Stark in der Abwehr

Hackerattacken, Ransomware, Datendiebstahl und Bot-Netz-Armeen aus dem Internet der Dinge – die Angriffe der Cyberkriminellen nehmen zu, ihr Repertoire wird größer. Ihre Werkzeuge für ihre Machenschaften finden sie häufig in dubiosen Kanälen im Internet. Durch den steigenden Grad der Digitalisierung werden die IT-Infrastrukturen, die geschützt werden müssen, immer komplexer. Außerdem gehen die Angreifer zunehmend professioneller und gezielter vor. Damit steigen sowohl die Erfolgsquote für Angreifer als auch der Schaden für die angegriffenen Unternehmen. Hinzu kommt, dass nicht alle neuen Informationstechnologien, die in Betrieben eingesetzt werden, mit dem Anspruch „Security by Design“ entwickelt werden – sie genügen also nicht den Sicherheitsanforderungen und sind somit ein Einfallstor für Angriffe. Außerdem bieten die Nutzung von Social Media, der Einsatz mobiler Endgeräte und das Cloud Computing Angriffsmöglichkeiten, die es früher nicht gab.

Deshalb verwundert es nicht, dass Cyber-Vorfälle unter den größten Risiken für Unternehmen inzwischen auf Platz eins liegen, so das „Allianz Risk Barometer 2017“. Allerdings reagieren die Unternehmen zu zögerlich auf diese Herausforderung, wie eine aktuelle Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC zeigt. Die Angreifer haben vor allem zwei Ziele: die Verfügbarkeit des Systems, um es lahmzulegen, und den Menschen, der durch Sorglosigkeit den Angreifern die Tore öffnet. Der finanzielle Schaden lässt sich nur schwer ermitteln. Laut IT-Branchenverband Bitkom beläuft er sich konservativ geschätzt für die gesamte deutsche Wirtschaft auf rund 51 Mrd. Euro pro Jahr.

Die Bandbreite der Gefahren wächst also stetig, das stellt große Anforderungen an das betriebliche Risiko-Management und an die Mitarbeiter, die im Betrieb für die IT-Sicherheit verantwortlich sind. Größere Unternehmen haben die finanziellen Mittel, um einen Expertenstab eigens für die IT-Sicherheit abzustellen und um die IT-Infrastruktur technisch abzusichern. Dennoch muss die IT-Sicherheit auch in kleinen und mittleren Unternehmen Chefsache sein, zu groß sind die existenziellen Gefahren, die durch Cyberangriffe drohen. Es gibt Mindestanforderungen, die unbedingt eingehalten werden sollten, um es Angreifern so schwer wie möglich zu machen.

Basisschutz für Desktop-PCs und Notebooks

Viele Rechner, die an das Internet angebunden sind, sind nicht ausreichend gegen die Risiken der Online-Welt geschützt. Angreifer nutzen dies aus, indem sie die betroffenen Rechner mit Schadprogrammen infizieren, Informationen ausspähen oder den kompromittierten Rechner als Teil eines Botnetzes verwenden. Diese grundlegenden Vorkehrungen erhöhen die Hürden für Angreifer und schränken die Risiken deutlich ein:

Passwort für PC-Zugang: Selbstverständlich sollte es sein, alle Rechner mit einem Passwort zu versehen. Der Zugriffsschutz kann auch zeitgesteuert sein: Wenn der Computer in der voreingestellten Zeit nicht benutzt wird, wird er automatisch gesperrt. Verlässt der Mitarbeiter den Arbeitsplatz und vergisst das Sperren, holt dies das System nach.

Virenschutz und Personal-Firewall: Ein absolutes Muss, um einen angemessenen Basisschutz zu erreichen, sind eine Virenschutz-Software, die Schadprogramme auf der eigenen Maschine aufspürt, blockiert und entfernt, sowie eine Personal-Firewall, die den Datenverkehr zwischen dem Internet und der eigenen Maschine regelt und überwacht.

