Zum Beispiel können die Kriminellen auch das Netzwerk des Angegriffenen kapern und für illegale Aktivitäten nutzen – etwa zum Senden von Phishing-Mails oder zur Verbreitung von Kinderpornografie. Deshalb ist es so wichtig, dass die Unternehmen, egal welcher Größe, Wert auf die eigene Cybersicherheit legen. Dabei muss es nicht immer das teure All-in-Service-Paket sein, das sich kleinere Unternehmen scheuen zu finanzieren, sondern es reicht manchmal eine externe Festplatte, um seine Daten zu sichern.
Wo fängt Cybersicherheit an? Wenn es nach Björn Schemberger, Abteilungsleiter Detektion und Reaktion der Cybersicherheitsagentur Baden-Württemberg (CSBW), geht, dann spätestens bei den Login-Daten für Accounts im Internet. „Ich gehöre ja zu der Generation, die lange Zeit ein Passwort – manchmal auch in verschiedenen Variationen – und oftmals auch einen Bezug zu dem Passwort hatte. Das ist natürlich ein Relikt der Vergangenheit. Heutzutage ist es aus meiner Sicht unumgänglich, einen Passwortmanager einzusetzen.“
Was ist ein Passwortmanager? Wie der Name schon sagt, ist dies ein digitales Werkzeug, das dazu entwickelt wurde, Nutzer:innen bei der Verwaltung ihrer Passwörter zu unterstützen. Dieses Tool speichert und organisiert Passwörter in einer verschlüsselten Datenbank, die durch ein Hauptpasswort gesichert ist. Das Hauptpasswort ist das einzige Passwort, das sich der Anwender merken muss. Die Kernfunktion eines Passwortmanagers besteht darin, unterschiedliche, komplexe Passwörter für jede genutzte Website oder Anwendung zu erstellen und sicher zu speichern. Zusätzlich bietet ein Passwortmanager oft weitere Funktionen wie die automatische Eingabe von Passwörtern in Formularfelder im Internetbrowser sowie die Möglichkeit, sichere Notizen und andere sensible Informationen zu speichern. Moderne Passwortmanager sind in der Regel plattformübergreifend verfügbar, was bedeutet, dass sie auf verschiedenen Geräten wie Computern, Smartphones und Tablets genutzt werden können, um einen nahtlosen Zugriff zu ermöglichen. „Oft nutzen die Leute dienstlich wie privat die gleichen Kennwörter und das ist natürlich Gift für die Cybersicherheit“, erklärt Schemberger einen weiteren Grund, warum Passwortmanager ein absolutes Muss im betrieblichen Cybersicherheitskonzept sein müssen. „Ich empfehle einmal auf der Website des Hasso-Plattner-Instituts zu überprüfen, ob eigene Accounts in der Vergangenheit geleakt wurden“, rät Schemberger. Bei dem „HPI Identity Leak Checker“ kann man – als Privatperson oder auch Unternehmen – den Check einmal am Tag kostenlos durchführen. Die Ergebnisse – rund 1,5 Millionen geleakte Accounts täglich – sprechen eine deutliche Sprache, sodass auch die letzten Zweifler von der Sinnhaftigkeit einer aktiven Cybersicherheit überzeugt sein sollten.
Cybersicherheit ist Chefsache
Entscheidend ist, dass vor allem die Führungskräfte davon überzeugt sind, wie wichtig es ist, in die eigene Cybersicherheit zu investieren. „Cybersicherheit muss ein zentrales Thema der Leitungsebene sein“, erklärt Schemberger. Wer selbst nicht glaubt, dass sich der Aufwand lohnt, wird auch die Belegschaft schwer davon überzeugen können, Sicherheitsmaßnahmen einzuhalten. „Das Geld, dass ich in meine digitale Sicherheit stecke, kann ich natürlich nicht in mein Produkt investieren. Das ist für manche schon eine Frage von ‚entweder oder‘. Allerdings muss man sich fragen, wie hoch mein Schaden werden könnte, wenn ich untätig bleibe“, gibt Schemberger einen Gedankenanstoß. Ob deutsche Unternehmen sich der Gefahren von Cyberangriffen bewusst sind, beantwortet der Experte mit einem pauschalen „Ja.“ Wie informiert die einzelnen Betriebe sind, das steht auf einem anderen Blatt. „Als Unternehmen ist man immer limitiert. Die Kernfragen sind also: ‚Wieviel Mittel habe ich zur Verfügung?‘ und ‚Auf welche Technologien setze ich?‘. Und das ist bei wahrscheinlich jedem Betrieb individuell. Nicht nur die Frage, wieviel Geld setze ich an, das ist grundlegend erforderlich, aber setze ich es auch da an, wo wirklich der Schuh drückt?“, fragt Schemberger. Als Beispiel nennt er Betriebe, die viel Geld in Sicherheit investieren, aber zum Beispiel keine Passwortstrategie haben und somit an einer vergleichbar einfachen und kostengünstigen Stelle sparen und ein Einfallstor für Kriminelle öffnen.
