Die Digitalisierung durchdringt unser Leben und stürzt Wirtschaft und Staat in ein Sicherheitsdilemma. Durch den zunehmenden Digitalisierungsgrad sind dabei insbesondere Unternehmen einem steigenden Sicherheitsrisiko ausgesetzt. Um dieses in den Griff zu bekommen und damit die Zukunft des Wirtschafsstandorts Deutschland zu sichern, bildet die Gewährleistung von Cyber- und Informationssicherheit eine wesentliche Grundvoraussetzung – insbesondere im Lichte der starken Zunahme von Cyber-Attacken in den letzten Jahren. Dabei sorgt vor allem der Begriff „Ransomware“ einvernehmlich für Erschrecken.
Wie kann man dem Ganzen vorbeugen?
Deswegen sollte man sich möglichst schon im Vorfeld auf solche Hackerangriffe einstellen, um im Ernstfall zu wissen wie man reagieren muss, oder um dem Ganzen durch eine Reihe präventiver Maßnahmen vorzubeugen.
I. Schwachstelle Technik – wirksamer Schutz durch Prävention
Zunächst einmal könnte man denken, dass die Technik der IT-Sicherheitssysteme auf dem aktuellsten Stand gehalten werden muss. Dies ist auch richtig, entpuppt sich in den allermeisten Fällen jedoch als Sisyphusarbeit. Denn ist die Implementierung erst einmal abgeschlossen, hat die Entwicklung bereits neue Wege und Techniken gefunden sowohl bestehende Techniken zu überwinden als auch neue Sicherheitsmaßnahmen zu Tage zu fördern, die nun auch wieder implementiert werden können.
Daher gehören vielmehr ein regelmäßiges Überprüfen und Verbessern der Systeme zur technischen Prävention. Ratsam ist es aktiv die häufigen Einfallstore (z.B. Outlook, Microsoft Active Directoy etc) gegen Alternativen auszutauschen oder Konfigurationen speziell zu überwachen.
Ausdrücklich gehören aber auch extern gesicherte Backups zum Gesamtpaket. Wichtig ist hierbei, dass eine direkte Verbindung zu den Systemen (eigentlich) nicht bestehen sollte, denn der „klassische“ Ransomware-Angreifer wird zielgerichtet die Backups infiltrieren und sperren, bevor er sich zu erkennen gibt. Bei tatsächlich externen und vor allem losgelösten Backups ist dies deutlich schwerer der Fall.
Nicht zu vernachlässigen ist aber auch die ebenso klassische Firewall, welche turnusmäßig überprüft und erneuert gehört. Da Angreifer es meist auf schwache, leicht zu knackende Systeme abgesehen haben, lassen Angreifer umso eher von einem Angriff ab, desto länger sie für einen solchen benötigen.
II. Schwachstelle Mensch – Weiterbildung hilft!
Wie mittlerweile jedem bekannt sein sollte, ist die größte Schwachstelle eines Systems immer noch der Mensch. Das System kann noch so sicher sein… sobald ein Mitarbeiter*in unbedacht mit Passwörtern oder sensiblen Daten umgeht, hilft jede Sicherheitsmaßnahme nur noch bedingt. Ein entscheidender Fokus bei der Vorbeugung sollte daher auf der Weiterbildung der Mitarbeiter im Hinblick auf Informationssicherheit und Sensibilisierung für potenzielle Cyber-Gefahren liegen.
Mayday Mayday – wenn es doch passiert, was ist zu tun?
Kennt nicht jeder einen Fall, in dem ein Mitarbeiter*in eines Unternehmens eine E-Mail mit einem Katzenvideo erhält, den Anhang öffnet – nichtahnend, dass diese Mail gar nicht von einer Bekannten stammt – und damit Hackern den unbemerkten Zugriff zum System ermöglicht? Wenn nein dann handelte es sich dabei wohl um eine verblüffend echt aussehende Rechnung oder ein anderes vermeintlich korrektes und wichtiges Vertragsdokument.
Sollte sich nun also doch eine Sicherheitslücke ergeben, dann gilt es zunächst einmal die Ruhe zu bewahren. Nach eindeutiger Feststellung, dass tatsächlich ein Angriff vorliegt und kein technischer Defekt, ist dann schnelles und zugleich überlegte Handeln gefragt.
