Inhaltsverzeichnis
Siemens, BASF, Henkel und viele mehr – die Liste an gehackten Unternehmen der letzten zwölf Monate ist lang. Nachdem wir bereits in unserem Artikel zum Thema Alarmierung und Datenschutz festgestellt haben, dass Cybervorfälle bereits 2018 zu den größten Geschäftsrisiken weltweit gehörten, verheißt auch der Allianz Risk Barometer 2020 mit Daten aus dem Jahr 2019 nichts Gutes. Im Gegenteil. Inzwischen gelten Cyberattacken als größtes Geschäftsrisiko für Betriebe auf der ganzen Welt – noch vor Betriebsausfällen. Mit weiterhin steigender Tendenz. Und das, obwohl wir davon ausgehen müssen, dass das Gesamtergebnis nach der jetzigen Corona-Krise mit hoher Wahrscheinlichkeit nächstes Jahr insgesamt etwas anders aussehen wird.
Wer ist von einem Cyberangriff bedroht?
Grundsätzlich kann jedes Unternehmen einen Cyberangriff erleiden. Neben Großkonzernen, Behörden und Kritischen Infrastrukturen (KRITIS) sind aber gerade auch mittelständische Unternehmen ein beliebtes Angriffsziel für Cyberattacken. Nicht selten investieren diese Betriebe viel Geld in Forschung und Entwicklung, um innovative Ideen zu verwirklichen und neue Patente anzumelden. Diese Geschäftsgeheimnisse machen sie dann wiederum interessant für Datenspionage oder sogar Lösegelderpressungen.
Einmal im System angekommen, kann eine Schadsoftware erheblichen Schaden anrichten. Einer der bekanntesten Cyberangriffe der letzten Jahre war der Erpressungstrojaner WannaCry, der sich im Mai 2017 rasend schnell über den gesamten Globus hinweg in über 150 Ländern mit über 200.000 betroffenen Unternehmen verbreitet hat.
Nicht ganz so offensichtlich, aber nicht weniger gravierend sind Cyberangriffe in Form von Spyware. Diese liegt gut getarnt im System eines angegriffenen Unternehmens, um dort beispielsweise Kundendaten auszuspionieren.
Was können Unternehmen nach einem Cyberangriff tun?
Wie Betriebe richtig auf einen IT-Security-Vorfall reagieren, hängt selbstverständlich von der Art des Vorfalls und der speziellen IT-Umgebung ab. Dennoch existieren einige Gemeinsamkeiten, die für alle Unternehmen gelten. Dazu gehören die taktische Reaktion, die forensische Reaktion sowie die Informationspflicht gegenüber Behörden. Was das im Einzelnen beinhaltet, erläutern wir kurz:
Taktische Reaktion
In erster Linie geht es hier darum, sich darum zu kümmern, den Schaden so gering wie möglich zu halten. Denn Sie können davon ausgehen, dass der Cyberangriff weiter gestreut sein wird als gedacht. Vor allem, wenn Sie zwar wissen, dass es einen Vorfall gegeben hat, aber zunächst weder die genaue Stelle noch den Umfang erfassen können. Stellen Sie sich daher diese Fragen: Welche Systeme müssen vom Netz genommen werden? Alle oder nur ein Teil? Wer hat dazu die Berechtigung? Wer muss bei einem Cyberangriff zuerst informiert werden?
Forensische Reaktion
Neben den logischen ersten Sofort-Maßnahmen nach einem Cyberangriff ist es wichtig, die nötigen Beweise sicherzustellen. Denn ein Cyberangriff auf einen Betrieb ist per Definition eine kriminelle Handlung, bei der eine Strafverfolgungsbehörde ermitteln wird. Doch auch Ihre Versicherung wird sich für derartige Beweise interessieren. Deshalb sollten Sie dafür sorgen, dass Sie diese vorlegen können. Besitzt Ihr IT-System eine automatische Speicherung aller Vorkommnisse? Wie lange werden diese Protokolle archiviert? Hat Ihr System möglicherweise Kapazitätsgrenzen?
