// etracker // Facebook Pixel
Digitalisierung

Schutz vor Cyberangriffen durch Hacker

Fitnessclubs werden im Regelfall nicht Opfer von gezielten Cyberattacken, sondern sind meist eher Zufallsopfer. Ein großes Problem ist, das bekannte Schwachstellen nicht geschlossen werden. Was Studiobetreiber tun können, um das Risiko zu reduzieren, erfahren Sie in diesem Artikel.

Das Wichtigste in Kürze:

  • Die beliebtesten Hacker-Strategien sind unter anderem Angriffe mit Ransomware oder Social Engineering-Strategien.
  • Fitnessstudiobetreiber sollten sich zum Schutz vor Cyberangriffen gut organisieren und unter anderem Konzepte für den IT-Sicherheit-Basisschutz planen, Trainer und Mitarbeiter schulen sowie ein zuverlässiges Back-up-System und Notfallkonzept erstellen.
  • Im Worst-Case kann man für sein Unternehmen eine Cyberversicherung abschließen.

Die Schlagzeilen über Hackerangriffe auf Unternehmen und Gesundheitseinrichtungen nehmen nicht ab: Gefühlt kein Tag vergeht, an dem die Presse nicht von versuchten oder erfolgreichen Cyberangriffen berichtet. Wer Mitglieder-, Trainings- und Gesundheitsdaten schützen will, muss unbedingt Vorsorge treffen: eine IT-Infrastruktur nach dem Stand der Technik betreiben und organisatorische Strategien umsetzen, die alle Mitarbeiter mit ins Boot holen.

Die Informatik entwickelt sich ständig weiter. Was heute noch als sicher gilt, ist vielleicht morgen schon eine Schwachstelle. Hacker suchen ganz gezielt neue Schwachstellen und scannen das Internet nach Systemen, die verwundbar sind. Das kann ein DAX-Unternehmen sein, eine Steuerkanzlei, aber auch ein Fitnessclub oder eine Physiotherapiepraxis. Es trifft vor allem diejenigen, die ihre IT-Systeme, Web- und Mailserver oder Homeoffice-Arbeitsplätze nicht ausreichend gesichert haben.

Starker Anstieg von Cyberangriffen seit Corona

Die Zahl der Cyberangriffe hat seit Beginn der Corona-Pandemie massiv zugenommen. Von 2019 auf 2020 meldete das Bundeskriminalamt (BKA) einen Anstieg um mehr als 15 %. In absoluten Zahlen waren das im Jahr 2020 100.514 Angriffe auf Unternehmen in Deutschland. Und hierbei handelt es sich ausschließlich um die Fälle, die zur Anzeige gebracht wurden.


Eine beliebte Methode bei Hackern ist das Verschicken sogenannter Phishing-E-Mails an Mitarbeiter, damit diese den Anhang öffnen oder auf einen Link klicken. Tappt jemand in diese Falle, lädt sich ein Schadprogramm herunter (Bildquelle: ©Syda Productions - stock.adobe.com)

Die größte Bedrohung sind Angriffe mit Ransomware: Angreifer verschicken Phishing-E-Mails an Mitarbeiter, damit diese den Anhang öffnen oder auf einen Link klicken. Tappt jemand im Unternehmen unbedarft in diese Falle, lädt sich ein Schadprogramm herunter, das zunächst inaktiv bleibt bzw. in Ruhe das firmeneigene IT-System analysiert. Erst nach einigen Tagen oder Wochen startet der Schadcode damit, alle verfügbaren Daten im Unternehmen zu verschlüsseln. Für die Entschlüsselung fordern die Hacker einen Geldbetrag, der in Kryptowährung bezahlt werden soll.

Viele Firmen sind nicht nur Opfer dieser Erpressung, gleichzeitig werden so auch personenbezogene Daten an die Angreifer übertragen, beispielsweise E-Mail-Adressen von Kunden oder in Fitness- und Gesundheitseinrichtungen sensible Gesundheitsdaten, die sich im Darknet zu Geld machen lassen. Beide Fälle sind Datenpannen, die Unternehmen zwingend der Aufsichtsbehörde melden müssen. Und die Taktiken der Angreifer werden immer perfider. Inzwischen sind die Phishing-Mails von solch authentischer Qualität, teilweise sogar mit persönlichem Bezug, dass Empfänger nur mit entsprechender Unterweisung und Sensibilisierung den kriminellen Charakter der Nachricht erkennen.