Automatische Updates: Damit Sicherheitslücken umgehend geschlossen werden, müssen das Betriebssystem und alle installierten Anwendungen stets auf dem neuesten Stand sein. Regelmäßige Sicherheits-Updates sind ein Muss, sonst dringen Angreifer womöglich über Lücken in veralteten Systemen in die IT ein. Idealerweise wählt man die Voreinstellung „Automatische Updates“, sodass man nicht selbst an die regelmäßige Aktualisierung denken muss.

Nicht als „Administrator“ surfen: Im Internet sollte man ausschließlich über sein eigenes Benutzerkonto mit eingeschränkten Rechten unterwegs sein und nicht über das Administrator-Konto. Denn sollte ein Eindringling an die Administratoren-Rechte kommen, kann er noch weit größeren Schaden anrichten.

Regelmäßige Backups: Um dem Verlust von Unternehmensdaten vorzubeugen, muss ein Konzept für die Datensicherung erarbeitet werden. Es legt fest, welche Daten in welchen Abständen gesichert werden. Diese Backups sollte man am besten verschlüsselt und redundant an verschiedenen Orten abspeichern und regelmäßig darauf hin überprüfen, ob sie fehlerfrei wiederhergestellt werden können. Denn die benötigte Zeit, um Daten wiederherzustellen, kann im Notfall von existenzieller Bedeutung für den Fortbestand des Betriebs sein.

Wichtig ist, dass die Backups nicht mit dem Netzwerk des Computers verbunden sind. Sonst können auch die gesicherten Daten befallen bzw. durch eine Ransomware verschlüsselt werden. Für die Sicherung nutzt man entweder eine externe Festplatte, die nicht dauerhaft mit dem System verbunden ist, oder eine Cloud-Lösung, die die Dateien nicht automatisch auf dem Computer in der Cloud synchronisiert.

Entsorgung: Wenn man alte Geräte, auch Drucker mit Festplatte, entsorgt, müssen die Daten aller Datenträger mit geeigneten Programmen unwiderruflich gelöscht werden. Notfalls können beispielsweise Festplatten etwa durch Einwirkung von Gewalt (z. B. Hammerschläge) physisch zerstört werden.

Sichere Kommunikation

Ein großes Einfallstor für Angreifer bildet die unverschlüsselte Unternehmenskommunikation über das Internet. Denn durch moderne Hilfsprogramme haben es Datendiebe heute so leicht wie nie zuvor, unverschlüsselte E-Mails, Chats und Telefongespräche abzufangen, zu lesen und zu manipulieren. Unverschlüsselte E-Mails sind deshalb mit einer Postkarte zu vergleichen, die prinzipiell von jedem gelesen werden kann. Dieser Aspekt wird von vielen Unternehmen unterschätzt, Sicherungsmaßnahmen werden erfahrungsgemäß häufig unterlassen, weil sie als unpraktisch und zu aufwändig betrachtet werden.

Bei der Übertragung sensibler Daten (z. B. Personaldaten, Finanzdaten, Geschäftsgeheimnisse) ist eine sicher verschlüsselte Kommunikation zwingend erforderlich. Durch die Public-Key-Infrastruktur (PKI) können Nachrichten mit Hilfe eines asymmetrischen Kryptosystems digital signiert und verschlüsselt werden. Dafür eignen sich die Standards S/MIME oder OpenPGP. Das PGP-Verfahren (Pretty Good Privacy), auch asymmetrisches Verfahren genannt, verwendet ein eindeutig zugeordnetes Schlüsselpaar: ein öffentlicher Schlüssel, mit dem jeder Daten für den Empfänger verschlüsseln kann, und ein privater, geheimer Schlüssel, den nur der Empfänger besitzt und der normalerweise durch ein Passwort geschützt ist. Nachrichten an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt, der Empfänger kann sie dann ausschließlich mittels seines privaten Schlüssels entschlüsseln.

Sicherer Umgang mit mobilen Geräten

Mobile Endgeräte wie Smartphones oder Tablets eröffnen neue Möglichkeiten im betrieblichen Alltag, z. B. für Außendienst, Vertrieb, Wartung, Dokumentation usw. Die Geräte verfügen bereits über eine Reihe von Sicherheitsvorkehrungen, haben aber dennoch zahlreiche Schwachstellen und bieten damit Angriffspunkte für Kriminelle, die sich über diesen Weg Zugriff auf die Unternehmensdaten und die IT-Infrastruktur verschaffen können.

