Schatten-IT, Phishing, Malware, oh je! Die Risiken, die Ihr Unternehmen heimlich heimsuchen
In diesem Oktober gibt es mehr zu beachten als Spinnweben, Fledermäuse und Gespenster - sie lauern in den dunklen Ecken der Tabellenkalkulationen, Zusatzanwendungen und Posteingänge Ihres Unternehmens.
Vorsicht: Das Netz da draußen ist verdreht, und dieses Jahr könnte das schaurigste Jahr werden, das wir bisher erlebt haben! Hier ein paar kurze Statistiken, um den Ton anzugeben:
- Der monatliche Threat Pulse des IT-Sicherheitsunternehmens NCC Group vom März 2023 meldete kürzlich einen 91-prozentigen Anstieg der Ransomware-Angriffe im März 2023 im Vergleich zum Februar 2023 und einen 62-prozentigen Anstieg im Jahresvergleich zu den Daten vom März 2022.
- Laut einer Umfrage des Deloitte Center for Controllership erwartet fast die Hälfte (48,8 %) der Führungskräfte, dass die Zahl und der Umfang von Cybervorfällen, die auf die Buchhaltungs- und Finanzdaten ihrer Unternehmen abzielen, im kommenden Jahr zunehmen werden.
- Nach Angaben von Cybersecurity Ventures werden die Kosten der Cyberkriminalität im Jahr 2023 voraussichtlich 8 Billionen Dollar erreichen und bis 2025 auf 10,5 Billionen Dollar ansteigen.
Tauchen wir ein in die Schatten... wenn Sie sich trauen.
Schatten-IT: Entlarvung der Anwendungen auf der dunklen Seite Ihres Netzwerks
Aus den Augen aus dem Sinn bedeutet nicht unbedingt aus dem Sinn, wenn es um unkontrollierte, unbefugte und unsichtbare Kräfte geht, die Ihren digitalen Bereich bedrohen.
Alle IT-Systeme, -Anwendungen, -Software oder -Dienste, die ein Endbenutzer ohne ausdrückliche Genehmigung der IT-Abteilung nutzt, fallen in den Bereich der Schatten-IT. Diese Risiken verbergen sich an mehr Stellen, als Sie denken (und unterliegen nicht der gleichen Überwachung, die bei herkömmlichen Unternehmensanwendungen möglich ist) - das durchschnittliche Unternehmen enthält 4-10 Mal so viele Schatten-IT-Anwendungen wie vom Unternehmen verwaltete Anwendungen. Aus diesem Grund verfolgen viele Unternehmen einen systembasierten Ansatz zur Unterstützung ihrer Kontrollrahmen, der von der Identifizierung und Kategorisierung der Bedrohungslage bis hin zur Erstellung von Reaktionsprotokollen reicht.
Möchten Sie mehr über automatisiertes EUC-Risikomanagement erfahren? Erkunden Sie die folgenden Anwendungsfälle:
- Tabellenkalkulation Risikomanagement
- Risikomanagement beim LIBOR-Übergang
- Dodd-Frank Act und vieles mehr
Piranhas im Wasser: Phishing, Prexting, Köder und mehr
Wenn Sie einen Beweis dafür brauchen, dass Social-Engineering-Angriffe (wie Phishing) auf dem Vormarsch sind, brauchen Sie sich nur die neuesten Schlagzeilen anzusehen. Nehmen Sie zum Beispiel den Cyberangriff auf MGM Resorts, bei dem Hacker angeblich LinkedIn-Informationen nutzten, um sich als ein Mitarbeiter auszugeben und einem anderen sensible Informationen zu entlocken. Das Ergebnis war ein groß angelegter Cyberangriff, der sich auf die Betriebssysteme von MGM auswirkte und zu Ausfällen in den Kasinos, Reservierungssystemen, Buchungssystemen, E-Mail-Systemen usw. führte.
Es gibt einen guten Grund dafür, dass Phishing-Betrügereien im IC3-Bericht des FBI weiterhin als eines der am häufigsten vorkommenden Cyberverbrechen aufgeführt werden . Tatsächlich haben wir im Jahr 2022 eine Rekordzahl an mobilen Phishing-Angriffen verzeichnet.