Gezielte Suche nach geeigneten Opfern

Eine weitere Strategie nennt sich Social Engineering. Hier arbeiten die Angreifer nicht mehr automatisiert mit Scannern, die wahllos im Internet nach Sicherheitslücken suchen. Früher war es so, dass die Kriminellen sich gezielt ein Opfer ausgesucht haben. Heute aber können Betriebe Opfer eines gezielten Cyberangriffes werden, weil eine einfache künstliche Intelligenz entsprechende Anhaltspunkte und Schwachstellen identifiziert, die nicht mehr dem IT-System, sondern dem Verhalten von Ihnen oder Ihren Mitarbeitern zuzuordnen sind.

Es bedarf also nicht mehr eines menschlichen Antriebs, einen gezielten Angriff zu starten, sondern Erkenntnisse einer KI. Über die Webseite, soziale Medien und Google-Suchen ermitteln die Hacker bzw. deren eingesetzte Algorithmen relevante Informationen über das Unternehmen, etwa wie der Studioleiter heißt oder wer die Buchhaltung verantwortet. Durch gezielte Anrufe erschleichen sich die Betrüger weitere Informationen. So ergibt sich für sie ein stimmiges Gesamtbild.

Die Zahl der Cyberangriffe hat seit Beginn der Corona-Pandemie massiv zugenommen

Zum passenden Zeitpunkt, z. B. bei Abwesenheit des Inhabers, folgt dann ein fingierter Anruf bei relevanter Stelle mit der Bitte, dringend einen Betrag X zu überweisen. Diese Überweisung wird so gut begründet, dass schon viele Mitarbeiter mit bestem Wissen und Gewissen hohe Geldbeträge an vermeintlich vertrauenswürdige Kontakte überwiesen haben. Bei allen war das Geld am Ende unwiederbringlich weg. In Österreich hat ein Unternehmen durch einen solchen Social-Engineering-Angriff mehrere Millionen Euro verloren. Die folgenden Punkte geben Aufschluss darüber, wie sich Fitnessstudios vor Cyberangriffen schützen können.

1. Technische und organisatorische Maßnahmen

Dieser Punkt ist die gemeinsame Aufgabe der IT oder des IT-Dienstleisters und des Studiobetreibers. Zunächst müssen Fitnessclubs ihre organisatorischen Hausaufgaben machen. Dazu gehört, die gesetzlichen Vorgaben umzusetzen, die die DSGVO von jedem Unternehmensverantwortlichen verlangt. Egal, ob es sich um einen Soloselbstständigen, eine Fitnessanlage oder um eine Klinik handelt. Die DSGVO fordert z. B. in Artikel 32, dass Verantwortliche zum Schutz personenbezogener Daten passende technische und organisatorische Maßnahmen ergreifen.

Für die Sicherheit der IT insgesamt betrachten Unternehmen natürlich nicht nur die personenbezogenen Daten, die die DSGVO in Schutz nimmt, sondern alle vorhandenen Informationen, wie Konzepte oder sonstige Verträge. Clubbetreiber sollten sich daher Gedanken darüber machen, mit welchen allgemeinen Maßnahmen sie den Schutz der Daten sicherstellen können. Bewährt hat sich dabei eine Aufteilung in Vertraulichkeit. Darunter fallen:

  • Zutrittskontrolle – wie sichere ich Verwaltungsräume/Serverraum physisch vor unberechtigtem Zutritt?
  • Zugangskontrolle – wie sichere ich IT-Systeme, z. B. den Computer am Empfang, vor unberechtigtem Zugang?
  • Zugriffskontrolle – wie stelle ich sicher, dass Mitarbeiter nur die Daten einsehen, die für sie relevant sind?
  • Trennungskontrolle – wie garantiere ich, dass Daten verschiedener Mitglieder nicht vermischt werden?
  • Pseudonymisierung – gelingt durch technische Maßnahmen, die Daten so zu speichern, dass ein Personenbezug nicht direkt ersichtlich ist?


