Unternehmen vor Cyber-Angriffen schützen

Cybersecurity-Berater Klose und Produktmanager Lang © Althammer & Kill GmbH & Co. KG

Immer mehr Sozialunternehmen werden Opfer von Hackerangriffen. Die IT-Experten vom Berater Althammer und Kill, Simon Lang und Maximalian Klose, geben Tipps für mehr Sicherheit.

Die zunehmende Digitalisierung und immer unübersichtlichere und komplexe Systeme sorgen für einen sprunghaften Anstieg der Cyber-Kriminalität. Bis zu 553.000 neue Schadprogramm-Varianten pro Tag verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuletzt. Die IT-Sicherheitslage sei angespannt bis kritisch.

Hohe Dunkelziffer

In seinem jährlich erscheinenden Bericht zur Lage der IT-Sicherheit in Deutschland stellt das BSI einen enormen Anstieg von cyber-kriminellen Erpressungsmethoden fest. Dabei geht es meist um ein zentrales Motiv: Geld. Cyberkriminelle dringen in IT-Systeme ein und erpressen Schweige-, Löse- oder Schutzgeld. Die Dunkelziffer bei diesen Delikten ist hoch, viele erfolgreiche Angriffe dringen niemals an die Öffentlichkeit. Manche finden ihren Weg in Fachmedien oder in die Publikumspresse. So wie der Fall eines Universitätsklinikums, der bundesweit für Schlagzeilen sorgte. Ganze 13 Tage konnte die Uniklinik Düsseldorf aufgrund einer Ransomware-Attacke keine Notfall-Patienten aufnehmen. Dieses Beispiel zeigt, dass Cyber-Angriffe jede Organisation treffen können – mitunter auch Bereiche der nationalen kritischen Infrastruktur.

Das englische Wort ransom bedeutet Lösegeld. Dabei verschaffen sich Angreifer über ein Schadprogramm Zugang zum IT-System und blockieren es. Nutzer können dann nicht mehr auf die eigenen Daten oder auf das gesamte Computersystem zugreifen. Die Daten oder das gesamte System werden verschlüsselt und erst wieder freigegeben, wenn das Opfer ein Lösegeld zahlen. Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner sind weitere Bezeichnungen für Ransomware.

Cyber-Attacken steigen an

Durch die fortschreitende Digitalisierung tauschen immer mehr miteinander verbundene Einheiten Daten aus. Das sorgt für neue Einfallstore für Hackerangriffe. IT-Strukturen werden immer komplexer, Systeme immer leistungsfähiger. Dadurch fehlt es häufig an einem allumfassenden Überblick innerhalb der Organisationen – insbesondere zu den Aspekten Datenschutz, IT- und Informationssicherheit. Es wird davon ausgegangen, dass IT-Systeme per se sicher sind. Doch dies stimmt meist nur bis zum nächsten Update-Release – wenn überhaupt. Werden Patches nicht installiert, sind die IT-Systeme verwundbar. So sehen dem Allianz Risk Barometer 2022 zufolge inzwischen 44 Prozent der befragten Verantwortlichen Angriffe auf ihre IT-Systeme als das größte Geschäftsrisiko, noch vor Betriebsunterbrechungen und Naturkatastrophen.

Zudem haben Cyber-Kriminelle erkannt, dass sich digitale Kriminalität lohnt. Inzwischen wurde dazu ein regelrechtes Serviceangebot aufgebaut. Niemand braucht mehr Schadsoftware selbst zu programmieren. Heutzutage kann man sich Ransomware as a Service, Phishing as a Service und ähnlich kriminelle Dienstleistungen einfach per Mausklick im Internet bestellen. Das sorgt dafür, dass Sicherheitsbehörden es nicht mehr nur mit Einzeltätern zu tun haben, sondern mit gut organisierte Unternehmen, die sich an die Gegebenheiten der IT-Landschaft und -Sicherheit angepasst haben. Eine Bezahlung des Dienstes wird erst im Erfolgsfall fällig, nämlich nach dem Cyber-Angriff und erfolgreicher Bezahlung des Lösegelds durch das Opfer.