Das bedeutet, umgehend die Entscheidungsträger zu informieren sowie einzubinden und die betroffenen Internetverbindungen bzw. verbundene interne Netzwerke zu trennen. Der Umfang der Schadensbegrenzung hängt maßgeblich von den eingeleiteten ersten Schritten ab. Daher stellen (bekannte und erprobte) Notfallpläne eine weitere wichtige Grundlage einer erfolgreichen Abwehr von Angriffen respektive der effektiven Eindämmung des Angriffs und seiner Folgen dar.
I. Ohne Kommunikations- und Meldepflichten läuft gar nix!
Wichtig ist der Auftritt des betroffenen Unternehmens nach außen aber auch nach Innen hin. Es sollten tunlichst Widersprüche vermieden werden (sog. „One-Voice-Communication“) Daher empfiehlt sich hier die Beauftragung eines spezialisierten PR-Dienstleiter für den Notfall.
Die betroffenen Unternehmen sind verpflichtet innerhalb von 72 Stunden einen Angriff melden. Sie müssen also in Bezug auf die Datenschutzgrundverordnung (DSGVO) sehr kurze Meldefristen einhalten. Eine solche Meldung sollte auch nach Art. 33 und 34 DSGVO inhaltlich genau bestimmt sein. Neben diesen Meldepflichten aus der DSGVO bestehen weitere (kürzere) Meldepflicht von Banken, Versicherungen, Fernmeldedienstanbieter und den Betreibern kritischer Infrastruktur. Falls die Unternehmen zudem börsennotiert sind, so hat auch eine Meldung gegenüber der Börse zu erfolgen.
II. Woop-woop! That´s the sound of da police
Ob Polizei oder andere Angehörige der Ermittlungsbehörden. Es empfiehlt sich bei Cyberattacken immer die Ermittlungsbehörden einzuschalten. Denn diese verfügen über mehr und geeignetere Mittel, um einen Angreifer ausfindig zu machen oder die verlorengegangenen Daten zurückzuerlangen. Zwar sind die betroffenen Unternehmen nicht (zwangsläufig) zur Strafanzeige verpflichtet, doch davon ausgehend, dass ca. 90% aller Angriffe überhaupt nicht gemeldet werden, ist es zwingend notwendig, sowohl im eigenen als auch im Allgemeininteresse durch eine Anzeigeerstattung eine aussagekräftige Datenlage zu ermöglichen. Denn diese vermehrte Nichtanzeige hat bislang zur Folge, dass ein Großteil der Hackerangriffe gar nicht in die offiziellen Statistiken aufgenommen wird, was letztlich dazu führt, dass Gelder zur Bekämpfung der Cyberkriminalität nicht vollumfänglich freigegeben werden können.
Fazit
Man muss sich im Klaren sein, dass es eine 100% Sicherheit gegen CyberCrime nicht gibt – es sei denn man verzichtet auf jegliches digitale Gerät.
Daher gilt es die Hürden für den Angreifer so hoch wie möglich zu setzen. Die Statistiken/Auswertungen selbiger haben gezeigt, dass es auf die ersten Minuten des Angriffes ankommt – wie beim „klassischen“ (Wohnungs-)Einbruch auch. Ist das System derart ausgelegt, dass es die ersten, meist sehr massiven, Versuche des Eindringens verhindert, suchen sich die Angreifer meist ein neues Ziel.
Ist man dann doch Opfer eines Angriffes geworden zahlt es sich vor allem aus, wenn die Vorbereitung auf diesen – bei Lichte betrachtet – (un)ausweichlichen Fall gut durchdacht und in gewisser Regelmäßigkeit auch erprobt wurde. So sollte dann auch mit vergleichsweise kühlem Kopf die IT so schnell als möglich die Ausbreitung/ Infizierung eindämmen, die Belegschaft mit ins Boot geholt werden und somit gesamtheitlich der Angriff bzw. dessen Auswirkungen eingedämmt werden. Dabei ist der Fokus auf die IT-Sicherheit und den jeweiligen Stand der Technik jedoch ebenso hoch zu bewerten wie der Faktor Mensch, welcher durch gezielte Schulungen und Fortbildung eine gewichtige Rolle bei der Abwehr von Angriffen spielen kann.
Es bleibt beim Dauerthema Cyber Security. Was man tun kann und wie wir im Falle des Falles praktisch unterstützen oder zumindest die Auswirkungen versuchen eizudämmen erfahren Sie in unserem Praxisbericht aus der Schweiz und Deutschland.