Informationspflicht gegenüber Behörden
Ein Cyberangriff ist für viele Unternehmen – zum Beispiel von Betreibern Kritischer Infrastrukturen (KRITIS) nach § 8b Abs. 4 BSIG meldepflichtig. Viele Betriebe haben eine eigene Rechtsabteilung, die im Falle eines Cybervorfalls die Polizei und andere zuständigen Behörden informiert. Aber auch für Unternehmen, die unter die DSGVO (Datenschutz-Grundverordnung) fallen, weil sie mit Kundendaten arbeiten, sollten alle Informationen im Sinne ihrer Compliance bereithalten können.
5 Fehler, die Sie bei einem Cyberangriff vermeiden sollten
Im Folgenden stellen wir Ihnen eine Reihe von Fehlern vor, die Sie im Zusammenhang mit einem Cyberangriff unbedingt vermeiden sollten. Denn diese sind mitverantwortlich für das Ausmaß eines Angriffs und haben erheblichen Einfluss darauf, wie Sie ihn bewältigen werden.
- Zu wenig Zeit in Schulung von Mitarbeitern investiert
- Software Patch Management vernachlässigt
- Nicht schnell genug reagiert
- Nicht richtig kommuniziert
- Keinen richtigen Notfallplan in der Tasche
1. Fehler: Zu wenig Zeit in Schulung von Mitarbeitern investiert
Die beliebteste Angriffsfläche für Malware bietet nach wie vor die E-Mail. Aber auch Clickbaiting (Klickköder) und Sicherheitslücken in Webseiten stehen bei Cyber-Kriminellen hoch im Kurs. Im schlimmsten Fall reicht ein falscher Klick, z.B. auf einen Mailanhang, um die ganze IT einer Firma lahmzulegen.
Cyberkriminelle nutzen hierbei das fehlende Wissen der Mitarbeiter aus. Und obwohl laut G DATA Mittelstandsreport 2019 83 Prozent aller befragten Unternehmen glauben, dass ihre Mitarbeiter einen Cyberangriff auslösen können, setzen lediglich 42 Prozent der Unternehmen auf regelmäßige Awareness-Schulungen.
(Bildquelle: OmniQuest GmbH für G DATA CyberDefense AG, 2019)
Wie leicht die Kompromittierung von Systemen über das schwächste Element der Unternehmens-IT – den ungeschulten Mitarbeiter – passieren kann, zeigt übrigens sehr eindrucksvoll die Chronologie eines Cyberangriffs aus dem Jahr 2018 auf ein osteuropäisches Finanzunternehmen in dem Artikel Tagebuch einer Cyber-Attacke auf eine Bank.
Lösungsvorschlag
Wissen schützt vor Fehlern. Daher ist Aufklärung ist immer noch die beste Maßnahme im Kampf gegen Phishing und Co. Mit regelmäßigen, verpflichtenden Mitarbeiter-Trainings können Unternehmen einen entscheidenden Beitrag dazu leisten, eine der Hauptursachen für erfolgreiche Angriffe einzudämmen.
Damit Mitarbeiter die Inhalte dauerhaft behalten, ist es ratsam, die Kenntnisse regelmäßig aufzufrischen. Externe IT-Berater oder Sicherheitsbeauftragte – die in Kritischen Infrastrukturen nach dem IT-Sicherheitsgesetz ohnehin Pflicht sind – nehmen Unternehmen diese Arbeit ab und bringen die Mitarbeiter regelmäßig auf den neuesten Stand der Technik.
2. Fehler: Software Patch Management vernachlässigt
Ja, es ist arbeitsintensiv. Ja, es nervt. Das Updaten von Applikationen, Treibern und Betriebssystemen. Doch gerade nicht oder schlecht installierte Software-Aktualisierungen sind gute Einfallstore für Computerviren und andere Malware.
Über die entstehenden Sicherheitslücken nutzen Hacker die Gunst der Stunde, um in IT-Bereiche einzudringen, auf vertrauliche Daten zuzugreifen oder Daten zu manipulieren. Das gilt gleichermaßen für Betriebssysteme, Router, Server und Anwendungsprogramme.
Sein Patch Management zu vernachlässigen ist daher vergleichbar mit einem gekippten Fenster, das man wieder zu schließen vergisst und somit Einbrechern den Einstieg ins Büro ermöglicht. Trotzdem nehmen gerade auch kleine und mittlere Unternehmen (KMU) dieses potenzielle Sicherheitsrisiko in Kauf. Laut der Studie „The 2019 State of IT Operations for SMBs“ automatisieren lediglich 42 Prozent der befragten KMU ihr Patch-Management oder planen dies zukünftig. Ebenfalls lediglich 42 Prozent überwachen die Software von Drittanbietern und uploaden wichtige Patches innerhalb von 30 Tagen.
