Private Smartphones: ein unterschätztes Cyberrisiko für Unternehmen!

Hackerangriffe auf Großkonzerne sind mittlerweile an der Tagesordnung. Kleine und mittelständische Unternehmen sehen sich dennoch wenig davon betroffen. Sie unterschätzen Cyberrisiken und verkennen interne Sicherheitslücken – z.B. das Smartphone, das oft sowohl geschäftlich als auch privat genutzt wird.

2014 veröffentlichte Interpol gemeinsam mit einem Sicherheitssoftware-Anbieter eine Studie, die aufzeigte, dass zwischen August 2013 und Juli 2014 weltweit über 3,4 Millionen Maleware-Angriffe auf über eine Million Android-Nutzer stattfanden. Gerade deutsche Unternehmer sollten bei dieser Meldung aufhorchen, schließlich gehört Deutschland mit 93.000 Attacken zu den am meisten betroffenen Ländern.

Problematisch ist, dass besonders in kleinen und mittelständischen Unternehmen (KMU) Mitarbeiter und Führungspersönlichkeiten überlicherweise private Mobilgeräte geschäftlich nutzen. Dabei werden Angestellte zu einem Cyberrisiko für das Unternehmen, denn viele vernachlässigen den Cyberschutz ihres Privathandys.

Besonders beunruhigend: Mittlerweile können sogar Telefonate leicht abgehört werden. Über das in jedem Handymikrofon eingebaute Gyroskop können Cyberkriminelle Gespräche unmittelbar abfangen. Das Gyroskop dient als Sensor der Bildstabilisierung der Kamera oder für bewegungsempfindliche Spiele.

Während eines Gesprächs gelingt es über mit Malware infizierte Apps und das Gyroskop, Gespräche mitzuhören. Der Telefonierende bemerkt nicht, dass ein Cyberkrimineller mitschneidet. Nutzer können den Zugriff von Apps auf diesen Sensor im Mikrofon nicht verweigern.

Nutzen Unternehmer oder Mitarbeiter ihr Privathandy auch beruflich, können so Firmeninformationen schnell in die Hände von Kriminellen geraten.

Mit Cyberkriminalität schießt man sich schnell ins Aus!

Ein Schadensbeispiel spiegelt einen solchen Fall wider: Ein Mitarbeiter der Führungsebene eines mittelständischen Hotels nutzt während eines Außentermins sein privates Smartphone, um für einen wichtigen Kunden erreichbar zu sein.

Ein Cyberkrimineller verschafft sich mithilfe eines Trojaners Zugang zum geschäftlichen Mail-Account des Hotelangestellten. Der Trojaner war bei der letzten Installation einer Spiele-App auf das Handy des Mitarbeiters gelangt – und ermöglicht dem Hacker den Zugang zur Hoteldatenbank.

Das infizierte Smartphone des Mitarbeiters wird somit unwissentlich zum internen Cyberrisiko für das Unternehmen. Der Datenklau selbst wird meist erst spät bemerkt– nämlich dann, wenn mithilfe der entwendeten Kreditkartendaten der Kunden kriminelle Geschäfte abgewickelt werden.

Der Schaden für das mittelständische Unternehmen aus der Hotellerie beläuft sich auf rund 5.000.000 Euro. Ein Unternehmen stünde in einem solchen Schadensszenario ohne eine passende Cyberversicherung und damit einhergehenden Präventionsmaßnahmen schnell vor dem Aus.

Es ist für Unternehmen nicht verpflichtend, eine Cyberversicherung abzuschließen. In Deutschland sind laut der Hiscox-Studie „The DNA of an Entrepreneur“ 2014 nur 5 % der Unternehmen gegen Cyberrisken versichert. Und das, obwohl sich immerhin 38 % der Befragten bewusst sind, welches Risiko Datenverlust für das eigene Unternehmen bedeuten kann.

Entscheidend ist der Schutz!

Aus Expertensicht werden viele Unternehmen zu einem bestimmten Zeitpunkt einer Form der Cyberkriminalität ausgesetzt sein. Somit ist es aus Expertensicht ratsam, vorzubeugen. Dies gelingt, wenn KMU über einen erfahrenen Partner für Cyberversicherungen verfügen.

Erste Schritte, interne Sicherheitslücken wie die Nutzung des privaten Smartphones zu schließen, sind:

• Mitarbeiter über das damit verbundene Sicherheitsrisiko für das Unternehmen aufzuklären und für den vorsichtigen Umgang zu sensibilisieren.
• In regelmäßigen Abständen die Passwörter auszutauschen.
• Auf geschäftsführender Ebene ausschließlich Geschäftshandys zu nutzen.

Kommt es doch zum Schadenfall, sorgt der passende Versicherer nicht nur für finanziellen Ausgleich, sondern stellt dem Unternehmen auch unmittelbar IT-Experten und IT-Forensiker zur Verfügung. Er hilft, die Ursachen aufzudecken, unterstützt beratend und bewahrt das Unternehmen vor längerfristigen Image-Schäden.

Doch selbst vor dem Schadenfall sorgen Versicherer für entsprechende Präventionsmaßnahmen, indem sie mit IT-Expertenden Kunden einen Krisenplan zur Verfügung stellen. Dieser erhöht die Überlebensfähigkeit des Unternehmens in den ersten Minuten nach dem Angriff entscheidend.