GDV warnt: Daten von jedem zweiten Unternehmen im Darknet

Eine aktuelle Studie von dem GDV zeigt auf, dass sensible Daten von jedem zweiten mittelständischen Unternehmen bereits im Darknet kursieren.

GDV
Bildquelle: geralt, thx!

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) zeigt in einer aktuellen Studie im Auftrag der Versicherer auf, dass Cybersicherheit in kleinen und mittleren Unternehmen häufig völlig vernachlässigt wird. Als Schwachstelle wird auch hier der Mensch genannt.

Durch Initiative CyberSicher zu mehr Cybersicherheit

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) beauftragte bei der PPI AG eine Studie im Rahmen der Initiative CyberSicher. Hierbei sollte die PPI AG die Sicherheit der IT-Systeme von 1.019 kleinen und mittleren Unternehmen passiv testen. Die Analyse führte PPI AG mit dem Analyse-Tool Cysmo durch. Mit Cysmo können Versicherungen u.a. „das Risiko von Cyber-Attacken für ihre Kunden fundiert einschätzen – als innovative Bewertungsgrundlage von Cyber-Policen. Cysmo misst die Erfolgswahrscheinlichkeit von potenziellen und real existierenden Cyber-Attacken.“ Hier erfasste und bewertete Cysmo „alle öffentlich einsehbaren Informationen aus Sicht eines potentiellen Angreifers.“ Die Tests fanden im Juni 2020 statt. Im Ergebnis fanden sich dann Daten von 543 Firmen (53%) im Darknet wieder. Betroffen waren konkret rund 6.500 E-Mail-Adressen von Mitarbeitern, gleich mit den dazugehörigen Passwörtern.

GDV-Studien-Ergebnis: nachlässiger Datenumgang durch Mitarbeiter

Daraus ließ sich ableiten, dass bei der überwiegenden Mehrheit der Unternehmen ein eher sorgloser Umgang mit sensiblen Daten vorherrscht. Der GDV weist darauf hin, dass ein solches Verhalten gerade Cyberkriminellen besonders entgegenkommt. Von Darknet-Markets können Betrüger diese Informationen problemlos erwerben und anschließend für verbrecherische Aktivitäten missbrauchen. Dass allerdings solche Angaben erst im Darknet landen, sei in erster Linie auf einen zu laxen Daten-Umgang der Mitarbeiter zurückzuführen. Die Studie zeigt auf, dass die Daten vorwiegend von gehackten Seiten stammen würden. Mitarbeiter hielten sich dort jedoch nicht zu beruflichen Zwecken auf. Während der Arbeitszeit wären sie u.a. in Online-Shops, sozialen Plattformen oder Gaming-Seiten unterwegs. Aber auch Porno-Seiten hätten Mitarbeiter häufig aufgesucht, wobei sie jeweils die beruflichen E-Mail-Adressen zur Anmeldung verwendeten. Sobald diese Seiten ein Ziel von Hacker sind, sei es sehr wahrscheinlich, dass die Daten dann im Darknet landen.


Peter Graß, GDV-Cyberexperte, warnt und empfiehlt:

„Dann können sich Cyberkriminelle leicht Zugang zum beruflichen E-Mail-Postfach oder zu anderen Diensten verschaffen. Die privaten und dienstlichen E-Mail-Adressen sollten deshalb immer strikt voneinander getrennt werden und auch nicht dasselbe Passwort haben“.

Beliebtestes Hacker-Einfallstor sind E-Mail-Postfächer

Gleichfalls im Rahmen der Initiative CyberSicher hat der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH mit einer repräsentativen Befragung von 300 Führungskräften in kleinen und mittleren Unternehmen beauftragt. Die Interviews fanden zwischen dem 27. März und dem 23. April 2020 statt. Als Ergebnis zeigte sich hier, dass E-Mail-Postfächer als größtes Einfallstor für Cyberkriminelle gelten. Demgemäß sind 58 Prozent aller Cyberangriffe per E-Mail erfolgreich gewesen, indem Mitarbeiter*innen verseuchte Anhänge öffnen oder schädliche Links anklicken. Jedoch sei trotz dieser hohen Risiken auch eine private Nutzung der beruflichen E-Mail-Adresse in vielen Unternehmen nicht ausdrücklich untersagt. Nur 29 Prozent der Firmen verbieten die private Nutzung

GDV gibt an, das Ziel der Initiative CyberSicher war es, die Versicherer für die Gefahren aus dem Cyberspace zu sensibilisieren und zu zeigen, wie sich besonders auch kleine und mittlere Unternehmen (max. 250 Mitarbeiter und max. 50 Mio. Euro Jahresumsatz) schützen können.

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.