Dringend anzuraten sind diese Vorkehrungen:

• Geräte beim Hersteller registrieren sowie die Seriennummer und die „International Mobile Station Equipment Identity“ (IMEI) dokumentieren – eine 15-stellige Nummer, mit der sich das Gerät eindeutig identifizieren lässt.
• Eine „Mobile Security Suite“ (MSS) einrichten, um u. a. Angriffe durch Schadprogramme abzuwehren. Sie sollte Virenscanner, Personal-Firewall, automatische Update-Funktion und Schutz von unbefugtem Wechsel der SIM-Karte enthalten. MSS können noch mehr als das: So ist u. a. eine Verwaltung der Mobilgeräte möglich (z. B. automatische Updates, Verwaltung der Apps, Verwaltung des Contents usw.). Auf diese Weise sparen sich die Administratoren viel Zeit, da nicht jedes Gerät einzeln angefasst und eingestellt werden muss.
• Ortungs- bzw. Fernlöschfunktion einrichten, damit die Daten im Falle eines Verlustes oder Diebstahls des Gerätes nicht in fremde Hände gelangen.
• Geräte mit einem komplexen Passwort schützen, das den Anforderungen der bekannten Richtlinien für sichere Passwörter genügt.
• Apps nur von Quellen herunterladen, die vom Entwickler bzw. Hersteller des jeweiligen Betriebssystems autorisiert sind (z. B. App Store von Apple und Play Store von Google). Alle installierten Apps und das Betriebssystem müssen durch Updates stets auf dem neuesten Stand gehalten werden.
• Sensible Daten ausschließlich auf dem Unternehmensserver ablegen und im Ausnahmefall über VPN (Virtual Private Network) auf mobilen Geräten bearbeiten.
• Mobile Endgeräte ausschließlich an Computer anschließen, die über einen aktuellen, aktivierten Malware-Schutz verfügen und alle Unternehmensrichtlinien einhalten.
• Regelmäßige Backups aller Daten, die auf dem Gerät gespeichert sind, um Datenverlust zu verhindern. Die Backups möglichst nicht in der Cloud durchführen – falls doch, dann nur verschlüsselt.
• Drahtlose Schnittstellen der Endgeräte wie WLAN, Bluetooth und Infrarot standardmäßig deaktivieren und nur bei Bedarf einschalten. Dies verringert die Angriffsfläche und schont zudem die Akkus.Für die (interne) WLAN-Verbindung nur den aktuellen Verschlüsselungsstandard WPA2 verwenden. Ältere Standards wie WEP sind unsicher und können schnell geknackt werden.
• Öffentliche WLAN-Netze (z. B. in Cafés, Restaurants, Büchereien und öffentlichen Verkehrsmitteln) wenn möglich meiden und allenfalls über eine verschlüsselte Verbindung zum Unternehmensnetzwerk (z. B. VPN) verwenden. Denn Angreifer können sich unbemerkt zwischen Nutzer und Zielserver „einklemmen“ und sogar die Verschlüsselung SSL/TLS aushebeln. Wenn der Browser beim Besuch einer scheinbar seriösen Webseite eine Zertifikatswarnung anzeigt, kann dies ein Anzeichen sein, dass sich ein Unbefugter in die Kommunikation einklinkt.

Sicheres Cloud Computing

Die Vorteile des Cloud Computing – also der Auslagerung von IT-Leistungen und Daten an externe Dienstleister – werden zunehmend auch von kleineren Unternehmen geschätzt. Zu den Pluspunkten zählen beispielsweise hohe Verfügbarkeit der Daten, große Flexibilität, Skalierbarkeit, geringere Kosten und bessere Möglichkeiten, um ortsunabhängig im Team zusammenzuarbeiten.

