Enormen Anstieg der Hack-Angriffe als Cyber-kriminelle Ziel Kleinunternehmen
Experten sagen, katastrophale Folgen für KMU, die Sicherheitsrisiken zu ignorieren haben können
Es schien wie ein gewöhnlicher Tag für Personal im Fahrzeug Vermieter MNH Platin. Sie ahnten, dass dem einfachen Klick auf einen e-Mail-Link war im Begriff, ihr gesamte Geschäft bedrohen.
Es war Anfang letzten Jahres, als die Blackburn ansässige Firma war das Opfer eines Virus die mehr als 12.000 Dateien auf ihr Unternehmensnetzwerk verschlüsselt. Ein Lösegeld Nachfrage gefolgt – würden die Verbrecher des Unternehmens Dateien im Austausch für mehr als 3.000 £ zu entschlüsseln.
Mit dem Virus Nachweis unmöglich zu entfernen, ohne den Verlust von wichtigen Unternehmensdaten hatte das Unternehmen keine andere Wahl als zu zahlen.
"Wir waren völlig unvorbereitet für eine Cyber-Verletzung einfach Mangel an Bewusstsein für die Größenordnung, die ein Angriff dieser Art haben könnte, durch versehentlich einen Link in einer e-Mail", sagt managing Director Mark Hindle. "Ich bin dankbar, dass wir Glück gehabt hatte, konnte ich die Dokumente abrufen, die entscheidend für die Leitung des Unternehmens, wenn auch zu einem Preis."
Die Firma Fall ist nicht isoliert, und Experten warnen, dass nicht nur kleine Unternehmen sind jetzt fest im Visier von Cyber-kriminellen sind sie fast immer ihre bevorzugte Ziel – und sind oft völlig unvorbereitet.
"KMU haben von jeher nicht das Ziel von Cyber-Kriminalität im Jahr 2015 etwas drastisch geändert," sagt Toni Allen, UK Kopf Client Sätze bei British Standards Institute (BSI).
"Die aktuelle Regierung Sicherheitsverletzungen Umfrage ergab, dass fast drei Viertel (74 %) der kleine Organisationen berichtet eine Sicherheitsverletzung im letzten Jahr; eine Erhöhung auf die 2013 und 2014 Umfrage. KMU sind jetzt von digitalen Angreifern geortet wird."
Nach den jüngsten Statistiken veröffentlicht von Cyber-Security-Unternehmen Symantec, mehr als die Hälfte (52,4 %) von Spear Phishing-Angriffe, mit gefälschten e-Mails – durchgeführt im Dezember letzten Jahres durchgeführt waren gegen KMU mit November zeigt einen massiven Anstieg.
Das Thema Cyber-Sicherheit für kleine Unternehmen erfolgt umso dringlicher durch neue europäische Vorschriften zum Schutz der Kundendaten. Der EUS neue Datenschutz-Grundverordnung wird im Jahr 2018 in Kraft treten und könnte dazu führen, dass Unternehmen, die Geldstrafe bis zu 20 Mio. € oder 4 % ihres Jahresumsatzes, welcher Wert größer ist, dafür, dass Sicherheitsverletzungen zu ihren Kundendaten zu Kompromissen ist.
Sarah Green, ein Cyber-Security-Experte und Geschäftsführer für die Cyber-Sicherheit Training 2000, sagt, dass einer der gefährlichsten Sätze von Kleinunternehmen verwendet wird: "Es wird nie passieren uns."
"Kleine Unternehmen können fühlen, dass sie wahrscheinlich ein Ziel aufgrund ihrer Größe nicht und, dass Hacker konnte nicht möglicherweise interessiert, was sie tun – aber in Wirklichkeit genaue das Gegenteil wahr ist", fügt grün.
"Hacker Beute auf das wissen, das kleine Unternehmen tendenziell geringere Abwehrkräfte als größere Organisationen in der Regel aufgrund von Mangel an finanziellen und personellen Ressourcen. Naturgemäß blühende kleine Unternehmen sind innovativ und Nischen, die ist wieder sehr attraktiv für die bösen Jungs, die möglicherweise Interesse an Kundendaten und geistiges Eigentum und wissen genau, wie die schwache Ziele aussuchen."