Um sich vor Cyberangriffen bestmöglich schützen zu können, müssen Studiobetreiber einige technische und organisatorische Maßnahmen treffen (Bildquelle: ©Andrey Popov - stock.adobe.com)

Betreiber und Studioleitung müssen sich darüber hinaus gemeinsam mit den IT-Verantwortlichen überlegen, wie sich Datenintegrität, also die Richtigkeit der Daten, und Datenverfügbarkeit z. B. bei einem Stromausfall sicherstellen lassen. Diesen IT-Sicherheit-Basisschutz muss jedes Fitnessstudio und jede Gesundheitseinrichtung mit Augenmaß umsetzen. Es ist nicht notwendig, Unsummen an Geld für technische IT-Sicherheit oder IT-Dienstleistungen auszugeben. Wichtig ist ein angepasstes Konzept, das Datenschutz- und IT-Anforderungen ausreichend würdigt.

2. Trainer und Mitarbeiter schulen

Der größte Schwachpunkt für die IT-Sicherheit ist und bleibt der Mensch. In diesem Fall die Mitarbeiter, die täglich mit Daten arbeiten. Bei den genannten Social-Engineering-Angriffen und Phishing-Mail-Attacken wählen die Hacker ganz gezielt dieses schwächste Glied in der Kette aus. Daher ist es so wichtig, dass Verantwortliche ihre Führungskräfte und Mitarbeiter durch Schulungen sensibilisieren. Hand aufs Herz: Wann haben Sie Ihr Team das letzte Mal in IT-Sicherheit und Datenschutz geschult? Sind überhaupt alle im richtigen Umgang unterwiesen?

Studioleiter sollten ihr Team am besten jährlich zu einer Weiterbildung in diesem Bereich verpflichten. Auch unregelmäßige Testaktionen helfen. Es gibt zum Beispiel die Möglichkeit geplanter Phishing-Simulationen. Hierbei bekommen Mitarbeiter fingierte Spam-E-Mails in den Posteingang. Wer die Mails öffnet, landet auf einer Lernwebsite.

3. Back-up-Strategie einführen und testen

Egal, welche Panne – ob Hackerangriff, Stromausfall oder Technikversagen: Unternehmen benötigen unbedingt ein zuverlässiges Back-up-System mit genügend Datensicherungen. Dazu gehören tagesaktuelle Sicherungen, Wochensicherungen, Monatssicherungen, eventuell sogar Jahres-Back-ups. Betreiber sollten sich hier gemeinsam mit dem IT-Verantwortlichen eine individuelle Strategie überlegen. Dabei müssen beide berücksichtigen, dass eventuell auch in den Back-ups ein Schadcode enthalten sein kann. Leider versäumen viele zudem, die Back-up-Einspielung regelmäßig zu testen. Wer nicht ausprobiert, ob sich die Sicherung in verschiedenen Szenarien überhaupt einspielen lässt, steht im schlimmsten Fall vor einem Scherbenhaufen.

4. Plan B: Notfallkonzept für IT und Datenschutz

Apropos Notfall: Egal, was Fitnessclubs einrichten, planen und wie viel sie schulen und vorsorgen, einen 100-prozentigen Schutz vor Angriffen gibt es nie. Studiobetreiber sollten sich also unbedingt ein klares Notfallkonzept überlegen. Was ist zu tun, wenn die Systeme längere Zeit nicht zur Verfügung stehen? Was tun, wenn der Strom länger ausfällt oder die Büros wegen Brand, Hochwasser etc. nicht mehr genutzt werden können? Wenn es einmal zu einer kritischen Situation kommt, werden diese Vorabüberlegungen ganz bestimmt viel Zeit, Geld und Nerven sparen.

Letzter Tipp, falls der Worst-Case eintreten sollte: Prüfen Sie den Abschluss einer Cyberversicherung für Ihr Unternehmen.

 

Bildquelle Header: ©Thaut Images - stock.adobe.com

Der Autor

  • Achim Barth

    Achim Barth ist Dipl.-Betriebswirt und Fitnessfachwirt. 2007 gründete er Barth Sportmanagement. Barth Sportmanagement beschäftigt sich mit der Vermarktung von Präventionskursen. Aktuell zählen zwei Präventionskurse zum Angebot, die interessierte Clubbetreiber oder Therapieeinrichtungen gegen Lizenzgebühren nutzen können.
    Kontakt: www.barth-sport.de; www.bgm-konzepte.com 

Magazin

BODYMEDIA Fitness 1-2022E-Book lesen

BODYMEDIA Fitness 1-2022

Mehr erfahren