Vor Kurzem hat der Digitalverband Bitkom die Ergebnisse einer aktuellen Umfrage veröffentlicht, wonach nur jedes zweite Unternehmen in Deutschland einen Notfallplan für Cyberattacken hat. Nur sechs von zehn Firmen schulen ihre Mitarbeiter regelmäßig zu Sicherheitsthemen und ein Viertel der Unternehmen will gar völlig auf diese Maßnahme verzichten.
Das sind beunruhigende Zahlen, insbesondere, da sich Cyberkriminalität gerade in Richtung eines eigenen Geschäftszweigs mit eigenen Syndikaten entwickelt. Zu oft gehen kleine und mittlere Unternehmen (KMU) davon aus, geringeren Risiken ausgesetzt zu sein als globale Konzerne, weil bei ihnen „weniger zu holen“ sei. Eine Fehlannahme, die fatal enden kann.
Tatsächlich sind KMU derzeit durch Angriffe per Ransomware besonders gefährdet. Dabei werden Dateien im IT-System verschlüsselt, um danach deren Freigabe zu erpressen. Daten werden auch gestohlen und verkauft bzw. wird mit der Veröffentlichung sensibler Informationen gedroht. Im Gegensatz zu Großkonzernen können sich KMU im Fall einer Attacke meist kein Abwarten und keine forensische Unterstützung leisten, da ansonsten der Betrieb stillsteht. Um den Geschäftsfortgang nicht zu gefährden, gehen KMU daher eher auf Lösegeldforderungen ein als die Großen – und werden so zum bevorzugten Ziel.
Ransomware und Botnets als Geschäftsmodell
Hierzu hat sich mit Ransomware-as-a-Service (RaaS) ein kriminelles Geschäftsmodell entwickelt, bei dem die „Partners in Crime“ für Ransomware-Angriffe bezahlen, die von RaaS-Betreibern durchgeführt werden. Dass kriminelles Know-how einfach zugekauft werden kann, erweitert den Pool potenzieller Angreifer. Auch zur Miete erhältliche Botnets geben selbst IT-unerfahrenen Kriminellen die Möglichkeit, den Cyberspace unsicher zu machen. Solch ein aus infizierten Computern bestehendes Netzwerk kann aus der Ferne gesteuert und ohne Wissen der Gerätebesitzer dazu verwendet werden, Malware zu verbreiten, DDoS-Angriffe durchzuführen (also böswillig Internetdienste mit Anfragen zu überlasten) oder Spammails zu senden.
Weitere Ursachen für den starken Anstieg an Ransomware-Attacken liegen in immer ausgefeilteren Social-Engineering-Methoden und in der Tatsache, dass gerade in Krisenzeiten Ängste und Informationsbedarf der Bevölkerung leichter ausgenutzt werden können. Mit Phishing-E-Mails, die selbst für Vorsichtige immer schwerer zu erkennen sind, werden User dazu verführt, eine infizierte Datei zu starten oder auf einen Link zu klicken, der zu einer infizierten Webseite führt. Wird diese geöffnet, lädt das Skript die infizierte Datei auf den Computer des Anwenders und startet sie – und dann ist oft der Weg ins ganze Unternehmenssystem frei.
Nicht an der falschen Stelle sparen
Für jede Führungskraft muss es oberste Priorität sein, das Unternehmen bestmöglich zu schützen und dafür auch ausreichende finanzielle Mittel zur Verfügung zu stellen – mindestens zehn Prozent des allgemeinen IT-Budgets sollten es schon sein. Denn wie insbesondere der starke Anstieg von Ransomware-Attacken zeigt, kann ein Sparen am falschen Platz schnell existenzgefährdend werden.
Zudem ist Prävention effektiver – und daher auch billiger – als Reaktion. Daher zahlt es sich aus, ein ausreichend großes Team für die IT-Sicherheit abzustellen, das immer up to date ist, was die Bedrohungsszenarien betrifft. Die beste Cybersecurity-Software bietet nur dann langfristig Schutz, wenn sie ständig auf ihre Aktualität hin geprüft wird und regelmäßige Updates und Patches neu entwickelte Schadsoftware von den IT-Systemen fernhalten.
Ganzheitlicher Schutz
Keine einzelne Technologie oder Dienstleistung kann alle Arten von Cyberangriffen mit einem Schlag bekämpfen. Informationssicherheit muss daher ganzheitlich betrachtet werden und dazu braucht es eine umfassende, regelmäßig auf ihre Aktualität überprüfte Sicherheitsstrategie.
An erster Stelle steht die Risikoanalyse, die herausfiltert, wo sich die wichtigsten Unternehmenswerte und jene Bereiche der IT-Systeme befinden, die besonders geschützt werden müssen. Ein durchschnittliches Unternehmensnetzwerk bietet viele Angriffspunkte: Remote-Arbeitsplätze und Fremdgeräte im Homeoffice, Gäste- und interne WLANs, physische Zutrittssysteme, veraltete oder überholte Services und Netze, Drucker, Faxgeräte und Webcams, Wildwuchs an Betriebssystemen usw. Regelmäßige Tests, die potenzielle Einfallstore aufdecken, sind daher eine wichtige Maßnahme, um das Sicherheitsniveau zu heben und auf einem hohen Level zu halten.
