Laut dem DSiN-Praxisreport Mittelstand ( https://www.sicher-im-netz.de/dsin-praxisreport-2020-mittelstand-it-sicherheit ) sind 2020 46% aller KMU in Deutschland ein oder mehrere Male Opfer eines Cyberangriffs geworden, die Dunkelzahl liegt vermutlich höher.
Aber lohnt sich der Aufwand eines Cyberangriffs überhaupt bei einem Unternehmen meiner Größe?
Viele Angriffe erfolgen mittlerweile teilautomatisiert, was es erlaubt massenhaft und rund um die Uhr nach möglichen Opfern zu suchen, beispielsweise durch Verwendung umfangreicher Listen von E-Mail- oder IP-Adressen. Cyberattacken passieren im Verborgenen, verschiedene IT-Dienstleister betreiben jedoch spezielle Webseiten wo ein kleiner Teil unterschiedlicher Angriffsarten auf extra für dieses Zweck eingerichtete Server (sog. „Honeypots“) visualisiert werden wie z.B.
Was erhoffen die Hacker bei mir zu erbeuten? Ich betreibe ja kein Bankhaus…
In den letzten Jahren haben sog. Ransomware-Attacken stark zugenommen, bei denen die IT-Systeme der Opfer verschlüsselt und erst gegen Zahlung wieder freigeben werden (wenn dies denn dann auch geschieht). Mittlerweile erstellen die Täter immer häufiger vor der Verschlüsselung Kopien der Datenbestände und erpressen ihre Opfer nachdem diese bereits für die Entschlüsselung gezahlt haben zusätzlich im Nachgang, indem sie drohen die erbeuteten Kunden-, Zugangs- oder sonstigen Geschäftsdaten zu veröffentlichen.
Doch auch ohne Erpressung sind diese Daten auf einschlägigen Online-Marktplätzen bares Geld wert und werden oft einfach verkauft.
Neben einer Ransomware-Attacke ist ein weiteres Angriffsszenario, dass die Systeme der Opfer unbemerkt in ein sog. Botnetz eingebunden werden und für IT-Angriffe größeren Umfangs auf andere IT-Systeme genutzt werden. Die Opfer werden so unbemerkt zu Mittätern und geraten im schlechtesten Fall selbst in das Visier der Ermittlungsbehörden oder sehen sich Haftungsansprüchen ausgesetzt.
Und wie kann ich mich vor solchen Cyberangriffen schützen?
Es gibt unterschiedliche Wege die eigene Informationssicherheit zu stärken. Dabei ist es wichtig, nicht nur die technische, sondern auch eine organisatorische Perspektive sowie den „Faktor Mensch“ im Blick zu behalten. Idealerweise folgt man einer auf den eigenen Bedarf und die eigenen Ressourcen zugeschnittenen Strategie. Bei der Ausgestaltung kann dann beispielsweise berücksichtigt werden, ob man in Eigenregie tätig werden möchte oder sich von Dritten unterstützen lässt. Eine weiterer Aspekt könnte die Frage sein, wie bequem die Nutzung die angestrebten Lösungen im Tagesgeschäft sein sollen bzw. müssen.
Ok, verstanden. Und gibt es Sofortmaßnahmen, die ich unmittelbar vornehmen kann bzw. sollte?
Es gibt empfehlenswerte Sofortmaßnahmen, die jedes KMU ergreifen und damit seine Cybersicherheit effektiv steigern kann. Diese fünf Maßnahmen können Sie in einer ersten Ausbaustufe noch heute adressieren und dann anschließend schrittweise ausbauen:
- Backups erstellen
- Softwareupdates einspielen
- Ein Passwortmanagement etablieren
- Sich für den Fall der Fälle vorbereiten
- Sich auf dem Laufenden halten
Worum geht’s beim Thema Backup?
Die Datensicherung (englisch „Backup“) ist eine der wichtigsten Sicherheitsmaßnahmen überhaupt. Dabei muss es nicht immer um die Wiederherstellung der Handlungsfähigkeit nach einem Hackerangriff gehen. Auch allgemeine IT-Störungen, ein verlorenes Smartphone, ein fehlerhaftes Softwareupdate oder Eingabefehler wie eine versehentliche Datenlöschung verlieren durch eine aktuelle Sicherungskopie des eigenen Datenbestandes einen guten Teil ihres Schreckens. Alle gängigen Betriebssysteme für (mobile) Endgeräte bringen mittlerweile Bordmittel mit, die zumindest das Schlimmste verhindern können. Smartere Lösungen arbeiten vollständig im Hintergrund und sichern die Daten auf hochsicheren Onlinespeichern, so dass selbst Szenarien wie ein Gebäudebrand den gesicherten Daten nichts anhaben kann. Auch bieten Sie erweiterte Funktionen, die beispielsweise verhindern sollen, dass Schadsoftware zunächst die Backups „vergiftet“, bevor Sie sich Produktivsysteme befällt.