Ein weiterer Vorteil ist, dass das Know-how des Cloud-Dienstleisters auf Feldern wie Technik, IT-Sicherheit und Datenschutz: Bei ihm sind die Daten fast immer physikalisch sicherer als im eigenen Unternehmen. Vor allem kleine Unternehmen werden nicht die Sicherheitsstandards spezialisierter Dienstleister erreichen. Die Rechenzentren sind durch mehrere Sicherheitssysteme vor unberechtigtem Zugriff und Ausfall sehr gut geschützt. Risikobehafteter ist aber der Transport der Daten über das (unsichere) Internet, daher ist auch hier eine Verschlüsselung notwendig.

Beim Cloud Computing sollte der Anwender (also das Unternehmen, das den Cloud-Dienstleister beauftragt) alle Maßnahmen ergreifen, damit die wichtigsten Schutzziele wie Verfügbarkeit, Vertraulichkeit und Integrität erfüllt sind. Er ist nämlich gemäß Bundesdatenschutzgesetz (BDSG) die „verantwortliche Stelle“ – also nach außen verantwortlich für die Sicherheit der Daten. Werden personenbezogene Daten in die Cloud ausgelagert oder verarbeitet, muss er mit dem Cloud-Anbieter einen Vertrag zur Auftragsdatenverarbeitung (ADV) abschließen.

Zahlreiche Cloud-Dienstleister speichern die Daten außerhalb der Europäischen Union, z. B. in den USA. In diesem Fall ist der Abschluss eines ADV-Vertrages alleine nicht mehr ausreichend. Für die Datenübermittlung bedarf es einer Rechtsgrundlage, außerdem muss Cloud-Anbieter das in der EU vorgeschriebene Niveau des Datenschutzes herstellen. Um dieses zu erfüllen, muss der Cloud-Anbieter entweder eine Zertifizierung nach EU-US-Privacy-Shield nachweisen oder EU-Standardvertragsklauseln abschließen. Nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofes von 2015 bestehen jedoch Zweifel daran, ob diese beiden Regelungen weiterhin Bestand haben. Aufsichtsbehörden halten deshalb zusätzlich den Abschluss eines ADV-Vertrags für erforderlich, der aber nicht mit jedem Anbieter verhandelbar ist. Nach der EU-Datenschutz-Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 angewandt wird, gilt ebenso wie bislang, dass es maßgeblich darauf ankommt, ob der datenverarbeitende Cloud-Dienstleister mit Sitz außerhalb der EU auch ein angemessenes Datenschutzniveau einhält. Als Alternative bietet sich deshalb die Auswahl eines Cloud-Anbieters an, dessen Rechenzentrum in der EU angesiedelt ist.

Organisatorische Maßnahmen

Technische Sicherheitsmaßnahmen reichen jedoch bei weitem nicht aus, um das Unternehmen gegen Angriffe aus dem Cyberspace zu sichern. Mindestens ebenso wichtig sind der menschliche Faktor und organisatorische Vorkehrungen. Zuverlässige und gut informierte Mitarbeiter, die den gesunden Menschenverstand einsetzen und sensibel auf Auffälligkeiten reagieren, sind das A und O. Sie müssen so geschult werden, dass sie selbstständig, diszipliniert und routiniert die Sicherheitsregeln beachten.

Die Erfahrung aus der Praxis zeigt allerdings, dass gerade die organisatorischen Maßnahmen in vielen Betrieben vernachlässigt werden. Dabei ist die Erarbeitung eines wirksamen Konzepts für die IT-Sicherheit nicht zwingend mit hohen Kosten verbunden und damit auch von kleinen Unternehmen zu leisten. Die Praxis zeigt: Die wirksamsten Maßnahmen sind einfach und oft kostenlos.

IT-Sicherheit als Chefsache: Fundamental ist, dass die Informationssicherheit zur Chefsache gemacht wird und von der Geschäftsleitung bei jeder Entscheidung berücksichtigt wird. Die Zuständigkeiten und Verantwortlichkeiten müssen klar geregelt sein. In der Regel wird die Geschäftsführung einen Verantwortlichen für Informationssicherheit benennen, der ihr berichtet und als direkter Ansprechpartner für die Mitarbeiter fungiert.

