, erklärt Georg Beham.
Über die Überwachung der eigenen IT–Infrastruktur hinaus ist es sinnvoll, auch öffentliche Quellen zu beziehen. Informationen über die eigene Angreifbarkeit und das Potenzial eines Cyberangriffes können so beispielsweise über Open Source Intelligence (OSINT) erhoben und abgeschätzt werden.
3. Reaktion: Notfallpläne prüfen und Ernstfall proben
„Viele Organisationen verfügen bereits über Notfallpläne für den Fall eines Cyberangriffes oder Systemausfalls. Wir empfehlen, die Aktualität dieser Pläne jetzt zu prüfen, die Verteilung der Aufgaben an alle relevanten Mitarbeiter sicherzustellen und dazu passende Checklisten zu verifizieren oder neu zu erstellen“, so der PwC-Experte. „Weiterhin sollten diese Notfallpläne im Rahmen des Incident-Managements auch regelmäßig geprobt werden, um Herausforderungen und Schwachstellen zu identifizieren. Nur so kann im Ernstfall die Wiederherstellung eines Normalbetriebs effizient und effektiv umgesetzt werden“. Zur Einschätzung der Unternehmenslage und des aktuellen Sicherheitsrisikos sollten folgende Fragestellungen abgearbeitet werden:
- Können meine IT- und IT-Sicherheitsexperten zurzeit arbeiten?
- Haben sie vom Home-Office aus Zugriff auf alle relevanten Systeme?
- Können sie ihren Monitoring Aufgaben nachkommen?
Sind sie erreichbar bzw. untereinander ausreichend vernetzt (Telefon, Chat, Videotools)?
Ist mein Hotline-Betrieb erreichbar?
Sind alle Anwender über die Erreichbarkeit der Hotline informiert? - Sind die IT Security und der CISO in den COVID-19-Krisenstab mit eingebunden? Werden die Lageberichte gegenseitig ausgetauscht?
- Sind alle Cyber-Sicherheitsmaßnahmen aufrecht?
- Ist die physische Sicherheit auf meine Netzwerke bzw. meine Systeme aufrecht?
- Haben meine IT- und Security-Experten Zugriff auf Notfallpläne?
Be the first to comment