Warum sollte ich Softwareupdates einspielen?
Ein beliebtes Einfallstor für Hacker und die vielleicht größte Bedrohung in der IT-Sicherheit ist veraltete Software. Denn diese weist oft hinlänglich bekannte Schwachstellen auf, für deren Ausnutzung die Täter nicht einmal allzu großes technisches Fachwissen benötigen. Im Internet finden sich eine Vielzahl von Tools „von der Stange“ die genau für diesen Einsatzzweck geschaffen wurden. Daher ist es essentiell, die eingesetzten IT-Systeme auf dem aktuellsten Stand zu halten und vom Hersteller bereitgestellte Softwareaktualisierungen („Updates“) zügig einzuspielen. Das fängt an bei den Betriebssystemen der Endgeräte, wo die Auto-Update-Funktion aktiviert sein sollte. Dabei sollte u.a. verhindert werden, dass die eigenen Mitarbeitenden das Update wiederholt „wegklicken“, weil die Aktualisierung gerade den eigenen Arbeitsfluss stören könnte. Es ist jedoch auch wichtig einen Überblick darüber zu haben, welche Software sonst im Betrieb ist. Sind meine Server einschließlich dem Webserver, auf dem meine Webseite liegt, auf dem neuesten Stand? Was ist mit dem Internetrouter? Und wie sieht es mit sog. IoT-Devices aus (IoT = Internet-of-Things)? Dabei muss es sich nicht immer um exotische Geräte wie ein smartes Thermometer im Aquarium handeln: https://interestingengineering.com/a-casinos-database-was-hacked-through-a-smart-fish-tank-thermometer
Verbreiter ist beispielsweise der Einsatz vernetzter Überwachungskameras, die natürlich auch mit Software betrieben werden, die einem Alterungsprozess unterliegt. Und wie sieht es mit individualisierten Anwendungen aus, beispielsweise ein an meine Bedürfnisse angepasstes CRM- (Customer Relationship Management) oder ERP-System (Enterprise Ressource Planning), für dessen Update ich meinen Dienstleister benötige?
Was bedeutet Passwortmanagement?
Jeder verwendet Passwörter und jeder weiß auch, dass diese gewisse Anforderungen erfüllen sollten. In der Vergangenheit wurde empfohlen, Passwörter regelmäßig zu ändern, was mittlerweile jedoch nicht mehr dem Stand der Technik entspricht. Denn zu groß war die Gefahr, dass aus Bequemlichkeit nur kleinere Änderungen vorgenommen (z.B. einfaches Hochzählen) oder Passwörter wiederholt verwendet wurden. Umso wichtiger ist es heute daher, dass die eingesetzten Passwörter ein gewisse Stärke bzw. Komplexität vorweisen, da sie ansonsten allzu schnell auf die ein oder andere Art geknackt werden können: https://www.hivesystems.io/blog/are-your-passwords-in-the-green
Starke bzw. komplexe Passwörter müssen dabei übrigens nicht zwingend kryptisch gestaltet werden, eine gewisse Länge kann schon genügen: https://xkcd.com/936/
Wer Hilfe bei der Gestaltung der eigen Passwörter benötigt, findet diese bei diversen seriösen Internetseiten wie
Heutzutage bedeutet Passwortmanagement aber auch die Verwaltung vieler Passwörter. Denn je mehr IT-Systeme, Anwendungen und Online-Dienste man verwendet umso mehr Passwörter muss man auch im Blick behalten. Wovon unbedingt abzuraten ist, das gleiche Passwort wiederzuverwenden. Denn sollte nur einer der genutzten Dienste korrumpiert werden, gehört es zum kleinen Hacker-Einmaleins die erbeuteten Zugangsdaten bei allen anderen auszuprobieren (auch das geschieht oft automatisiert). Das gilt vor allem für kritische Zugangsdaten wie Administrationspasswörter.
Um der Vielzahl der eigenen Passwörter Herr zu werden gibt es wiederum unterschiedliche Herangehensweisen. Beliebt ist beispielsweise der Einsatz sog. Passwortmanagement-Tools, die es auch als kostenlose Open-Source-Software gibt (z.B. KeePass https://keepass.info/
Fortgeschrittene Lösungen steigern die Sicherheit durch den Einsatz weiterer Authentifizierungs-Faktoren wie Token, Security-Keys oder Authenticator-Apps oder bieten eine bessere Unterstützung für die Arbeit im Team oder die parallele Nutzung mehrerer (mobiler) Endgeräte .
Zusätzlich empfiehlt es sich zu überwachen, ob die eigenen E-Mail-Adressen von einem aufgedeckten Datenleck bei einem Diensteanbieter oder Hersteller betroffenen sind. Auch für diesen Zweck gibt es verschiedene seriöse Anbieter wie z.B. der Identity Leak Checker des Hasso-Plattner-Instituts ( https://sec.hpi.de/ilc/ ) oder die Webseite „Have I Been Pwned?“ von Troy Hunt ( https://haveibeenpwned.com/Passwords ).