Notfallplan erstellen: Ein Notfallplan für die wichtigsten denkbaren Szenarien der IT-Sicherheit mindert die Auswirkungen z. B. durch Ransomware-Angriffe, Stromausfall oder Wasserschaden. Der Plan nennt alle Verantwortlichen für den jeweiligen Notfall mit ihren aktuellen Kontaktdaten. Im Ernstfall wissen alle Beteiligten, was zu tun ist und können sofort reagieren. Ein Fehlverhalten der Mitarbeiter im Notfall kann dazu führen, dass Kontroll- und Sicherheitsmechanismen ausgehebelt werden – dies ist ein unterschätzter Risikofaktor.

Leitlinie für IT-Sicherheit sowie Schulung der Mitarbeiter: Eine unternehmensweite IT-Sicherheitsleitlinie (IT Security Policy) enthält Vorgaben darüber, wie die Mitarbeiter mit PC, Internet, mobilen Geräten, Cloud Computing usw. umzugehen haben. Sie werden aber dazu nur in der Lage sein, wenn sie ausreichend in das Thema eingeführt und regelmäßig geschult werden. Das macht sie sensibel für Auffälligkeiten und Unregelmäßigkeiten, die auf Cyber-Angriffe hinweisen können. „Phishing“ (Abfischen von Passwörtern und anderen vertraulichen Informationen) und „Social Engineering“ (Ausspionieren und gezielte Ansprache von einzelnen Mitarbeitern, um diese zur Preisgabe von geheimen Informationen zu bewegen) sind Beispiele für Gefahren, bei denen es auf wache Mitarbeiter ankommt, die ihren gesunden Menschenverstand einsetzen. Ein Beispiel für das Social Engineering sind die sogenannten „Fake President“-Attacken: Die Angreifer spionieren das persönliche Umfeld ihres Opfers aus, täuschen eine bestimmte Identität vor (z. B. die eines Vorgesetzten) oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um an geheime Informationen zu gelangen.

Regelmäßige Anpassung der Organisation: Die technischen Möglichkeiten der Angreifer und die Art der Attacken ändern sich stetig. Deshalb müssen die betrieblichen Maßnahmen der IT-Sicherheit regelmäßig überprüft und verbessert werden. Eine Methode sind sogenannte Penetrationstests, bei denen spezialisierte IT-Dienstleister Angriffe von außen und innen simulieren und Schwachstellen aufspüren. Eine Möglichkeit, um stets einen hohen Sicherheitsstandard zu halten, ist die Einführung eines Informationssicherheits-Managementsystems (ISMS). Es analysiert die aktuelle Bedrohungslage und definiert auf dieser Grundlage Maßnahmen, um Unternehmensinformationen wirksam zu schützen.

Man kann es nicht oft genug wiederholen: Angesichts der existenziellen Bedeutung der IT-Sicherheit für den Betrieb, muss sie Chefsache sein. Die Geschäftsführer können die Verantwortung dafür nicht auf die IT-Experten abwälzen. Dem hat auch der Gesetzgeber Rechnung getragen: Verschiedene Gesetze und Regelungen machen die Geschäftsführer bzw. Vorstände persönlich haftbar, wenn es zu Versäumnissen kommt. In der Praxis bedeutet das auch, dass die Chefs mit gutem Beispiel vorangehen und die richtigen Verhaltensweisen vorleben. Nur so wird sich im Betrieb die Erkenntnis durchsetzen, dass jeder einzelne Mitarbeiter durch verantwortungsbewusstes Handeln Schäden vermeiden kann.

Einen 100-prozentigen Schutz gegen die Gefahren aus dem Cyberspace kann es nicht geben. Jedoch gilt in der Informationssicherheit das Pareto-Prinzip: Ein vernünftiger Informationsschutz sowie eine gewisse Grundsicherung der IT sind bereits mit verhältnismäßig geringen Mitteln zu erreichen. Es geht nicht darum, das technologische Rennen mit den Angreifern zu gewinnen, sondern mit durchdachten Maßnahmen die Hürde für einen erfolgreichen Angriff so hoch wie möglich zu setzen. Dann wird sich der Aufwand für die Kriminellen nicht mehr lohnen.