Viele Schlupflöcher

Als Ziel von Cyberangriffen bietet sich das Sozial- und Gesundheitswesen besonders an. Denn gerade in diesem Bereich nimmt die Masse an elektronischen Daten stetig zu, um Betreuungen und Behandlungen von Patientinnen und Patienten effizienter gestalten zu können. Diese Daten sind sehr sensibel, handelt es sich doch um persönliche Informationen zum Patienten und seiner Gesundheit. Viele dieser schützenswerten Daten bedeuten für Angreifer eine größere Verhandlungsmasse. Die Lösegeldforderungen fallen dementsprechend höher aus.

Dieses Phänomen wird sich auch nicht umkehren, denn der medizinische und soziale Bereich soll aufholen, was die Digitalisierung betrifft. Das hat nicht zuletzt das Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz verordnet. Systeme wie bspw. elektronische Patientenakten und medizinische Gerätschaften kommen zum Einsatz, die miteinander verbunden sind und untereinander Daten austauschen. Ist die Budgetierung der IT- und Security-Abteilungen zu knapp bemessen, können Lücken entstehen, die von Cyber-Kriminellen erkannt und ausgenutzt werden.

Maßnahmen gegen Cyber-Attacken

Auch wenn es 100-prozentigen Schutz vor Cyber-Attacken nicht gibt, es existieren doch zahlreiche Möglichkeiten, um die Sicherheit deutlich zu erhöhen.

Richtlinien sorgen für Orientierung

Fragen, wie ‚Wie sind Passwörter zu gestalten? In welchem Turnus müssen diese geändert werden? Und wem melde ich eigentlich verdächtige Aktivitäten wie komisch anmutende E-Mails?‛ können in Richtlinien beantwortet werden, die Mitarbeitenden Orientierung und Sicherheit geben.

Offene Kommunikation fördern

Fehler sind menschlich und gut organisierte Angriffe können nicht immer verhindert werden. Deshalb ist es wichtig, Mitarbeitenden Unterstützung anzubieten, wenn Fehler passiert sind, etwa wenn Zugangsdaten fälschlicherweise eingegeben werden. Wer keine Angst vor Sanktionen haben muss, wird sich bei Fehlern Hilfe holen. Nur so lassen sich Angriffe wirklich aufdecken.

Überblick über IT-Landschaft behalten

Nur wenn eine verlässliche Liste aller IT-Systeme und Anwendungen existiert, können diese ordnungsgemäß überprüft werden. Dabei gilt es, Schatten-IT zu identifizieren und zu eliminieren. Als Schatten-IT bezeichnet man Hard- und Software, die nicht von der IT-Abteilung getestet oder freigegeben wurden, zum Beispiel weil sie von Mitarbeitenden installiert wurde.

Mitarbeitende schulen

Eine große Sicherheitslücke sitzt in der Regel vor dem Computer. Und das ist nicht despektierlich gemeint. Menschen machen Fehler, klicken versehentlich einen unbekannten Link von einem vermeintlich bekannten E-Mail-Absender und schon ist eine neue Lücke für Angriffe entstanden.

Der Faktor Mensch ist deshalb längst ins Fadenkreuz von Cyber-Kriminellen gerückt. Um Fehlverhalten zu minimieren und Mitarbeitende auf die Gefahren aufmerksam zu machen, sind sogenannte Security Awareness Maßnahmen unabdingbar. Dabei werden anhand von Simulationen real existierende Attacken nachgebildet, deren Ergebnis ausgewertet und passgenaue Schulungs- und Sensibilisierungskonzepte ausgearbeitet. Besonders dafür geeignet sind Phishing-Kampagnen.