Lösungsvorschlag
Patch ist der englische Begriff für „Flicken“. Im Rahmen von Datensicherheit bezeichnet der Patch einen Teil eines Programmcodes, der extra dafür entwickelt wurde, um Programme zu aktualisieren, zu optimieren oder Fehler zu beheben. Und zwar ohne das komplette Programm neu entwickeln zu müssen.
Daher gibt es für diese Aufgabe das Patch-Management. Dieses beschäftigt sich mit der Beschaffung, dem Test und der Installation benötigter Updates für Applikationen, Treiber und Betriebssysteme von Computern. Professionelles Patch Management schließt fortlaufend Sicherheitslücken und minimiert so die Angriffsfläche für Cyber-Kriminelle deutlich.
3. Fehler: Nicht schnell genug reagiert
Eins der größten Probleme bei einem Cybervorfall ist der Zeitfaktor. Oft hat sich eine Malware innerhalb weniger Minuten bereits soweit in ein System eingenistet, dass die IT-Infrastruktur eines Unternehmens über Monate hinweg geschädigt ist. Das bedeutet auch: Je länger es dauert, bis der Cyberangriff entdeckt wird, desto größer sind mögliche Folgeschäden.
Löst zum Beispiel ein Überwachungssystem eines Webshops einen Alarm aus, ergibt es keinen Sinn, wenn ein Mitarbeiter die Benachrichtigung um drei Uhr nachts lediglich per SMS bekommt. Entdeckt dieser den Vorfall erst am Morgen, ist die kritische Zeitspanne von Entdeckung des Angriffs bis zur Ausnutzung längst vorbei.
Und die Folgen können verheerend sein: Von langfristigen Ausfallzeiten, über finanzielle Einbußen bis hin zu rechtlichen Sanktionen und Rufschädigung. Ein Cyberangriff schafft es ohne Weiteres, die gesamte Geschäftsfähigkeit eines Betriebes lahmzulegen.
Lösungsvorschlag
Ist es zu einem Cyberangriff gekommen, geht es darum den Schaden auf ein Minimum zu begrenzen. Und zwar schnell. Welche Sofort-Maßnahmen gilt es zu ergreifen? Wer muss zuerst benachrichtigt werden? Hilfreich sind hier automatisierte Alarmierungslösungen, die praktisch wie auf Knopfdruck alle beteiligten Personen alarmieren. Am besten zu jeder Tages- oder Nachtzeit auf unterschiedlichen Endgeräten, indem sie sogar Dienst-, Schicht- und Urlaubspläne berücksichtigen.
Die webbasierte Alarmierungs- und Kommunikationsplattform GroupAlarm ist eine solche Softwarelösung. Im Schadensfall löst sie innerhalb weniger Sekunden über zahlreiche Kommunikationsmittel eine komplette Alarmierungskette aus. Zum Beispiel an die IT-Rufbereitschaft, die Geschäftsleitung, die Presseabteilung oder einen vorher definierten Krisenstab. Solange, bis jemand reagiert. Innerhalb kürzester Zeit können so bereits Gegenmaßnahmen unternommen werden, um z.B. das weitere Nachladen von Schadsoftware zu verhindern.
4. Fehler: Nicht richtig kommuniziert
Wird der Cyberangriff entdeckt, gehört es in den allermeisten Fällen zu den ersten Maßnahmen, das Unternehmen komplett vom Internet abzuklemmen. Damit soll natürlich das Nachladen von Schadsoftware verhindert werden. Der Nachteil ist, dass dabei häufig auch E-Mail, Telefon und Chat als Kommunikationsmittel ausfallen. Auch gespeicherte Kontaktdaten und Notfall-Handbücher stehen dann nicht mehr überall zur Verfügung. Etwaige Telefonlisten auf Papier manuell abzuarbeiten, kostet eine Menge Zeit und nimmt das Personal in Beschlag. Außerdem besteht die Gefahr, dass die Rufnummern veraltet sind. Es gibt also keine Sicherheit, alle Beteiligten rechtzeitig zu erreichen.
