Wer im Internet unterwegs ist, der muss sich absichern. Das gilt erst recht für Unternehmen, die mit eigenen Webangebotem im Netz vertreten sind – oder vielleicht sogar auch noch anderweits ans Netz angebunden sind. Die Gefahren sollten auf keinen Fall unterschätzt werden: Cyberkriminelle nutzen früher oder später jedes Sicherheitsleck.
Dass Online-Tools, Cloud-Dienste, eine Website und eine gute technische Infrastruktur heute zur Grundausstattung praktisch jedem Unternehmens gehören, dürfte klar sein. Leider werden dabei allerdings Security-Aspekte nach wie vor deutlich unterschätzt. Grundsätzlich gilt: Jede Website muss heute angemessem abgesichert sein. Ein Hackerangriff kann heute einfach zu großen Schaden anrichten. Suchmaschinen wie Google strafen gehackte Webseiten ab.
Auch, wenn Unternehmen für Cyberattacken sensibilisiert sind, bleibt dies oft eine Sache der Chefetage. Dabei sollten Programmierer und auch das Online-Marketing das Thema ebenfalls auf dem Schirm haben. Doch was ist dabei zu beachten und wie lässt sich Online-Security durchsetzen?
Abbildung 1: Online-Security wird für Unternehmen mehr und mehr zur Überlebensfrage. doch was ist dabei zu beachten?
Bildquelle: @ Philipp Katzenberger / Unsplash.com
Studie: Wie steht es um KMUs und Mittelständler?
Ein genauer Blick auf die Lage in Sachen Cyber-Security bei KMUs und Mittelständlers zeigt, wie ernst die Lage ist. So berichten laut einer Studie des GDV 30% der befragten Unternehmen von wirtschaftlichen Schäden durch Cyberattacken. Zusätzlich ergab sich, dass die Größe des Unternehmens in Zusammenhang mit dem Erfolg von Cyberattacken steht: Je kleiner das Unternehmen, desto eher kommen die Angreifer durch. Die wirtschaftlichen Schäden nehmen dabei ganz unterschiedliche Formen an:
- Kosten für Aufklärung und Datenwiederherstellung (59%)
- Unterbrechung des Betriebsablaufs (43%)
- Reputationsschaden (14%)
- Diebstahl von Kunden- oder Kreditkartendaten (11%)
Trotzdem sehen sich 73% aller Unternehmen ausreichend gegen Cyberattacken geschützt. Hier zeigt sich, dass diese Einschätzung nicht in jedem Fall den Tatsachen entspricht und noch Nachholbedarf besteht.
Häufige Angriffe im Bereich Cyber-Kriminalität
Das Instrumentarium von Hackern für Cyberattacken zeigt sich mittlerweile als außerordentlich vielseitig. Zu den häufigsten Aktionen gehören:
- Social Engineering (Phishing und betrügerische Websites)
- Typ der Malware-Infizierung: Serverkonfiguration
- Typ der Malware-Infizierung: SQL-Einschleusung
- Typ der Malware-Infizierung: Code-Einschleusung
- Typ der Malware-Infizierung: Fehlervorlage
- Websiteübergreifende Malware-Warnungen
- Typ des Hacks: Code-Einschleusung
- Typ des Hacks: Einschleusung von Inhalten
- Typ des Hacks: URL-Einschleusung
Phishing per Mail und auch das Nachstellen bekannter Websites zum Datenabgriff dürften den meisten Mitarbeitern mittlerweile bekannt sein. Trotzdem fallen nach wie vor recht viele Geschädigte darauf herein. Dies mag aber auch an der Tatsache liegen, dass die Angriffe immer besser werden und professioneller aussehen.
Was sagt Google zum Thema Cybersicherheit?
Wer sich mit Suchmaschinenoptimierung (SEO) beschäftigt, weiß mittlerweile, dass eine grundlegende Absicherung der Website ein Ranking-Kriterium darstellt. Leider verstehen die meisten darunter lediglich die Einrichtung eines Sicherheitszertifikates (SSL). Doch diese Maßnahme ist allein nicht ausreichend. Auch eine grundlegende Absicherung wird mittlerweile vorausgesetzt. Im Umkehrschluss bedeutet das: Gehackte Websites werden von Google abgestraft, weil sie für Nutzer eine negative Nutzererfahrung mit sich bringen.