Beim Phishing versuchen Angreifer Zugangsdaten von Mitarbeitenden einer Organisation zu erschleichen. Dazu werden täuschend echte E-Mails versendet, oftmals mit der Aufforderung, einen Link anzuklicken und Zugangsdaten einzugeben. Simulierte Phishing-Kampagnen trainieren die Mitarbeitenden, um im Falle eines Falles seriöse von unseriösen Mails unterscheiden zu können. Dazu zählen Rechtschreibfehler oder unbekannte Absender.

Netzwerke abschotten

Ein Schott bezeichnet im Schiffsbau eine Trennwand, die einen Schiffsrumpf in einzelne Bereiche segmentiert. Schlägt ein Schiff leck, werden Schotten in diesem Bereich geschlossen, sodass das Schiff nicht komplett volllaufen und sinken kann. Dieses Prinzip machen sich auch IT-Verantwortliche zunutze. Bei Schadensereignissen können die einzelnen Systemkomponenten, wie Netzwerke, so geschützt werden. Diese werden in Teilnetze aufgeteilt und durch Firewalls abgesichert. Bei einer erfolgreichen Ransomware-Attacke sind somit nicht gleichzeitig alle IT-Systeme betroffen und das Schadensmaß wird reduziert.

Systeme updaten

Das Tempo von Neuentwicklungen ist im Technologiebereich enorm hoch. IT-Systeme und Anwendungen müssen laufend angepasst und auf den neuesten Stand gebracht werden. Auch in Puncto Sicherheit. Im letzten Jahr wurden zahlreiche Sicherheitslücken offenbart, die zum Teil bis heute in IT-Abteilungen für Kopfzerbrechen sorgen. Zum Beispiel wurde eine kritische Sicherheitslücke in tausenden MS Exchange-Servern bekannt, die das BSI als ‚extrem kritisch‛ einstufte. Der Hersteller reagierte umgehend nach Bekanntwerden der Lücke mit einem Sicherheitsupdate. Doch auch zwei Monate später waren nach Aussage des BSI immer noch knapp neun Prozent der geprüften Exchange-Server in Deutschland für die kritische Schwachstelle verwundbar.

Gefahren im Blick behalten

Da sich Systeme und Sicherheitslücken laufend verändern, müssen IT-Abteilungen Informationen zu Gefahren regelmäßig bewerten. Institutionen wie das BSI aber auch Fachmedien und Experten auf dem Gebiet der Cyber-Security veröffentlichen dazu täglich Informationen. Sofern sich aus den gesammelten Informationen Bedrohungen für die eigene Organisation entwickeln könnten, sollten alle Mitarbeitenden etwa durch einen internen Newsletter umgehend informiert werden.

Vorfahrt für IT-Sicherheit

In vielen Organisationen liegt das Augenmerk insbesondere bei der Einführung neuer IT-Systeme vor allem auf dem Nutzen für die Arbeitsprozesse. Die Sicherheit von neuen Systemen wird dabei vorausgesetzt. Das ist ein Fehler. Sicherheits- und compliancerelevante Aspekte können sich durch neue Systeme ändern. Dieser Umstand ist bei einer Umstellung unbedingt zu berücksichtigen.

Der objektive Blick von außen

Routinen geben Sicherheit. Sie fördern aber auch, dass Mitarbeitende für eigene Arbeitsabläufe betriebsblind werden. Der objektive Blick von außen hilft oft, Lücken zu entdecken. Vorsicht ist dabei besser als Nachsicht. Expertinnen und Experten helfen, IT-Systeme und Anwendungen abzusichern, bevor eine Bedrohungslage entsteht. Doch auch im akuten Schadensfall können Externe dabei helfen, das Schadensausmaß zu reduzieren und die Sicherheit wiederherzustellen.

Die Autoren:

Simon Lang ist Produktmanager bei der Althammer & Kill GmbH & Co. KG.

Maximilian Klose ist Berater für Cloud- & Cyber-Security bei der Althammer & Kill GmbH & Co. KG.