Herkömmliche Messenger-Dienste, die von manchen Firmen in solchen Krisensituationen schnell für Ihre Mitarbeiter eingerichtet werden, sind zwar sicherlich eine verständliche ad-hoc-Lösung. Leider erreichen diese Systeme jedoch niemals das Niveau von professionellen Kommunikations- und Alarmierungslösungen. Weder im Hinblick auf Schnelligkeit und Verfügbarkeit noch was die Datensicherheit betrifft.
Lösungsvorschlag
Im Schadensfall ist neben sofortigen Maßnahmen zur Schadensminimierung vor allem ein intaktes Kommunikationssystem zur Benachrichtigung von Mitarbeitern sowie Spezialteams notwendig, mit dem Sie alle am Vorfall beteiligten Personen und Gruppen effizient koordinieren und sogar externe Behörden benachrichtigen sowie Hotlines für die Öffentlichkeit einrichten können.
Die Software-as-a-Service-Lösung GroupAlarm speichert die Erreichbarkeiten der Mitarbeiter und stellt einen eigenständigen Informations- und Steuerungskanal bereit. Sie ist vollständig von der lokalen IT abgekoppelt und läuft georedundant in deutschen Rechenzentren. Das heißt also, dass Unternehmen sogar dann vollständig handlungsfähig bleiben, wenn die eigene Infrastruktur nicht mehr oder nur teilweise erreichbar ist.
5. Fehler: Keinen richtigen Notfallplan in der Tasche
Es klingt zwar immer wie Predigen, doch gerade die richtige Vorbereitung auf einen Cyberangriff kann Unternehmen im Nachhinein viel Kummer ersparen. Trotzdem gibt es immer noch genug Firmen, die sich „lieber“ in blinden Aktionismus stürzen anstatt bereits im Vorfeld Maßnahmen zu planen.
Dabei ist ein IT-Notfallplan genau dafür da, um bei plötzlich eintretenden Problemen im IT-Bereich, die Schäden für Unternehmen zu begrenzen bzw. zu verhindern. Ein guter Notfallplan beinhaltet daher - neben Notfallmaßnahmen bei IT-Problemen - auch Verantwortlichkeiten, Kontaktinformationen, technische Regelungen, Alarmierungsketten, Kommunikationsregelungen Handlungsanweisungen und Checklisten.
Lösungsvorschlag
Eine gute Vorbereitung auf einen Cyberangriff ist die halbe Miete. Mit der intelligenten SaaS-Lösung GroupAlarm können Sie Ihren kompletten IT-Notfallplan integrieren und ganze Arbeitsabläufe mit Bedingungen und Abfragen erstellen sowie detaillierte Arbeitsanweisungen hinterlegen. So weiß bei einem Vorfall jeder genau, was er wann zu tun hat – ohne groß nachdenken zu müssen. Denn im Ernstfall befinden sich alle Beteiligten in einem Ausnahmezustand, der genug Konzentration auf das eigentliche Problem erfordert.
Firmen wie die Schulungsexperten im Bereich Notfall- und Krisenmanagement IUGITAS verschaffen Ihnen außerdem die Möglichkeit, sich auf solche Cyberattacken mithilfe von Simulationsübungen und Trainings vorzubereiten. Damit Sie und Ihr Unternehmen in Not- und Krisensituationen fit und widerstandsfähig bleiben.
Zusammenfassung
Ein Cyberangriff kann praktisch jedes Unternehmen treffen. Nach aktuellen Zahlen gelten Cyberattacken weltweit als größtes Geschäftsrisiko für Betriebe. Neben taktischen wie forensischen Maßnahmen zur Schadensbekämpfung sowie der behördlichen Informationspflicht, gibt es einiges zu beachten, um die Schäden so gering wie möglich zu halten. Technische wie personelle Präventionsmaßnahmen, hohe Reaktionsfähigkeit, reibungslose Kommunikation und ein vernünftiger IT-Notfallmanagement-Plan sind die Bausteine für ein erfolgreiches Anti-Cyberangriff Konzept. Die webbasierte Alarmierungs- und Kommunikationsplattform GroupAlarm unterstützt Sie bei der Vorbereitung, dem Management und der Nachbereitung solcher Vorfälle. Damit Sie zu jeder Zeit handlungsfähig bleiben und so wenig Schäden wie möglich davontragen.