Von Profis beraten lassen
Der Rat des Experten ist daher, sich professionell und regelmäßig beraten zu lassen. Zum einem, weil Sicherheitsexpert:innen das Unternehmen analysieren und dann Empfehlungen aussprechen können, welche Maßnahmen passend zu den jeweiligen Anforderungen sind, und zum anderen, weil externe Expert:innen stets aktuelle Bedrohungslagen im Blick haben. Damit wird gewährleistet, dass der Schutz an die neusten Bedrohungen aus dem Netz angepasst wird. Um sich einen ersten Überblick zu verschaffen, hat die Cybersicherheitsagentur Baden-Württemberg ein Prüfdokument für Unternehmen erstellt. Unter dem Titel „Häufig ausgenutzte konzeptionelle Schwächen bei IT-Sicherheitsarchitekturen“ wurde zusammengefasst, an welcher Stelle Unternehmer:innen nachsteuern müssen bei ihrem eigenen Konzept. „Als Cybersicherheitsagentur des Landes Baden-Württemberg liegt unser primärer Fokus auf dem öffentlichen Sektor. Hier beraten wir intensiv und geben Hilfestellungen. Daraus ergeben sich aber Erkenntnisse, die auch für Unternehmen interessant sind. Diese können wir als neutrale Stelle zur Verfügung stellen“, erklärt Schemberger dazu, warum es sich lohnt, in das Dokument einmal reinzuschauen, ohne Bedenken zu haben, dass dort ein Produkt bevorzugt angepriesen wird.
Zudem rät Schemberger, sich zur Krisenvorsorge auch wirklich an Sicherheitsexpert:innen zu wenden, die Erfahrung im Bereich Incident Response haben und nicht ausschließlich an den IT-Dienstleister des Vertrauens. Letztgenannte haben ihr Know-how und ihre Expertise üblicherweise im Bereich des IT-Betriebs, oftmals fehlt ausgewiesene Kompetenz im Bereich IT-Sicherheitsarchitekturen und es wird zu Standardlösungen gegriffen anstatt maßgeschneiderte Lösungsarchitekturen zu entwickeln. Von den krisenerfahrenen Expert:innen können wertvolle Hinweise kommen, welche zentralen Maßnahmen wie z. B. Ransomware-resistentes Back-up, zentrales und Ransomware-resistentes Logging etc. umgesetzt werden sollten, um im Krisenfall besser aufgestellt zu sein. Ein gemeinsamer Workshop kann hier wertvolle Erkenntnisse schaffen, welche Bausteine in der IT-Sicherheitsarchitektur noch dringend umgesetzt werden sollten. Dabei muss Sicherheit nicht teuer sein. „Wenn ich mich beispielsweise gegen einen Ransomware-Angriff schützen will, dann reicht mir im besten Fall eine USB-Festplatte zum Wechseln. Kostenpunkt für diesen Speicher: vielleicht 100 Euro. Nehmen wir einmal den Friseurbetrieb um die Ecke mit drei Mitarbeitenden. Wenn die keinen Remotezugang aus dem Internet brauchen, dann kann man sich die hohen Investitionen sparen und wirklich sein Back-Up auf einer externen Festplatte speichern. Schon hat man für wenig Geld die Daten geschützt und kann im Falle eines Falles direkt weiterarbeiten“, erklärt Schemberger. Natürlich lässt sich das nicht pauschalisieren. Je nach Größe und Gewerk sowie Datenzugang brauchen Unternehmen unterschiedliche Sicherheitsmaßnahmen. Ein Beispiel ist die Netzwerksegmentierung. „Ich muss vielleicht nicht meine Daten der vergangenen zehn Jahre so abspeichern, dass sie vom Internet aus verfügbar sind“, meint der Experte. Vielmehr lässt sich durch eine Teilung in aktuelle und archivierte Dateien mit einer zwischengeschalteten Firewall eine sinnvolle Trennung zwischen den Informationen erreichen. Denn so gehen im Falle eines Angriffs nicht sofort alle Dateien auf einmal verloren. Oder man nimmt das Thema Website. „Ich muss nicht zwangsläufig die Website auf meinem eigenen Server hosten, sondern kann auch einen Webserver dafür nutzen“, meint Schemberger. Der Vorteil: Wenn die Website gehackt wird, kann nicht in das System an sich eingedrungen werden.