Ebenso wichtig ist es, sämtliche Mitarbeiter dafür zu sensibilisieren, dass auch sie Verantwortung für die IT-Sicherheit in ihrem Unternehmen tragen. Regelmäßige Schulungen vermitteln, wie IT-Systeme gestärkt und Schwachstellen frühzeitig vermieden werden können. Auch das Wissen, wie man Social-Engineering-Attacken wie „CEO Fraud“ ins Leere laufen lassen kann, gehört zu einem ganzheitlichen Verständnis der IT-Sicherheit. Hier sollten die Führungskräfte mit gutem Beispiel vorangehen und aktiv mitwirken, um das Bewusstsein für Cybersecurity im Unternehmen nachhaltig zu festigen.
Fünf Tipps für mehr Sicherheit
Darüber hinaus können Unternehmen die Sicherheit ihrer IT mit relativ einfachen Maßnahmen selbst wesentlich verbessern:
- Sicheres Rechtekonzept: Am Wichtigsten ist es, administrative Anwender jeglicher Art abzusichern und sehr genau zu schauen, wer tatsächlich ein Administratoren-Konto benötigt. Bereits ein falscher „Klick“ reicht aus, um das System durch eine Schadsoftware zu infizieren. Die Schadsoftware „erbt“ dann die Rechte des Users, der sie aktiviert hat – und kann nach der Infektion eines Administratorenkontos schnell in Kernbereiche des Systems vordringen.
- Application Whitelisting: Cyberkriminelle nutzen oft Hacker-Tools, um Passwörter oder Bewegungen im Netzwerk auszulesen. Ein initialer Downloader lädt dann weitere Schadsoftware herunter, die im System Schaden anrichtet. Mit durchdachtem Application Whitelisting lässt sich dieses Risiko stark verringern, denn dann dürfen von den Anwendern nur explizit vom Administrator erlaubte Applikationen gestartet werden und die Angriffsfläche verringert sich.
- Netzwerksegmentierung: Wenn das firmeninterne Netzwerk in verschiedene logisch und technisch abgetrennte Bereiche aufgeteilt ist, können sich Angreifer nicht überall verbreiten. Am häufigsten wird die Teilung in ein internes Netzwerk und eine sogenannte Demilitarisierte Zone (DMZ) vorgenommen. Cyberkriminelle können dann maximal die DMZ übernehmen, doch weiter kommen sie nicht.
- Patchen des Betriebssystems und der Applikationen: Software sollte natürlich immer up to date gehalten werden. Doch da neue Patches manchmal zu Problemen in Systemen führen, wird oftmals davor zurückgeschreckt, sie frühzeitig zu installieren. Zwar ist es – abgesehen von Notfallpatches – üblicherweise kein massives Problem, wenn der Patch einen Monat später erfolgt, ein kontinuierlicher und ordentlicher Patch-Management-Prozess ist dennoch wichtig.
- Asset- und Lifecycle-Management: Oft ist in Unternehmen nicht bekannt, wozu welches System in ihrem Netzwerk dient, wer dafür verantwortlich ist oder darauf Zugriff haben sollte. Wie kann aber ein von der Norm abweichendes Verhalten auf einem System erkannt werden, wenn das normale Verhalten gar nicht bekannt ist? Daher ist es wichtig, alle laufenden Assets mit aktuellem Patch-Stand, den Verantwortlichen, dem Anwendungsfall und allen relevanten aktuellen Informationen in ein Asset-Management-Tool einzutragen. Nicht mehr benötigte Systeme können durch das so etablierte Lifecycle-Management aus dem Betrieb genommen werden.
Incident Response planen
Krisenplanspiele in Zusammenarbeit mit externen Dienstleistern, die in Übereinkunft mit dem Auftraggeber als Angreifer agieren, sind eine gute Möglichkeit, das eigene Unternehmen für den Ernstfall zu trainieren. In der folgenden Manöverkritik werden mögliche technische, strategische, taktische und operative Schwachstellen angesprochen; die Erkenntnisse können dann in einem Notfallplan, in dem die nötigen Rollen und Maßnahmen genau definiert sind, umgesetzt werden.
Ist der Worst Case eingetreten, muss es das Ziel sein, die Situation so zu bewältigen, dass der Schaden begrenzt wird und die Wiederherstellungszeit und -kosten möglichst gering ausfallen. Die unmittelbar auf einen Angriff folgende Phase ist äußerst stressbehaftet und oftmals chaotisch. Ein gut eingeübter Plan, der ein strukturiertes und schnelles Vorgehen ermöglicht, ist daher unerlässlich.
- Auf strategischer Ebene müssen Kosten-Nutzen-Entscheidungen getroffen werden: Etwa, ob eine Lösegeldzahlung bei einem Ransomware-Angriff eine Option darstellt und ob man mit den Angreifern verhandeln sollte.
- Im taktischen Bereich müssen die konkreten Maßnahmen organisiert werden: Kooperation des Teams, Abstimmung der Kommunikation nach innen wie nach außen.
- Auf der operativen Ebene sind technische Maßnahmen umzusetzen: Können identifizierte Geräte oder Netzwerksegmente effektiv isoliert werden? Welche Backups welcher Technologien stehen zur Wiederherstellung zur Verfügung und wie lange würde dies dauern?
Notfallpläne und eingespielte Notfallteams haben noch einen Vorteil: Lessons Learned und Feedback zum Vorfall können in einem derart professionalisierten Rahmen schnell richtig eingeordnet und umgesetzt werden und tragen zur zukünftigen Verbesserung der Unternehmenssicherheit bei.
Markus Robin
Managing Director Germany der SEC Consult Deutschland UB GmbH