Beispiel in Kurzform
Ein Beispiel zeigt sich an folgendem Screenshot:
Das Unternehmen wurde bereits wenige Tage nach dem launch Opfer eine Hacker-Attacke und wurde deshalb von Google deindexiert. Somit waren die Kosten für die Entwicklung der Website nur der Anfang. Zusätzlich musste großer Aufwand betrieben werden, um den Fehler zu finden. Ohne Backups entsteht zudem das Problem, dass man nicht einfach zu einem vorigen Punkt zurückspringen kann.
Darüber hinaus besteht danach das Google-Problem zunächst weiter. Nach der Bereinigung müssen betroffene Unternehmen für die eigene Website zunächst einen Reconsideration Request stellen. Dabei prüft Google erneut, ob alle Probleme ausgeräumt wurden. Ist das der Fall, wird die Seite erneut freigegeben. Dies kann mitunter mehrere Wochen dauern, wenn man auf die Hilfe von Profis verzichtet. Doch hier gilt: Zeit ist Geld!
Wichtig: Schädliche Dateien von Hacker lassen sich nicht immer so einfach finden. Mitunter schlummern diese Schadprogramme mehrere Wochen, bevor sie zum Einsatz kommen. Aus diesem Grund ist es sinnvoll, täglich Backups anzufertigen und im Notfall auch einmal auf ein Backup von vor mehreren Wochen zurückzugreifen. Das ist immer noch günstiger, als komplett von vorn beginnen zu müssen.
Geeignete Schutzmaßnahmen für Unternehmen
Wenn Unternehmen das Thema Online-Security richtig angehen wollen, muss dieser Aspekt von Anfang Teil der Website- und Shop-Entwicklung sein. Vorsicht ist besser als Nachsicht und hilft dabei, Hackangriffe deutlich zu erschweren. Bei der Beauftragung eines Programmierers sollte die Security gleich Teil des Angebots sein. Zusätzlich sollten Unternehmen eine genaue Erklärung einfordern, wie das Ganze sichergestellt wird. Somit lässt sich sicherstellen, am Ende auf seriöse Anbieter zu setzen, die wirklich im Sinne der Sicherheit des Unternehmens handeln.
Zusätzlich sind folgende Maßnahmen sinnvoll:
- Regelmäßige Überprüfung: Eine regelmäßige Prüfung der Online-Security der eigenen Website sollte als Standard im Unternehmen implementiert wird. Nur so lässt sicherstellen, dass die Sicherheitsmechanismen noch greifen. Da Hacker sich auch immer weiterentwickeln, ist es sinnvoll, durch eine Überprüfung mögliche Lücken frühzeitig zu entdecken und zu schließen. Hierbei sind auch Tools wie der Website Security Check der OSG hilfreich, die einen kostenlosen Check ermöglichen. So lassen sich Schwachstellen schnell und sicher identifizieren.
- Mit Rechtervergabe arbeiten: Eine gute Praxis bei der Rechtevergabe sorgt dafür, dass nur sachkundige Personen systemrelevante Änderungen durchführen dürfen. Dies bleibt dann zum Beispiel der IT-Abteilung vorbehalten, während der Praktikant zum Beispiel nur eine Freigabe für seinen Arbeitsbereich erhält. Dies erfordert vorher natürlich eine genaue Planung, wer wann welche Zugangsberechtigungen benötigt.
Wer diese Maßnahmen beachtet, kann eine gute Basis in Sachen Online-Security legen und somit zum Teil hohe wirtschaftliche Schäden vom eigenen Unternehmen abwenden.
Abbildung 2: Wird der Sicherheitsgedanke bereits bei der Programmierung beachtet, lassen sich Sicherheitslücken deutlich besser abdecken. Bildquelle: @ Markus Spiske / Unsplash.com
Fazit: Online-Security niemals unterschätzen
Die obigen Studien zeigen sehr eindrucksvoll, welche Schäden ein Hackerangriff auf die Website oder den Shop eines Unternehmens haben können. Darüber hinaus existiert jedoch eine erschreckend hohe Zahl an Unternehmen, die sich in Sachen Sicherheit gut aufgestellt sehen und das Problem zu unterschätzen scheinen.
Die Erfahrung zeigt jedoch, dass Online-Security nicht hoch genug auf der Prioritätenliste stehen kann. Wer diesen Gedanken gleich bei der Erstellung von Website oder Online-Shop einfließen lässt, regelmäßig Überprüfungen durchführt und zudem die Zugangsrechte geschickt vergibt, kann bereits eine gute Basis in Sachen Security legen. Dies ist zusätzlich auch im Hinblick auf SEO wichtig, da die entsprechenden Bereiche sich auch auf das Ranking auswirken können. Bei einer Online Marketing Agentur erhält man eine kompetente Beratung rund um alle Bereiche der Online-Security.
