Was ist zu tun, wenn ein Hacker die Systeme im Unternehmen lahmlegt? Auch wenn das Kind bereits in den Brunnen gefallen ist, sorgt ein Notfallplan für kühle Köpfe.
Ein falscher Klick – und schon ist es zu spät. Die Hacker haben Zugang zum firmeneigenen Netzwerk, das allerdings merkt der Mitarbeiter, der den Mailanhang geöffnet hat, erst einmal nicht. „Bei einem bestimmten Sicherheitsvorfall in einem Unternehmen konnten wir nachweisen, dass ein Eindringling bereits im Vorfeld der eigentlichen Attacke seinen Fuß in der Tür hatte“, beschreibt IT-Sicherheitsexperte Gunther Schlöffel, Vorstand der „pen.sec AG“ in Bad Krozingen, einen konkreten Fall, der aber so überall in Deutschland stattfinden kann. „Auf den Servern hat er sogenannte Beacons installiert und das System dann wieder verlassen. Der eigentliche Angreifer, der sich diese Beacons gekauft hat, führt die Erpressung dann auch tatsächlich durch.“
Jetzt mitmachen: Gründung eines regionalen Cybersicherheitsnetzwerks
Das Cyber-Sicherheitsnetzwerk (CSN) ist auf Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ins Leben gerufen worden. Ziel: Mit ihm soll eine flächendeckende dezentrale Struktur aufgebaut werden, das dem Mittelstand bei IT-Sicherheitsvorfällen Unterstützung anbietet. Regionale Netzwerke sollen dabei den Informationsaustausch untereinander und mit Experten ermöglichen und eine Anlaufstelle für digitale Ersthelfer sein.
Auch in der Region ist die Gründung eines Forums in Vorbereitung. Die IHK Südlicher Oberrhein unterstützt das Vorhaben und wird am 13. Januar 2023 eine Gründungsveranstaltung für die Regionalgruppe CSN abhalten.
Eine Anmeldung zu der Veranstaltung ist möglich bei Nico Faller, Referent Digitale Transformation + Technologietransfer
Mail: nico.faller@freiburg.ihk.de
Telefon: 0761 3858-267
Tritt ein solcher IT-Sicherheitsvorfall ein, kommt das Unternehmen nicht mehr an seine Daten – die Freigabe durch die Erpresser soll über die Zahlung einer Kryptowährung erzwungen werden. Im schlimmsten Fall wird auch noch damit gedroht, dass bei Nichtzahlung sensible Kundendaten ins Netz gestellt werden. „Man kommt am Montagmorgen nichtsahnend ins Büro, die Systeme funktionieren nicht mehr, man kann sich nicht mehr an seinem Rechner anmelden, auf der Festplatte oder im Drucker wurde aber ein Hinweis der Erpresser hinterlassen, dass man gehackt wurde“, beschreibt Gunther Schlöffel das unschöne Szenario. Ein Albtraum für jeden Unternehmenslenker und IT-Verantwortlichen.
IT und Geschäftsführung brauchen Notfallplan
Und nun? Klar, dass bei einem solchen Angriff erst einmal die Nerven blankliegen. Gunther Schlöffel nennt das die Gefahr eines „Headless-Chicken-Mode“, also dass im Unternehmen alle wie aufgeschreckte Hühner kopflos umherrennen. Dabei sei das gezielte Abarbeiten einer Notfallstrategie jetzt essenziell. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat beispielsweise einen Leitfaden zusammengestellt, wie so ein Notfallkonzept aufgestellt werden kann. „Man kann sich bereits im Vorfeld eines IT-Angriffs Checklisten erstellen, wer was zu tun hat“, sagt Schlöffel. Der Systemadministrator zieht beispielsweise den Netzwerkstecker, damit der Täter keine Verbindung mehr zu den Systemen hat. „Das stumpfe Abarbeiten der Checklisten sorgt dafür, dass man sich von den vielen Informationen, die auf einen einprasseln, erst einmal freimachen kann.“
Auch die Geschäftsführung braucht einen Notfallfahrplan. Sie sollte bereits im Vorfeld wissen, ob sie einer Erpresser-Forderung nachkommen möchte und wie sie mit den Konsequenzen dieser Entscheidung umgehen soll. Veröffentlichen die Erpresser beispielsweise Kundendaten, müssen die Kunden darüber in Kenntnis gesetzt werden. Ein möglicher Datenschutzverstoß steht im Raum, das gehackte Unternehmen muss dafür im Zweifelsfall geradestehen.
Jeder Unternehmer muss selbst abwägen
Vollständig verhindern lassen sich solche Angriffe auf die IT-Infrastruktur nicht. Denn die Attacken können sehr perfide sein – vor allem, wenn sie auf die Neugier von Menschen setzen. Auch Firewalls und Virenscanner bieten keinen hundertprozentigen Schutz – selbst ein vermeintlich auf dem Firmenparkplatz liegengelassener USB-Stick mit der Aufschrift „Urlaubsbilder“ kann bereits das Zugangstor für Hacker sein – wenn ein nichtsahnender Mitarbeiter ihn in den firmeneigenen Rechner steckt.
Wieviel Schutz sich ein Unternehmen unter dem Strich leisten muss und will, ist stets eine individuelle Entscheidung. Gunther Schlöffel meint dazu: „Die Datenschutzgrundverordnung reduziert es auf einen einfachen Satz: Ich muss ein dem Risiko angemessenes Schutzniveau schaffen, sowohl technisch, physisch, organisatorisch und personenbezogen.“ Am Ende gilt: „Egal, was ich tue, ich muss mich auch darauf vorbereiten, wenn es doch nicht gereicht hat, einen Angriff abzuwehren.“
Text: tas
Bild: Adobe Stock/Andrey Popov