Die Agentur für Cybersicherheitsinfrastruktur und -sicherheit (CISA) befasst sich mit Phishing als einem der Cyberverbrechen, auf die man im diesjährigen Monat des Sicherheitsbewusstseins achten sollte. Die CISA konzentriert sich darauf, wie Einzelpersonen, Familien und kleine bis mittlere Unternehmen unsere Welt sichern können:
- Verwendung sicherer Passwörter
- Einschalten der Multi-Faktor-Authentifizierung (MFA)
- Erkennen und Melden von Phishing
- Aktualisierung der Software
Vorsicht: Malware, Ransomware und mehr
Die Zahl der Malware-Angriffe ist 2020 zum ersten Mal seit fünf Jahren leicht gesunken - aber sie steigt wieder an und erreicht jetzt 10,4 Millionen pro Jahr, so der Cyber Threat Report 2022 von SonicWall. Derselbe Bericht identifizierte 270.228 "nie zuvor gesehene" Malware-Varianten allein in der ersten Hälfte des Jahres 2022.
Ganz zu schweigen davon, dass neue Technologien (wie GenAI) nicht unbedingt neue Bedrohungsfähigkeiten einführen, sondern bösartigen Akteuren helfen, agiler und effektiver zu sein. Sprachmodelle können jetzt von böswilligen Akteuren genutzt werden, um überzeugender zu sein, z. B. um Social-Engineering-Angriffe überzeugender und gefährlicher zu machen. Und einige bösartige Akteure können sogar ihre eigenen Sprachmodelle erstellen.
Tatsache ist, dass die Bedrohungen immer schneller und effektiver werden - und Ihr Risikomanagement muss sich dementsprechend anpassen.
Wie können wir bewusster handeln?
Um Ihre Risikostrategie zu erweitern und sie zu einem Prozess zu machen, den Sie kontinuierlich verbessern (und messen) können, müssen Sie mehr Mitarbeiter aus Ihrem Unternehmen einbeziehen, ständig neue Informationen weitergeben, sobald sie verfügbar sind, und mit automatisierungsbasierter Technologie flexibel bleiben. Auch die Sicherheitsschulung wird anders aussehen: Die Mitarbeiter müssen besser in der Lage sein, Bedrohungsindikatoren zu erkennen (z. B. eine nicht übereinstimmende Absenderadresse/einen nicht übereinstimmenden Absendernamen) als eklatante Rechtschreibfehler.

Schreckensbonus: Risiko für Dritte
Während Ransomware schon seit einigen Jahren in den Schlagzeilen ist, sind Drittanbieter ein aufstrebendes Ziel, da sie durch ihre Partnerschafts-Ökosysteme den Bedrohungsakteuren Größenvorteile bieten.
In einer Welt der Telearbeit, der globalen Herausforderungen in der Lieferkette und eines wachsenden Ökosystems von Anbietern, die Ihr Unternehmen unterstützen, ist das Risiko nicht mehr an Ihren Hauptsitz gebunden, was bedeutet, dass Sie in der Lage sein müssen, dies zu tun:
- Identifizierung der Risiken, die mit einem erweiterten Anbieter-Ökosystem verbunden sind
- Minderung der Risiken, die von Dritt- und Viertanbietern ausgehen
- Bestimmen Sie, ob Ihre aktuelle Strategie und Technologie ein umfassendes Risikomanagementprogramm für Dritte unterstützt.
Möchten Sie weitere Tipps zur Erkennung und Minderung von Risiken Dritter? Laden Sie unsere umfassende TPRM-Checkliste herunter.
Wie Sie Ihr Risikomanagement von beängstigend zu sicher machen - und es messen
Bedrohungen sind am furchterregendsten, wenn sie im Dunkeln bleiben. Eine erfolgreiche Risikomanagement-Strategie ist daher eine, bei der man die Spinnweben entfernt und die Lichter einschaltet. Bedrohungen sollten nicht mehr als Überraschungen angesehen werden, die aus dem Schatten herausspringen, sondern als erwartete Ereignisse, die jedes Unternehmen betreffen. Um diesen Wandel zu bewältigen, setzen strategische Unternehmen Risikomanagement-Technologien ein, die maschinelles Lernen mit ständiger Wachsamkeit verbinden, um die Benutzer bei der Erkennung, Eindämmung und Meldung von Risiken zu unterstützen.
Weitere Ressourcen, die Sie interessieren könnten:
- Sichern Sie unsere Welt: 4 Best Practices für die Sicherheit am Arbeitsplatz im Monat des Cybersecurity Awareness
- Abstimmung Ihres Cyber-Risikomanagement-Programms auf das Endergebnis Ihres Unternehmens
- Der Cyberangriff auf MGM Resorts: Was Sie wissen müssen (und was er für Ihre Risikomanagementstrategie bedeutet) | Mitratech
Entdecken Sie preisgekröntes Schatten-IT- und EUC-Management
Sehen Sie, warum ClusterSeven einen Gold Mutable Award im Bloor InBrief Report 2023 gewonnen hat