Stephen Ridley, Leiter Technik, Cyber und Daten für Versicherungsunternehmen Hiscox UK und Irland und ein Mitglied des Forums Cyber Streetwise handeln behauptet, dass viele KMU haben noch viel zu tun um sich zu schützen.
"Viele kleine Unternehmen beginnen, die potentiellen Schwere der Cyber-Angriffe zu schätzen wissen. Aber viele haben noch einen langen Weg zu gehen bei der Umsetzung gutes Risikomanagement", sagt er.
"KMU sind als ein weicher Ziel von kriminellen angesehen und sind oft eine Route zum"großen Preis", wenn sie öffentliche Auftraggeber sind mit größeren Organisationen, die möglicherweise härter, direkt zu durchdringen."
Nach Ridley können Unternehmen mehrere einfache Schritte, um Cyber-Risiken reduzieren folgen. Er schlägt vor, verwenden sichere Passwörter wie drei zufällige Wörter, Installation antivirus und Malware-Software auf allen Geräten der Firma, Anstiftung regelmäßige Software-Updates, die wichtige Sicherheits-Upgrades enthalten und Aufklärung der Mitarbeiter über Cyber-Risiken. Eine weitere Möglichkeit zur Verbesserung der Sicherheit zu helfen ist die staatlich geförderte Cyber Essentials Schema abonnieren.
Duncan Sutcliffe, der Versicherung Firma Sutcliffe & Co in Worcester betreibt, hat vor kurzem an dem Programm teilgenommen.
"Ich kannte die zunehmende Bedrohung für unsere Kunden und unser Geschäft durch Hacker und Cyber-Kriminalität, aber ich bin kein Technikfreak, also ich weiß wirklich nicht, was dagegen zu tun. Ich fand heraus, dass rund 80 % der Verstöße gegen die Cyber-gestoppt werden konnte, durch die Annahme einige der Grundlagen,", sagt er.
Alex Fenton, ein digitales Business Experte und Dozent an der Salford University, sagt, es gibt keine Entschuldigung dafür, so dass Ihre Systeme anfällig. "Wir haben einige hochkarätige Beispiele gesehen wo haben Unternehmen Zeit und Geld sparen abzukürzen.
"Den Kopf in den Sand zu stecken nur kurzfristig Geld sparen kann, aber die Kosten von hacking könnte reichen von kleine Unannehmlichkeit, Rufschädigung, Verlust von Kundendaten, Geldbußen und letztlich Unternehmen Schließung."
Laut der Cyber Streetwise Kampagne gehören eine Kreuz-Regierung Initiative vom Innenministerium, große Cyber-Bedrohungen für KMU:
• Ransomware – verschlüsselt alle Daten über das Netzwerk des Unternehmens, wo ein Stück von schädlicher Software, in der Regel über eine Phishing-Mail erhalten mit der Täter eine Lösegeld (in der Regel 500 £-£1.000) anfordern, um die Entschlüsselungsschlüssel zur Verfügung stellen.
• Hack Attack – wo ein Hacker gelingt, Zugriff auf das Firmennetz erlangen in der Regel durch Ausnutzung eine ungepatchte Sicherheitslücke in der Software, so dass sie Zugriff auf die Unternehmensdaten. Das Ziel wird in der Regel persönlich identifizierbare Informationen (PII) Kunden eines Unternehmens, insbesondere Kreditkarten-Informationen werden
• Denial of Service Angriff – wenn eine Unternehmens Website von einer Datenmenge überfordert ist auf seine Server in eine bösartige Weise geschoben. Diese Angriffe sind immer einfach und kostengünstig durchzuführen, einige Online-Tools, die so wenig wie £25 pro Stunde kostet.
• Menschliches Versagen – Menschen sind in der Regel das schwächste Glied in einer Sicherheitskette, und eine Vielzahl von Datenschutzverletzungen sind das Ergebnis von Informationen verloren, oder an die falsche Person verteilt. Sogar die scheinbar banale kann weitreichende Konsequenzen haben, besonders wenn es sich um sensible personenbezogene Daten handelt.
• CEO betrug – wo ein krimineller tarnt sich als eine ältere Person innerhalb des Unternehmens, entweder durch hacking oder "spoofing" ihre e-Mail-Konto, und überzeugt jemanden mit Finanzbehörde eine Zahlung leisten