Digineer Station – shutterstock.com
In einer vernetzten Geschäftswelt stehen Unternehmen vor beispiellosen Cybersicherheits-Herausforderungen. Laut dem IBM Cost of a Data Breach Report 2024 betragen die durchschnittlichen Kosten eines durch Phishing verursachten Datenlecks etwa 4,88 Millionen Dollar. Nach Branchenschätzungen werden täglich etwa 3,4 Milliarden Phishing-E-Mails verschickt. Gleichzeitig wächst die globale Datenhändlerbranche auf geschätzte 280 Milliarden Dollar im Jahr 2024. Diese Branche sammelt systematisch Informationen über Mitarbeiter, Kunden und Geschäftspartner – oft ohne deren Wissen. Traditionelle Sicherheitskonzepte wie Firewalls und Intrusion Detection reichen nicht mehr aus.
Die Grenzen von Firewall und Intrusion Detection
Eine Firewall ist unverzichtbar, hat jedoch fundamentale Einschränkungen: Sie ist hauptsächlich reaktiv und auf bekannte Bedrohungen konfiguriert. Bei täglich 300.000 neuen Malware- Varianten entstehen erhebliche Sicherheitslücken. Zudem konzentriert sie sich primär darauf, dass niemand ins Firmennetzwerk eindringt – die unkontrollierte Übertragung sensibler Daten nach außen bleibt oft unbemerkt.
Intrusion-Detection-Systeme (IDS) wiederum erkennen Eindringlinge erst, wenn diese bereits im System sind – vergleichbar mit einem Rauchmelder, der vor einem Brand warnt, ihn aber nicht verhindert. Advanced Persistent Threats (APTs) können so monatelang unentdeckt in Netzwerken verweilen.
Was die Datenindustrie über Ihr Unternehmen weiß
Data Broker sammeln systematisch Informationen, die weit über das hinausgehen, was Unternehmen bewusst ist. Nach Branchenberichten haben führende Data Broker personenbezogene Daten von schätzungsweise 70 Prozent der weltweiten Online-Bevölkerung erfasst. Der Marktwert dieser Branche beträgt 2024 rund 280 Milliarden Dollar – größer als der globale Cybersicherheitsmarkt.
Die gesammelten Daten betreffen nicht nur das Unternehmen selbst, sondern auch Mitarbeiter, Kunden und Geschäftspartner.
Das Gefährliche: Diese Daten fließen kontinuierlich und unbemerkt ab – durch alltägliche Internetnutzung am Arbeitsplatz. Jeder Webseitenbesuch, jede App-Nutzung, jedes vernetzte Gerät wird zum Datenlieferanten. Für herkömmliche Firewalls ist dieser Datenabfluss unsichtbar, da er als legitimer ausgehender Datenverkehr erscheint.
Über Mitarbeiter erfasst die Datenindustrie umfangreiche Informationen. Standort und Bewegungsmuster werden über die IP-Adresse beim Surfen ermittelt. Daraus entstehen detaillierte Profile darüber, welche Technologien ein Mitarbeiter recherchiert, an welchen Projekten er arbeitet und welche Wettbewerber er analysiert.
Auch die berufliche Rolle und Position werden erfasst: Tracker auf Karriereportalen wie LinkedIn und Xing registrieren Profilbesuche und Interaktionen, während Browser-Fingerprinting wiederkehrende Besucher auch ohne Cookies identifiziert. Die Kombination aus Firmendomain, Surfverhalten und Social-Media-Aktivitäten ermöglicht die Zuordnung zu konkreten Personen und ihren Entscheidungsbefugnissen. Hinsichtlich Kommunikationsmuster und Metadaten gilt: Selbst bei verschlüsselten E-Mails können alle Metadaten mitgelesen werden.
Über Kunden und Geschäftspartner werden ebenfalls sensible Informationen gesammelt. Geschäftsbeziehungen lassen sich ermitteln, wenn Mitarbeiter Kunden-Websites besuchen oder Partner- Portale nutzen, da eingebettete Tracker diese Verbindungen erfassen können und die Häufigkeit der Besuche die Intensität der Geschäftsbeziehung verrät. Projektinformationen werden sichtbar, weil Recherchen zu bestimmten Technologien, Branchen oder Märkten über Browser-Tracking protokolliert werden. Daraus lässt sich ableiten, an welchen Projekten gearbeitet wird und welche Investitionen geplant sind. Bei der Nutzung von Cloud-basierten CRM- Systemen, Projektmanagement-Tools oder Collaboration-Plattformen können eingebettete Analyse-Skripte zudem Informationen über verarbeitete Kundendaten erfassen.
