«Sicherheitsexperten sind die am meisten gesuchten IT-Fachleute»
Fast jedes zweite Unternehmen verzeichnete während der Pandemie mehr Cyber-Angriffe. IT Security wurde deshalb weltweit zur Investitionspriorität Nummer 1. Gleichzeitig fehlt es allerorts an Security-Fachkräften, wie eine neue KMPG-Studie jetzt zeigt.
Wundersame Bestellmöglichkeiten von Masken, während alles restlos ausverkauft schien oder Postpakete, die angeblich am Zoll feststecken – Pandemie ist Hochsaison für Cyberkriminelle. Ein Klick auf einen Email-Anhang genügt, um sich Schadsoftware einzufangen.
Denn Cyberkriminelle sind äusserst geschickt darin, ihre Angriffe an aktuelle Grossereignisse anzupassen und gezielt jede neue Schwachstelle auszunutzen, die sich durch Unwissen, Angst oder Panik ergeben.
Laut dem CIO Survey 2020 von KMPG und Harry Nash unter 4’200 CIOs in 108 Ländern berichten 41 % von sprunghaft angestiegenen IT-Sicherheitsvorfällen. Insbesondere Phishing und Malware-Attacken haben seit dem Beginn der Pandemie massiv zugenommen.
Der weltweite Trend bestätigt sich auch hierzulande. «Cyberkriminelle nutzen Pandemie schamlos aus», titelt die Computerworld anlässlich des 31. Halbjahresberichts der Schweizer Melde- und Analysestelle Informationssicherung (kurz: Melani).
Quelle: Melani
Phishing & Malware
Laut Melani-Bericht, wurde in den letzten Monaten praktisch jede bekannte Malware-Familie mithilfe eines inszenierten COVID-Themas verbreitet, am häufigsten durch verseuchte Links oder Attachments, aber auch über gefälschte Contact Tracing Apps oder Websites, die Gratis-Software für Online-Konferenzen anboten.
Die Taktik des Phishings bot Einfallstore für massenhafte Betrugsvorfälle. Im Namen von Netflix wurden beispielsweise zu Beginn des Lockdowns Gratisabos gegen Kreditkartendaten versprochen. Manipulierte Konferenzeinladungen von Zoom & Co. ermöglichten es dagegen Passwörter auszulesen.
Sicherheitslücken im Homeoffice
Speziell thematisiert Melani auch das Thema Homeoffice, da viele Attacken gezielt auf die neue Arbeitssituation ausgerichtet wurden. Zum einen auf Mitarbeitende, die auf sich allein gestellt waren, zum anderen an Sicherheitslücken in den Fernzugriffslösungen.
Durch COVID-19 wurden massenhaft Mitarbeitende von einem auf den anderen Tag aus dem gesicherten Unternehmensnetzwerk ins Homeoffice geschickt. Nicht selten unvorbereitet. Firmen, die bereits vor Corona mit Sicherheitslücken zu kämpfen hatten, taten sich jetzt besonders schwer. Denn durch Remote Work ist die Angriffsfläche sprunghaft um ein Vielfaches gestiegen.
Die Angreifer hätten Ihre Scanning-Aktivitäten noch weiter verstärkt, um Schwachstellen in den Fernzugriffslösungen ausfindig zu machen und in die Firmennetzwerke einzudringen.
Zudem sei der Umgang mit den abrupt eingeführten Collaboration Tools oft noch zu wenig vertraut: «Viele Nutzende verwendeten zum ersten Mal Konferenz-und Kollaborationssoftware und von solchen Plattformen versendete Nachrichten waren ihnen nicht geläufig, weshalb entsprechende Fälschungen für sie nicht einfach zu erkennen waren.», erläutert Melani.
Webinar-Tipp
IT Security wird zur Chefsache
Viele Unternehmen haben jedoch rasch reagiert und trotz erwartbaren Umsatzrückgängen ihre IT-Budgets im Security-Bereich aufgestockt: «47 Prozent der Technologieinvestitionen waren während der Pandemie Investitionen in Sicherheit und Datenschutz.», konstatiert die KMPG-Studie. Die durch die Digitalisierung enorm gewachsene Bedeutung von IT Security habe durch COVID-19 nochmals einen deutlichen Schub erhalten und sei nun endgültig in den Chefetagen angekommen.
Das bestätigt auch die aktuelle PWC-Studie «Global Digital Trust Insights 2021». 96 Prozent von über 3’000 befragten Führungskräften gaben an, ihre Cybersecurity-Strategie aufgrund der Pandemie adaptiert zu haben. Mehr als jede zweite Führungskraft wolle das Budget für Cyber Security erhöhen und mehr Fachkräfte einstellen.
Cyber-Security-Experte und KMPG-Partner Andreas Tomek erhofft sich, dass das schnelle Umlenken in der Pandemie zu einem langfristigen Umdenken führt. Im Bereich IT-Sicherheit und Datenschutz gelte es jetzt die Standards zu erhöhen und verstärkte Sicherheitsmassnahmen zu implementieren.
3,5 Millionen offene Jobs für IT-Security-Fachkräfte
Allerdings habe die Studie gezeigt, dass noch eine deutlich Lücke zwischen Wunsch und Realität klafft: «Vier von zehn Unternehmen weltweit wurden Opfer eines Cyberangriffs, gleichzeitig haben sie grosse Schwierigkeiten, qualifizierte Cyberexperten zu finden.»
PWC identifiziert weltweit eine gravierende Qualifikationslücke, die Fachhochschulen und Universitäten nicht mehr zu füllen vermögen: «Mit 3,5 Millionen offenen und bis 2021 zu besetzenden Stellen plagt die Branche ein Mangel an qualifizierten Arbeitskräften.» Insbesondere in den Themen Cloud Security und Datensicherheit fehle es an Personal.
Immer mehr Unternehmen setzten deshalb auf das Personal innerhalb der eigenen Organisation und förderten diese gezielt mit Weiterbildungsmöglichkeiten, so die PWC-Analyse. Andere griffen auch auf sogenannte Managed Services zurück und lagern die Cybersecurity an externe Spezialisten aus.