https://www.faz.net/-j0w-ac5x9
Verlagsspezial

: Notfallplan für den Krisenfall

Frühzeitig Vorsorgen: Jedes Unternehmen und jede Behörde benötigt einen Notfallplan für den Fall eines Hacking-Angriffs. Bild: DragonImages/iStock

Cyberattacken auf Unternehmen, Behörden und private Nutzer sind inzwischen längst Alltag. Notfallpläne gehören daher als entscheidender Bestandteil zu einer ganzheitlichen Cybersecurity.

          3 Min.

          Die Gefahr hat in den letzten Jahren kontinuierlich zugenommen: Unternehmen, Verbände oder Behörden sind häufig Opfer von Spionage- und Erpressungsattacken. Inzwischen gibt es rund eine Milliarde identifizierter Malware-Familien, zu denen laut dem IT-Sicherheitsdienstleister AV-Test täglich etwa 312 000 neue Varianten hinzukommen.

          Die Geschädigten reagieren mittlerweile auf die Bedrohung. Während laut einer Studie „IT-Sicherheit 2019“ des Eco-Verbands der Internetwirtschaft 2018 nur 32 Prozent der Befragten einen Notfallplan hatten, waren es 2019 immerhin schon 57 Prozent.

          Als Bestandteil einer ganzheitlichen Cybersecurity sollte ein solcher Plan das Business Continuity Management (BCM) und ein IT-Notfallmanagement enthalten. Das BCM hat die Fortführung kritischer Geschäftsprozesse auch bei Eintritt schädigender Ereignisse zum Ziel, während das IT-Notfallmanagement die effektive Meldung sowie Bewältigung von IT-Notfällen durch eine einheitliche Systematik und kontinuierliche Übungen gewährleisten soll.

          Offene Ports oder Access Points

          Dabei sind die potentiellen Ziele von Cyberattacken so vielfältig wie die Art der Angriffe selbst. Ganz entscheidend ist es deshalb für Unternehmen, Verbände und Behörden, Bedrohungsszenarien zu üben, da der Faktor Zeit und eingespielte Prozesse häufig entscheidend bei der Bewältigung der Krisensituation sind. Gleichzeitig muss ein effektives Cyberkrisenmanagement laufend optimiert werden, um sich der Bedrohungslage anzupassen. Das heißt: Die Vorfälle müssen analysiert und auf „Lessons Learned“ überprüft werden.

          Die Erfahrungen aus Übungen und realen Vorfällen erstrecken sich in der Regel auf vier Bereiche: Menschen, Kommunikation, Prozesse und Technik. Dabei ist der menschliche Faktor immer noch die anfälligste Fehlerquelle im Bereich der Cybersecurity.

          So macht es mangelndes Bewusstsein für die IT-Sicherheit, für sichere Passwörter oder fehlendes technisches Know-how Angreifern leicht, IT-Systeme zu infiltrieren. Denn Angreifer analysieren immer zuerst die Netzwerkinfrastruktur und suchen gezielt nach offenen Ports oder Access Points. Gleichzeitig sammeln sie mit professionellen Analysetools Informationen zu aktiven Betriebssystemen und Services. So erfahren sie den aktuellen Patch-Status oder finden möglicherweise Lücken wie ein ungepatchtes Citrix-System oder einen noch aktiven Windows-7-Rechner. Auch Social-Media-Accounts werten die Kriminellen aus, um einen Angriffsweg in das fremde Netz zu finden. Die gefundenen Schwachstellen werden dann ausgenutzt, um den Schadcode direkt in das Zielsystem zu schleusen oder E-Mails mit Malware an Mitarbeitende des Angriffsziels zu verschicken.