Data Broker bieten ihre Datenbanken als legale Dienstleistung an, etwa für Hintergrundüberprüfungen, Marketing oder Kreditwürdigkeitsprüfungen. Das bedeutet: Auch Cyberkriminelle und staatliche Akteure können diese Daten problemlos erwerben.
Wie Cyberkriminelle diese Daten nutzen
Beim CEO Fraud (Chef-Betrug) geben sich Angreifer als Geschäftsführer oder Führungskräfte aus, um Mitarbeiter zur Überweisung von Geldern zu verleiten. Laut FBI führten zwischen 2013 und 2023 über 305.000 solcher Vorfälle zu weltweiten Verlusten von über 55 Milliarden Dollar. Die von Data Brokern gesammelten Informationen über Position, Reisepläne und aktuelle Projekte machen diese Angriffe erschreckend glaubwürdig. 2024 berichteten 64 Prozent der Unternehmen von solchen Angriffen.
Spear Phishing zielt im Gegensatz zu breit gestreutem Phishing auf spezifische Mitarbeiter. Mit Wissen über deren Rolle, Projekte und Kontakte erstellen Angreifer hochgradig personalisierte Nachrichten. Obwohl Spear-Phishing weniger als 0,1 Prozent des E-Mail-Volumens ausmacht, ist es für 66 Prozent aller Datenpannen verantwortlich.
Staatliche Akteure als zusätzliche Bedrohung
Neben Cyberkriminellen stellen staatlich finanzierte Hackergruppen eine wachsende Bedrohung für Unternehmen dar. Diese sogenannten Nation-State Actors verfügen über erhebliche Ressourcen und nutzen die von Data Brokern gesammelten Informationen für gezielte Wirtschaftsspionage und Sabotage.
Die Zahlen sind alarmierend: Laut CrowdStrike nahmen chinesische Cyber-Spionage-Aktivitäten 2024 um 150 Prozent zu, in bestimmten Branchen sogar um bis zu 300 Prozent. Das BSI registrierte 2024 durchschnittlich 309.000 neue Malware-Varianten pro Tag. Nach Angaben von Microsoft sind russische, chinesische, iranische und nordkoreanische Gruppen für den Großteil der staatlich unterstützten Cyberangriffe verantwortlich. Allein die bekannten APT-Gruppen (Advanced Persistent Threats) wie APT27, APT28, APT29, APT31, APT41, Lazarus Group und Kimsuky führen hunderte aktive Kampagnen gegen westliche Unternehmen durch.
Diese Gruppen nutzen die von Data Brokern verfügbaren Informationen zur präzisen Zielidentifikation, für Social-Engineering– Angriffe und zur langfristigen, unentdeckten Infiltration von Unternehmensnetzwerken. Die durchschnittliche Verweildauer eines APT in einem kompromittierten Netzwerk beträgt mehrere Monate – Zeit genug, um sensible Geschäftsgeheimnisse zu exfiltrieren.
Was digitale Integrität bedeutet
Digitale Integrität beschreibt die Unversehrtheit, Korrektheit und Vollständigkeit von Daten sowie das Recht, die digitale Identität und Kommunikation vor unbefugtem Zugriff zu schützen. Für Unternehmen bedeutet dies: Digitale Informationen dürfen nicht unbefugt verfälscht oder abgefangen werden. Mitarbeiter, Kunden und Geschäftspartner müssen darauf vertrauen können, dass ihre Daten geschützt sind.
Schutzmaßnahmen für Unternehmen
Security & Privacy Boxen sind eine Weiterentwicklung von Firewalls, die dazu beitragen können, den ungewollten Abfluss von Informationen aus dem Unternehmen deutlich zu reduzieren.
Entscheidend ist, dass die Lösung vertrauenswürdig ist: Kein Missbrauch als Überwachungsinstrument, Tracker können sich nicht freikaufen, und der Hersteller muss unabhängig von Werbeeinnahmen und Datenhandel sein.
Neben dem Einsatz einer Security & Privacy Box sollten CISOs aber weitere Maßnahmen implementieren. Dazu gehören regelmäßige Mitarbeiterschulungen zu Phishing und Social Engineering sowie das Eigen-Hosting sensibler Daten statt der Nutzung externer Cloud- Anbieter. Eine Zero-Trust-Architektur nach dem Prinzip ‚Vertraue niemandem, verifiziere alles’ bildet eine wichtige Grundlage.
Ergänzend sollte regelmäßig überprüft werden, welche Unternehmensdaten öffentlich zugänglich sind. (jm)