Wie kann ich mich auf den Fall der Fälle vorbereiten?
Es gibt keine hundertprozentige Sicherheit und selbst in gut aufgestellten Organisationen kommt es zu Sicherheitsvorfällen. Oder kurz gesagt: „Shit happens“. Daher ist es nur sinnvoll und vernünftig, sich bereits im Vorfeld Gedanken zu machen, was im Fall der Fälle zu tun ist und wie man sich darauf vorbereiten kann. Denn wenn es dann doch einmal passiert ist schnelles Handeln das Gebot der Stunde. Am besten setzt man sich dafür mit dem eigenen Team zusammen beantwortet gemeinsam Fragen wie z.B.
- Was sind realistische Szenarien, auf die wir vorbereitet sein wollen?
- Wie erkennen wir mögliche Vorfälle möglichst früh erkennen?
- Wen benötigen wir aus der Organisation, intern wie extern (z.B. technische Dienstleister)?
- Wissen alle, was Sie zu tun haben und wen Sie informieren müssen?
- Inwiefern müssen wir Vertretungen regeln (Krankheit, Ferienzeiten, Dienstreisen etc.)?
- Wie schnell müssen wir reagieren (z.B. an Wochenenden oder Feiertagen)
- Wie schnell können unsere Dienstleister reagieren? Welche Priorität haben unsere Anfragen?
- Wie viel Ausfallzeiten können und wollen wir uns leisten? Wie lange können wir unsere eigene Dienstleistung erbringen bzw. unsere Produkte herstellen und vertreiben, wenn Teile der eigenen IT ausgefallen sind? Macht es Sinn einen Plan B bereit zu halten (Ersatzsysteme, Papierbetrieb?) Oder können sich die Kunden u.U. gedulden?
- Wen muss ich ab welchem Zeitpunkt auf welchem Wege informieren (z.B. Kunden oder Aufsichtsbehörden, etwa im Verlustfalle von sensiblen, personenbezogener Daten)
Fortgeschrittene Organisationen spielen (Teil-)szenarien regelmäßig in Übungen durch, um sicherzustellen, dass die Pläne und Vorbereitungen auch funktionieren und noch aktuell sind.
Warum ist es wichtig auf dem Laufenden zu bleiben?
Die Informationstechnologie ist im steten Wandel: Technische Innovation, steigende Digitalisierung, aber auch sich verändernde Rahmenbedingungen wie z.B. die weltweite Covid-19-Situation, die in vielen Branchen einen sprunghaften Anstieg an digitalisierter Zusammenarbeit mit sich gebracht hat. Veränderungstreiber gibt es viele. Entsprechend dynamisch entwickeln sich allerdings auch die Herausforderungen, die mit diesem Wandel einhergehen, vorneweg das Thema Informationssicherheit: Es gibt stetig neue Bedrohungen, aber auch neue Erkenntnisse und neue Lösungen.
Unbedingt empfehlenswert ist daher ein regelmäßiger Austausch mit dem technischen Fachpersonal, sei es im eigenen Team oder in Form des externen Dienstleisters, den man beauftragt hat. Das hat natürlich zum einen den Grund, dass diese Personen bei vielen technischen Themen am nächsten dran sind und daher auch am besten beurteilen können, was getan werden sollte und welche Unterstützung oder Ressourcen Sie dafür benötigen. Es ist aber auch darüber hinaus sinnvoll einen solchen Austausch zu pflegen, denn bei weitem nicht alle Themen können alleine technisch gelöst werden. Viele Angriffsszenarien beruhen auf dem kombinierten Ausnutzen von technischen, organisatorischen und menschlichen Schwächen. Letztere spielen z.B. eine wichtige Rolle bei Angriffen via „Phishing-Mails“ oder Social-Engineering-Attacken wie dem „CEO-Fraud“ ( https://t3n.de/news/bitte-zahlen-gruss-chef-1140902/ ). Dementsprechend kann ein entsprechender interdisziplinärer Austausch einen gemeinsamen Blick auf die möglichen Bedrohungen und die entsprechenden Gegenmaßnahmen schaffen. Darüber hinaus gibt es eine Vielzahl weiterer Informationsquellen. Wie so oft ist auch die richtige Auswahl entscheidend, um Wichtiges von Unwichtigem zu trennen und in der Wissensflut nicht unterzugehen.
Weitere mögliche Quellen können sein:
- Das persönliche Netzwerk
- Staatliche Stellen wie das Nationale Zentrum für Cybersicherheit ( https://www.ncsc.admin.ch/ )
- Die Informationsangebote von Verlagen, der Presse sowie weiteren staatlichen und privaten Medienanbietern
- Berufsverbände
- Universitäten, Forschungsinstitute und NGOs
- Webseiten und Newsletter von Produktherstellern und Diensteanbietern
- Schulungsanbieter und Beratungen