Spielt die Größe eine Rolle?
Gerade kleinere Betriebe werden sich fragen, wie attraktiv sie für Cyberkriminelle sind. Die Antwort des Experten ist eindeutig: „Die Kriminellen wissen in den meisten Fällen gar nicht um die Größe des Unternehmens, das sie da angreifen.“ In erster Linie geht es den Angreifern darum, Zugang zu einem System zu bekommen. Wenn dieser gelungen ist, wird dieser Zugang auf dem Schwarzmarkt verkauft. Dabei gibt es drei große „Geschäftsmodelle“. Das erste Modell ist die Verschlüsselung der Daten. Dies ist die Folge eines Ransomwareangriffs. Das betroffene Unternehmen bekommt erst wieder Zugriff auf seine Daten und technische Infrastruktur, wenn es eine Geldsumme an die Kriminellen bezahlt. Der Angriff auf Medi im August 2022 ist vielen aus der Branche noch bestens im Gedächtnis, legten die Angreifer doch die gesamte Produktion des Bayreuther Herstellers lahm. Das zweite Modell ist, dass der Angreifer die vorhandene Infrastruktur für illegale Aktivitäten nutzt. Das bedeutet, dass die eigenen Rechner beispielsweise Teil eines Bot-Netzwerks werden. Ein Botnetz, kurz für „Roboternetzwerk“, ist eine Sammlung von internetverbundenen Geräten, die ohne das Wissen ihrer Besitzer mit Malware infiziert und ferngesteuert werden. Diese Geräte können PCs, Server, mobile Geräte und sogar vernetzte Haushaltsgeräte umfassen. Cyberkriminelle nutzen diese Netzwerke oft für verschiedene bösartige Aktivitäten, darunter das Versenden von Spam-E-Mails, das Durchführen von DDoS-Attacken (Distributed Denial of Service), bei denen Websiten durch Überlastung zum Stillstand gebracht werden, und das Mining von Kryptowährungen. Das Heimtückische an Botnetzen ist ihre Fähigkeit, sich unbemerkt auszubreiten. Sie nutzen Sicherheitslücken in Software und Betriebssystemen, um sich zu vermehren. Einmal eingerichtet, kann der Betreiber des Botnetzes diese „Bots“ gleichzeitig nutzen, um automatisierte Aufgaben über das Internet auszuführen, was die Angriffskraft potenziell vervielfacht.
Industriespionage ist das dritte Geschäftsmodell der Cyberkriminellen. Im Gegensatz zu den beiden anderen Modellen handelt es sich bei dem Auskundschaften von Betriebsgeheimnissen meistens um einen gezielt gegen ein Unternehmen oder eine Behörde gerichteten Angriff, um an bestimmte Informationen zu gelangen.
Angreifer haben leichtes Spiel
Deshalb können auch kleine Betriebe durchaus das Ziel von Cyberangriffen sein – die Wahrscheinlichkeit ist für den Experten sogar sehr hoch, da sich die Frequenz der Angriffe ständig erhöht. „Seit fünf Jahren merke ich einen Anstieg. Hatte man damals hin und wieder einmal eine große Meldung, dass es einen Hack oder eine Kompromittierung gab, so sind es heute mehrere Fälle täglich“, erklärt Schemberger. Die Arbeitsweise der Kriminellen hat sich professionalisiert und die Methoden haben sich verfeinert. Ein Beispiel: Wenn ein Softwareanbieter einen Patch zur Verfügung stellt, um eine Schwachstelle im eigenen Produkt zu beheben, dann scannen die Kriminellen direkt die Nutzer dieser Software ab, ob diese den Patch bereits aufgespielt haben – oder noch nicht. Entwickler und Firmen liefern den Kriminellen damit eine Steilvorlage für ihr illegales Treiben, die Angreifer bekommen die Schwachstelle quasi umsonst geliefert und müssen nur noch die Opfer identifizieren. In puncto Sicherheitsupdates rät der Experte daher dringend dazu, tagesaktuell alles auf den neuesten Stand zu bringen. Gegebenenfalls geht es für Unternehmen um Minuten, bevor das eigene System beispielsweise vollständig verschlüsselt wird.
