Absolut Niemand scheint mehr vor Hacker-Attacken sicher zu sein – selbst Facebook-Gott Mark Zuckerberg nicht. 🙂 Das demonstrierte der palästinensische Programmierer Khalil Shreateh diese Woche auf wirksame Art und Weise: Er hinterließ eine Nachricht auf der Timeline des CEOs, um ihn auf eine Sicherheitslücke in den Privatsphäre-Einstellungen von Facebook hinzuweisen. Was hier ein harmloser Scherz war, der für Schmunzeln (nicht nur in der Netzgemeinde) sorgte, ist an anderer Stelle bitterer Ernst: Cyber-Kriminalität und gefährlicher „Hackersport“ werden mehr und mehr zum Problem – und stellen für viele Unternehmen ein Risiko für das eigene Business dar.
Rund 70.000 Euro kostet kleine und mittelständische Unternehmen eine zielgerichtete Attacke, wie eine Studie von Kaspersky Lab zeigt. Das kann existenzbedrohend sein. Wie es um Cyber-Kriminalität bestellt ist und wie Ihr Euch als Freiberufler oder Agentur davor schützen könnt, darum geht es diese Woche auf meinem Blog.
“Sorry, this is not a bug“– Oder doch?
Wenn ein Hacker seinen „Angriff“ schon ankündigt, sollte man diese Warnung nicht mit Missachtung strafen. Genau das haben die Mitarbeiter von Facebook getan. Nämlich die Nachricht von Khalil Shreateh ignoriert. Darin hatte er den Facebook-Buggemeldet, der es ermöglicht, auf die Pinnwand fremder Personen zu posten.
„Sorry, this is not a bug“, antwortete ihm das Security-Team von Facebook kurz angebunden. Shreateh bewies das Gegenteil – und postete kurzerhand eine freundliche Nachricht an Mark Zuckerberg selbst –AUF dessen Facebook-Timeline:
„Lieber Mark Zuckerberg, zunächst bitte ich Sie um Entschuldigung, dass ich Ihre Privatsphäre verletzt und an ihre Pinnwand geschrieben habe. Aber ich hatte keine andere Wahl, nachdem ich all die Berichte ans Facebook-Team schickte. Mein Name ist Khalil, ich komme aus Palästina.“
Und das, ohne mit ihm befreundet zu sein, was einen –Zugriff auf das Profil schlicht unmöglich machen sollte. Keine fünf Minuten später war das Profil des Programmierers gesperrt und Facebook kündigte an, den Fehler sofort zu beheben.
50 Mrd. Euro Schaden: Zunahme von Cyber-Attacken
Ein netter Hinweis auf der Pinnwand des Chefs – dieses Ereignis steht in der Hackerwelt ziemlich alleine da. Denn für gewöhnlich weisen Hacker nicht freundlich auf Sicherheitslücken im System hin, sondern nutzen sie hemmungslos aus. Dabei gehen Cyberkriminelle weitaus aggressiver vor, als dies noch vor einigen Jahren der Fall war. Die polizeiliche Kriminalstatistik zeichnete allein im Jahr 2012 in Deutschland 64.000 Cyber-Angriffe auf. Die tatsächliche Zahl dürfte aber noch weitaus höher liegen, da die Statistik Attacken aus dem Ausland nicht erfasst.
Nicht immer ist dabei finanzieller Diebstahl das Ziel der Angriffe – auch der Handel mit Kundendaten und Firmenwissen erlebt gerade eine neue Blütezeit. Längst sind es nicht mehr nur die großen Konzerne, die davon betroffen sind. Immer mehr kleine und mittlere Unternehmen werden Opfer von Cyber-Kriminalität: Aufgrund ihrer meist eher schwachen Sicherheitssysteme sind sie leichte Beute für Hacker.
Und: Weil das eigene Business verstärkt ins Internet verlagert wird, neue onlinebasierte Geschäftsmodelle entstehen, steigen auch die Chancen, durch Internetpiraterie ans große Geld zu gelangen. Auf insgesamt 50 Milliarden Euro beläuft sich laut Verfassungsschutz der jährliche Schaden für die deutsche Wirtschaft durch Cyber-Kriminalität und elektronischer Spionage.
Bewusstsein schaffen, Risiken vorbeugen
Eine stolze Summe. Und dennoch fehlt hierzulande noch weitgehend das Bewusstsein für die Gefahren, die das Internet mit sich bringt. Das könnte sich jedoch spätestens dann ändern, wenn die von Bundesinnenminister Friedrich geforderte Meldepflicht von IT-Attacken für Betreiber sog. kritischer Infrastrukturen in Kraft tritt.
Der gesetzliche Zwang, Cyber-Angriffe zu melden, hätte nicht nur einen sprunghaften Anstieg öffentlich werdender Attacken zur Folge, sondern könnte gleichzeitig zur Sensibilisierung für das Thema beitragen – auch und vor allem unter dem Aspekt der Risikoprävention.
In den USA ist das bereits der Fall: 14% aller Unternehmen verfügten dort 2011 über eine Versicherung mit Deckung für Hacker-Attacken – Tendenz steigend. Auch in Deutschland werden erste Versicherungslösungen angeboten (Stichwort: Datenschutz- & Cyber-Deckung).
Datenschutz- & Cyber-Eigenschaden-Deckung bietet Schutz
Dass sich eine solche Versicherung im Ernstfall lohnt, zeigt eine weltweite Umfrage des IT- Sicherheitsunternehmens Kaspersky Lab: Demnach kosten Cyber-Angriffe klein- und mittelständische Unternehmen im Durchschnitt 70.000 Euro. Bei den Großunternehmen schlagen die Attacken sogar mit durchschnittlich 1,8 Millionen Euro zu Buche.
Da kommt es weitaus günstiger, in eine spezielle Versicherung mit Datenschutz- & Cyber-Eigenschaden-Deckung zu investieren – dadurch wird nicht nur größeren Schäden, sondern auch einem Vertrauensverlust seitens der Kunden entgegengewirkt.
Und natürlich sollte das Problem auch direkt an der Wurzel angepackt werden: Durch einen sorglosen Umgang mit vertraulichen Daten öffnet sich den Hackern so manche Tür – ganz ohne Brecheisen.
Übrigens: Für seine unkonventionelle und positive Aktion, erntete Khalil Shreateh viel Lob und Ehre. Dabei wird es aber wohl auch bleiben. Denn die Belohnung von mehr als einer Million US-Dollar, die Facebook verspricht, wenn Sicherheitshinweise gemeldet werden, wird dem arbeitslosen Programmierer seitens Facebook verwehrt. Begründung: Indem er den Bug im Profil eines Fremden ausprobierte, verstieß er gegen die Nutzungsrichtlinien des Netzwerkes – und geht deshalb leer aus.