In Zeiten des Digitalen Wandels gewinnt das Thema Cyber Security zunehmend an Bedeutung. Die Advanced Cybersecurity Risk Assessment-Checkliste, kurz ACRAC, hilft Unternehmen dabei, Schwachstellen in ihrer IT-Infrastruktur schnell und einfach zu identifizieren.
Erst vor wenigen Wochen wurde der 24. Microsoft Security Intelligence Report (SIR) veröffentlicht. Basierend auf 6,5 Billionen sicherheitsrelevanter Meldungen, die täglich durch die Microsoft Cloud laufen, kommen Sicherheitsexperten für das Jahr 2018 zu folgenden Erkenntnissen:
- Ransomware-Angriffe: Bei dieser Form der Internetkriminalität werden sogenannte Erpressungs-Trojaner per E-Mail verschickt. Sie verschlüsseln den Rechner des Empfängers, der erst wieder an seine Daten kommt, wenn er das „Lösegeld“ bezahlt hat. Ransomware-Angriffe erreichten 2017 ihren Höhepunkt, gingen 2018 jedoch um 73 Prozent zurück – unter anderem aufgrund der stark gewachsenen öffentlichen Aufmerksamkeit.
- Malware per Update: Wenn man seit Jahren eine bestimmte Software einsetzt, vertraut man im Regelfall deren Anbieter. Genau dieses Vertrauen nutzen Kriminelle zunehmend aus. Laut SIR stellen „infiltrierte Software-Lieferketten“ inzwischen ein großes Risiko dar. Dabei wird Malware in die Software-Updates eingeschleust, die zum Teil automatisch auf den Endgeräten der Nutzer installiert werden.
- Phishing-Attacken: Beim schon seit vielen Jahren weit verbreiteten Phishing verschicken die Betrüger E-Mails, in denen die Nutzer dazu aufgefordert werden, Login-Daten einzugeben oder Zahlungen zu tätigen. Unglaublich aber wahr: Im Vergleich zu 2017 stieg die Zahl der Phishing-Attacken im vergangenen Jahr um 250 Prozent.
Betroffen sind von solchen Angriffen nicht nur Privatpersonen, sondern zunehmend auch Unternehmen. Immer häufiger wird Malware so programmiert, dass sie sich insbesondere für Angriffe auf Firmennetzwerke eignet. Im Fokus steht dabei vor allem der Diebstahl interner Daten. Der „State of Malware“-Report von Malwarebytes verzeichnet im Jahr 2018 im Bereich der auf Geschäftskunden fokussierten Schadsoftware eine Zunahme um mehr als 100 Prozent im Vergleich zum Vorjahr.
Open Source-Projekt ACRAC: Checkliste für Unternehmen
Aber wie findet man als Unternehmen überhaupt heraus, wie gut man in puncto Cybersecurity aufgestellt ist? Einen guten ersten Anhaltspunkt liefert die sogenannte Advanced Cybersecurity Risk Assessment-Checkliste, kurz ACRAC. Sie wurde von Sicherheitsexperte Lars Hilse erarbeitet und kann kostenlos heruntergeladen werden.
„Ich habe das Projekt wegen meines Briefings für das EU-Parlament gestartet.
Ich habe mir angeschaut, was es im Netz so zum Thema Cybersecurity für Unternehmen gibt. Dabei habe ich festgestellt, dass zwar Material vorhanden ist, allerdings waren das fast ausnahmslos Sales Pitches, also Texte, die von Firmen erstellt wurden, um ihre eigenen Sicherheitslösungen zu verkaufen. Also habe ich meine eigene Sammlung erstellt und diese unter Open Source-Lizenz veröffentlicht. Jeder kann dazu beitragen.“ – Lars Hilse
Herausgekommen ist dabei die ACRAC-Checkliste, die regelmäßig von der Community aktualisiert wird – und das ist auch wichtig, denn die Bedrohungslage im Internet verändert sich mitunter rasant. Mithilfe der Checkliste und einfachen Ja-Nein-Fragen können interessierte Unternehmen Stück für Stück ihre sicherheitsrelevanten Bereiche durchleuchten und Sicherheitslücken identifizieren.
