Überall ist seit der COVID-19-Pandemie die Forderung zu hören, deutsche Unternehmen und Behörden müssten nun endlich ihren Rückstand bei der Digitalisierung aufholen: mehr Homeoffice, mehr Videokonferenzen, mehr digitale Angebote für Kunden, mehr Cloud-Dienstleistungen. Das geht allerdings häufig auf Kosten der IT-Sicherheit. Digitalisierung macht verwundbar. Neben betrieblichen Störungen drohen hohe datenschutzrechtliche Bußgelder, Schadensersatzforderungen, Kündigungen von Geschäftspartnern und ein beschädigter Ruf, wenn Unternehmen falsch auf Cybersicherheits-Vorfälle reagieren. Stefan Dingel und Jonas Puchelt von FPS erläutern, welche Sofortmaßnahmen Unternehmen nach einem Cyberangriff treffen müssen.
Die Deutsche Bahn, die Hotelkette Marriott, die Düsseldorfer Uni-Klinik, die Supermarktkette Tegut, der Pipelinebetreiber Colonial Pipeline, elf kleine Betriebe im oberpfälzischen Weiden, 800 Volksbanken, der Landkreis Bitterfeld – sie alle wurden Opfer einer Cyberattacke und erfolgreich von Hackern angegriffen. In der Regel geht es den Cyberkriminellen um Erpressung, sie fordern ein Lösegeld. Zu zahlen nicht etwa nachts auf einem Parkplatz, verpackt in einer Plastiktüte, sondern zu überweisen – in Kryptowährung. Erpressungen dieser Art sind in Zeiten der Digitalisierung nichts Besonderes mehr.
BSI sieht größte Bedrohung für Unternehmen
Meistens führen die Hacker einen Ransomware-Angriff durch (von englisch ransom für „Lösegeld“). Dabei wird eine Schadsoftware, beispielsweise ein als seriöser E-Mail-Anhang getarnter Trojaner, in ein Unternehmensnetzwerk so eingeführt, dass sämtliche Daten einschließlich operativer Steuerungs- und Betriebssysteme verschlüsselt werden und ein Zugriff unmöglich wird. Um den Leidensdruck zu erhöhen, werden auch die Back-ups verschlüsselt, wenn sie nicht physisch getrennt vom Produktivsystem gespeichert sind.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht diese Angriffe mittlerweile als die größte Bedrohung für Unternehmen im Internet an, denn die Attacken sind ein lukratives Geschäftsfeld für die Organisierte Kriminalität. Sie geschehen deshalb immer öfter und werden immer professioneller ausgeführt. Inzwischen kann man sich derartige Schadsoftware sogar mieten. Ransomware-as-a-Service (RaaS) heißt das neue Geschäftsmodell in Anlehnung an Software-as-a-Service-Angebote wie „Office 365“ oder „Google Workspace“. Personen, die selbst keine Kenntnisse über die Programmierung von Schadsoftware besitzen, können schnell und kostengünstig ein RaaS-Kit buchen und direkt eine Ransomware-Attacke starten.
Risiko Digitalisierung – Stillstand der Betriebstätigkeit droht
Diese Attacken haben schwerwiegende Folgen für die Betroffenen. Der Stillstand der gesamten Betriebstätigkeit droht. Das kostet viel Geld und führt dazu, dass sich – anders als etwa beim Ausspionieren bestimmter Firmeninterna – ein Angriff nicht mehr geheim halten lässt, sondern sofort sichtbar und spürbar wird. Um ihrer Forderung Nachdruck zu verleihen und auch glaubhaft zu machen, im Besitz sensibler Daten zu sein, veröffentlichen die Erpresser Teile der erbeuteten Daten im Internet. Die Kriminellen haben damit ein weiteres Druckmittel, gegen das das Opfer ab diesem Zeitpunkt (fast) nichts mehr unternehmen kann. Das geforderte Lösegeld zu zahlen, scheint oft attraktiver zu sein, als diese Nadelstiche zu ertragen.
Die Lösegeldforderungen sind meist so zugeschnitten, dass sie auch geleistet werden können. Viele Unternehmen sind bereit zu zahlen, weil ein Stillstand der Arbeit oder die Veröffentlichung von Firmengeheimnissen sie teurer zu stehen kommt, als den Forderungen der Erpresser nachzugeben. Die Sicherheitsbehörden raten naturgemäß dringend davon ab, Zahlungen zu leisten, weil damit das kriminelle Geschäftsmodell gefördert wird.