Apropos Verschlüsselung. So digital alle werden wollen, manchmal muss es analog sein. Björn Schemberger rät den Unternehmen, sich im Vorfeld darüber Gedanken zu machen, wie sie im Notfall reagieren wollen und sich diese Handlungsanweisung auszudrucken. „Ich empfehle, die Szenarien einmal mit Experten durchzuspielen. Da kann man die wichtigen Entscheidungen ohne großen Stress treffen und ist so im Falle eines Falles gerüstet und muss nicht spontan entscheiden. Unter Umständen kann das den Fortbestand des Unternehmens sichern.“
Denn trotz eines Angriffs bleibt die Welt ja nicht stehen. Bestellte Ware wird weiterhin von den Partnern angeliefert, da müssen die Mitarbeitenden dann mit Bleistift und Papier ran – eine mühselige Arbeit, die es zu verhindern gilt. Entscheidend dafür ist auch der Faktor „Mensch“. Egal, wie gut das Sicherheitsnetz ist, wenn ein Mitarbeitender eine Phishing-Mail öffnet, dann droht dem gesamten Unternehmen eine große Gefahr. Damit die Mitarbeitenden gewarnt sind, wird empfohlen, regelmäßige Schulungen anzubieten, um auf generelle und aktuelle Bedrohungen hinzuweisen. Auch hier liegt die Verantwortung in der Chefetage, die ihren Angestellten vorleben muss, wie wichtig Cybersicherheit ist. „Außerdem müssen Zuständigkeiten geklärt werden“, rät Schemberger aufgrund seiner Erfahrungen. Wenn nicht klar ist, wer welche Aufgabe in dem System hat, dann kann es im schlimmsten Fall zu einem erfolgreichen Angriff führen und vermeintliche Sicherheitsmaßnahmen haben nicht gegriffen, weil die entscheidende Person vielleicht gar nicht wusste, dass sie zuständig ist.
Keine Herkulesaufgabe
Für Schemberger ist es wichtig zu betonen, dass sich die Entscheider nicht vor dem Thema Cybersicherheit drücken, weil das Feld so immens groß ist. Vielmehr solle man an einem Punkt gezielt starten und sich dann sukzessive vorarbeiten. Ein erfolgreicher Cyberangriff kann schließlich die unternehmerische – oder sogar die private – Existenz gefährden. „Wenn ich ein kleiner Betrieb bin, dann können mir zwei externe Festplatten, eine rot angemalt, eine grün angemalt, für wenig Geld meine Existenz sichern. Die eine Festplatte ist mit dem System verbunden, die andere liegt daheim und sichert vielleicht dadurch meinen Kundenstamm“, erklärt Schemberger und hat noch einen weiteren Rat: „Wenn man solche externen Festplatten von einem Ort zum anderen bewegt, dann sollte man darauf achten, dass die Festplatten verschlüsselt sind. Wenn die Festplatten dann einmal in fremde Hände fallen, können diese nicht so einfach Zugang zu den Daten haben.“
Zusammenfassend lässt sich sagen, dass Unternehmen egal welcher Größe wahrscheinlich täglich einer Vielzahl globaler Angriffe ausgesetzt sind. In die digitale Sicherheit seines Unternehmens zu investieren, ist daher keine Option, sondern eine Pflichtaufgabe. Externe Sicherheitsberater:innen können helfen, den konkreten Bedarf an Sicherheitsmaßnahmen festzulegen. Bereits mit einem überschaubaren Budget gibt es Maßnahmen, die essenziell die eigene Cybersecurity erhöhen können. Und eine gute Nachricht für Entscheider:innen: Nicht alles muss auf einen Schlag erledigt werden. Wer sich mit dem Thema beschäftigt und konsequent damit beginnt, erste, vielleicht auch kleinere, Maßnahmen umzusetzen, und das eigene Team auf diesem Weg mitnimmt, der hat schon den entscheidenden Schritt getan.
Heiko Cordes
- Grafik des Monats: Ausgaben der GKV — 15. Juli 2024
- Reisestipendium ermöglicht Besuch der OTWorld — 12. Juli 2024
- Ottobock kauft dänisches Versorgungsnetzwerk — 10. Juli 2024