          Dies alles passiert fast immer unbemerkt – ebenso wie die nächsten Schritte, in denen die Cyberkriminellen sukzessive die Kontrolle übernehmen. Dazu verbreiten sie die digitale Infektion immer weiter im Netzwerk und etablieren einen Rückkanal zu einem Command-and-Control-Server, mit dem sie ständig Informationen austauschen. Die Angreifer laden automatisiert einerseits neuen Schadcode nach, andererseits exfiltrieren sie die Daten aus dem Unternehmen und bereiten damit auch weitere Attacken gegen andere Unternehmen vor. Erst dann setzen sie zum finalen Schlag an und verschlüsseln das System beziehungsweise die wichtigsten Dateien. Eine kontinuierliche Schulung der Mitarbeiter ist daher ganz entscheidend, um offene Türen für Cyberattacken zu schließen.

          Externes Back-up

          Ist der Krisenfall eingetreten, wird der Notfallplan aktiviert. „Jedes Unternehmen und jede Behörde benötigt einen Notfallplan für den Fall eines Hacking-Angriffs,“ erklärt Lutz Keppeler, Anwalt für Datenschutzrecht bei der Sozietät Heuking Kühn Lüer Wojtek. „Denn wenn die eigene IT an einem Feiertag oder Freitagnachmittag plötzlich nicht mehr zur Verfügung steht, muss klar sein, welche Dienstleister zu kontaktieren sind und welche internen Ressourcen benötigt werden. Zudem sollten die Schritte zur Wiederherstellung der IT und zur Einspielung von hoffentlich vorhandenen und nicht befallenen Back-ups existieren“, fügt Keppeler hinzu.  Eine Priorisierung darüber, welche vitalen Funktionen zuerst wieder laufen müssen, sollten in einem Notfallplan ebenfalls vorgenommen werden.

          „Ein Ransomware-Angriff legt nicht nur ganze Systeme lahm, sondern hat auch häufig die Veröffentlichung kritischer Daten zur Folge“, stellt Gérard Richter, Leiter von McKinsey Digital Deutschland, fest. Besonders gefährdet bei einem Ransomware-Angriff seien die Altlasten der IT-Infrastruktur, die fast jedes Unternehmen hat. Diese vollständig aufzulösen könne je nach Branche sehr kompliziert sein. Gleichzeitig stellten sie aber eine Schwachstelle dar, die Angreifer irgendwann ausnutzen werden, analysiert der Seniorpartner im Frankfurter Büro von McKinsey.

          Topmeldungen

          : Cyberangriffe: Deutsche Firmen im Visier

          Angriffe aus dem Cyberspace nehmen zu, der Schaden für die deutsche Wirtschaft ist immens. Unternehmen müssen nicht nur in die technische IT-Sicherheit investieren – sondern auch die Mitarbeiter für die Gefahren der digitalen Sphäre sensibilisieren.
          Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt.

          Interview : „Das Vertrauensverhältnis zum Kunden ist ein hohes Gut“

          Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt. In diesem Jahr wurde die gebürtige Israelin mit dem ersten Platz beim hochdotierten Deutschen IT-Sicherheitspreis ausgezeichnet. Im Interview spricht sie über die Vorgehensweise von Cyberkriminellen und zeigt auf, wie wichtig es für Unternehmen ist, einen Notfallplan in der Schublade zu haben.
          Täuschend echte Nachrichten: Phishing-E-Mails sind heutzutage zum Teil so gut gemacht, dass man nur beim genaueren Hingucken etwas bemerkt.

          : Mit einem Klick in der Falle

          Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance.
          Gravierende Auswirkungen: Am Haupteingang zum Universitätsklinikum Düsseldorf fährt ein Krankenwagen vorbei. Nach dem umfangreichen IT-Ausfall an der Uniklinik im September 2020 dauert die schwierige Suche nach den Hackern weiter an.

          : Schutzmechanismen gegen Verschlüsselungstrojaner

          Ferngesteuerte, digitale Erpressung mittels spezieller Erpressersoftware ist inzwischen eine der größten Bedrohungen für die Cybersicherheit weltweit. Betroffen sein kann jedes Unternehmen, wichtig sind eine schnelle Reaktion und eine gute Vorbereitung für den Ernstfall.