Cybersicherheit? Mittelstand unzureichend geschützt
Es ist eine Frage der Ressourcen, ob ein Unternehmen einen IT-Sicherheitsbeauftragten einsetzt und das Rechenzentrum zertifizieren lässt. Viele kleine Unternehmen und Mittelständler nehmen die IT-Sicherheit nicht ernst genug und können daher leichter Opfer werden. So gaben nach einer Studie von PwC zur Cybersecurity 41 % der deutschen Unternehmen an, im vorhergehenden Jahr Opfer eines Cyberangriffs geworden zu sein. Gleichzeitig schätzten aber 69 % der Unternehmen das Risiko eines ungezielten Angriffs und 93 % das Risiko eines gezielten Angriffs als unwahrscheinlich ein. Cybersicherheit wird noch immer überwiegend als Kostentreiber und nicht als Notwendigkeit angesehen. Dies erklärt, warum Hardware und Software oft nicht auf dem neuesten Stand sind.
Die offene Flanke eines Unternehmens ist oftmals nicht allein die IT, sondern der Mensch. Das Social Engineering ist eine der gefährlichsten Entwicklungen des Digitalzeitalters und beschreibt die Kontaktaufnahme der Cyberkriminellen mit Mitarbeitenden, damit sie vertrauliche Informationen wie Passwörter preisgeben oder auf infizierte Links klicken. Und man kann es kaum glauben, auch im Jahr 2021 ist die Zahlenfolge „123456“ noch immer das beliebteste Passwort der Deutschen, dicht gefolgt von „1234567“ und dem Passwort „Passwort“. Solche Passwörter werden in weniger als einer Sekunde geknackt. Dagegen erscheinen das Geburtsdatum oder der Hochzeitstag geradezu originell – allerdings werden auch diese innerhalb kürzester Zeit überwunden.
Die Unternehmensleitungen müssen verinnerlichen, dass Cybersicherheit die Voraussetzung für eine erfolgreiche Digitalisierung ist. Neben der Investition in sichere Hard- und Software einschließlich eines professionellen Patchmanagements und getrennter Back-up-Systeme führt an einem regelmäßig wiederkehrenden Sicherheitstraining für Mitarbeitende kein Weg vorbei, um die Sensibilität für die Gefahren von Cyberattacken zu erhöhen.
Datenschutzrechtliche Anforderungen an die IT-Sicherheit
Um die Sicherheit personenbezogener Daten zu gewährleisten, müssen Unternehmen technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik einsetzen. Wurde ein Unternehmen Opfer eines Cyberangriffs, spricht der erste Anschein dafür, dass die getroffenen Cybersecurity-Maßnahmen nicht ausreichend waren. Daher drohen den geschädigten Unternehmen zusätzlich noch Bußgelder der Datenschutzbehörden.
Erste Hilfe im Notfall: Sofortmaßnahmen bei Cyberangriffen
Im Falle eines Cyberangriffs auf das IT-System ist eine rasche Reaktion existenziell. Hierbei hilft es, sich zuvor eine Checkliste zu erstellen. Zu den Sofortmaßnahmen der ersten Stunden gehören:
- Aufstellung eines kleinen Teams, um die Themen Management, Recht, IT, Datenschutz und Presse abzudecken
- Beauftragung eines spezialisierten IT-Sicherheitsunternehmens zur Unterstützung bei der Abwehr des laufenden Angriffs, der Beweissicherung, der Datensicherung und Wiederherstellung der Arbeitsfähigkeit
- Erstellung eines Konzeptes für die Krisenkommunikation nach innen und außen
- Aufstellung von Verhaltens- und Kommunikationsrichtlinien für Mitarbeitende und Führungskräfte
- Gegebenenfalls Beteiligung von Staatsanwaltschaft, Kriminalpolizei und BSI
- Prüfung einer Meldepflicht gegenüber den Datenschutzbehörden (Art. 33 DSGVO) innerhalb von 72 Stunden und den Betroffenen (Art. 34 DSGVO)
- Verminderung zukünftiger Angriffsrisiken
- Kontaktaufnahme mit dem Versicherer, sofern eine Cyber-Versicherung vorhanden ist
- Abwehr möglicher Haftungsansprüche von Kunden
- Geltendmachung von Ansprüchen gegenüber Dienstleistern
Um den Schaden durch einen Cyberangriff so gering wie möglich zu halten, ist es von entscheidender Bedeutung, dass alle potenziell involvierten Personen so gut wie möglich vorbereitet sind. Sie müssen genau wissen, welche Maßnahmen in einem Ernstfall zu ergreifen sind. Dringend zu empfehlen ist es daher, den Ablauf einmal zu testen, damit Sie im Ernstfall und unter großem Druck nichts vergessen.
Cybersicherheit und der Schutz von internen Daten und IT-Systemen ist eine Managementaufgabe. Geschäftsleiter werden sich deshalb stets fragen müssen, ob ihr Unternehmen gut aufgestellt ist, um den Anforderungen zur Cybersecurity gerecht zu werden und um im Falle eines Cyberangriffs Schäden zu minimieren.
