DA+

Kurzbeitrag : Achtung Hacker! Umgang mit Cyber-Attacken : aus der RDV 5/2015, Seite 251 bis 253

Lesezeit 6 Min.

Datenverlust, Informationsdiebstahl, Sabotage, Industriespionage: Die Bedrohung von IT-Systemen und Daten ist real und in den Medien täglich präsent. Dennoch unterschätzen viele Unternehmen diese. Dabei kann ein erfolgreicher Angriff mitunter existenzgefährdend sein. Um den Schaden im Ernstfall zu minimieren, sind nicht nur präventive Maßnahmen zu treffen, sondern auch eine klare Handlungsstrategie zu entwickeln, um auf Attacken schnell und effektiv reagieren zu können.

Im Prinzip gibt es nur zwei Arten von Unternehmen. Die, die bereits gehackt wurden, und diejenigen, die in absehbarer Zeit gehackt werden. Das betrifft nicht nur große Konzerne, sondern auch den Mittelstand. Wer eine Verbindung ins Internet hat, wird gefunden. Und automatisierte Schadprogramme oder menschliche Angreifer entdecken etwaige Lücken in der Sicherheitsarchitektur auch. Zumal die Zahl und Qualität der Angriffe kontinuierlich zunimmt. Betriebe können nicht darauf vertrauen, dass sie zu klein und unbedeutend sind, um ins Visier von Hackern zu geraten. Im Falle eines Angriffs sind die Wenigsten vorbereitet. Selten wissen Mitarbeiter und Verantwortliche, was sie dann zu tun haben.

Oft bleiben Cyberangriffe über Monate unentdeckt: eine lange Zeit, in der Angreifer ungehindert großen Schaden anrichten und ihre Spuren wieder verwischen können, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland feststellt. Diese „digitale Sorglosigkeit“ zeigt auch der Datenschutzindikator, den TÜV SÜD gemeinsam mit der Ludwig-Maximilians-Universität München entwickelt hat. Er ermöglicht Unternehmen, den eigenen Stand beim Datenschutz einzuschätzen. Häufig ist das Problembewusstsein kaum ausgeprägt, der Schutz der eigenen sowie externer Daten hat in der betrieblichen Praxis meist einen geringen Stellenwert. Nur 20 Prozent der Unternehmen geben beispielsweise an, dass bei ihnen ein systematisches Vorgehen zum Umgang mit Datenschutzverletzungen existiert, die auch eine häufige Folge von Hacker-Angriffen sind.

Die tatsächlichen Bedrohungen

Tatsächlich geht die Gefährdung der IT eines Unternehmens deutlich über einen Befall durch Schadsoftware, durch Viren und Würmer hinaus. Die Studie „Security-Bilanz Deutschland“ des Kasseler Analystenhauses techconsult, an der auch das BSI beteiligt war, hat Anfang 2014 mehr als 500 mittelständische Unternehmen mit bis zu 2.000 Mitarbeitern befragt.

Thema war die IT-Sicherheit auf technischer Ebene, etwa durch IT-Konzepte, Firewalls und Virenscanner, aber auch in Bezug auf Organisationsstrukturen und Verhaltensstrategien. Untersucht wurden zahlreiche reale Risikofaktoren – neben Angriffen durch Schadsoftware auch etwa der Datenverlust durch Unachtsamkeit der Mitarbeiter, interner und externer Datendiebstahl und Sabotage, Phishing, Systemausfälle sowie Angriffe durch Trojaner, Spyware und Hacker. Bei über der Hälfte der Unternehmen besteht dringender Nachholbedarf. Zudem kommen immer neue Gefährdungsfaktoren hinzu, etwa dass die Grenzen zwischen privat und beruflich genutzter IT immer mehr verschwimmen. Das geschieht vor allem, wenn sich die Mitarbeiter mit eigenen Smartphones und Tablets im Firmennetzwerk einloggen oder sogar damit arbeiten. Der Trend zum Bring Your Own Device (BYOD) bringt mehr Komfort für die Nutzer und erspart den Unternehmen ggf. Investitionen – aber nicht, den Umgang mit den Endgeräten klar zu regeln.

Wissen, was beim Angriff zu tun ist

Einen hundertprozentigen Schutz vor Cyber-Attacken können auch die besten Schutzmaßnahmen nicht gewährleisten. Unternehmen können aber viel dafür tun, den Schaden auch bei einem erfolgreichen Angriff in Grenzen zu halten. Dafür müssen sie sich über die Gefährdung im Klaren sein und vorab definieren, wie in einem solchen Fall vorzugehen ist. Dazu gehört, dass sie klare Strategien und Handlungsanweisungen entwickeln und im Unternehmen kommunizieren.

Zunächst müssen vor allem die Zuständigkeiten und Kompetenzen der Verantwortlichen und Beteiligten klar geregelt sein. Kommunikationswege müssen transparent gemacht werden, damit Mitarbeiter wissen, an wen sie verdächtige Beobachtungen melden müssen. Wann handelt es sich nur um ein technisches Problem? Wann liegt ein Sicherheitsproblem vor? Auch das gilt es zu klären. Wichtig ist, dass Unternehmen ihr Sicherheitskonzept immer wieder prüfen und aktualisieren, etwa wenn technische Änderungen im Unternehmen oder Entwicklungen der Bedrohungslage das erfordern. Nach einem Angriff müssen die Schwachstellen behoben werden. Es sollten auch Beweise gesichert werden. Gegebenenfalls muss das gesamte Sicherheitskonzept überdacht werden. Erst diese Prozessorientierung bringt ein angemessenes Maß an Sicherheit.

Strategische IT-Sicherheit mit der ISO 27001

Als Leitlinie für eine umfassende und prozessorientierte IT-Strategie empfiehlt TÜV SÜD die ISO 27001, die 2013 novelliert wurde. Sie gilt international als führende Norm für Informationssicherheits-Managementsysteme. Auf der Grundlage dieser Norm entwickeln die Verantwortlichen eine Leitlinie, mit deren Hilfe vertrauliche Daten geschützt, die Integrität betrieblicher Daten sichergestellt und die Verfügbarkeit von IT-Systemen erhöht werden. Die Fachleute von TÜV SÜD können dabei sowohl auf technisches Know-how als auch auf datenschutzrechtliche Expertise zurückgreifen. Die interdisziplinären Teams haben jahrelange Erfahrung bei der Implementierung von Managementsystemen. Darüber hinaus bietet TÜV SÜD Penetrations-Tests und Zertifizierungen nach verschiedenen internationalen Normen an.

Fazit

Cyber-Angriffe kommen früher oder später in den meisten Unternehmen vor. Präventive Maßnahmen, die Attacken abwehren, sind notwendig, aber nicht hinreichend. Denn absoluten Schutz können auch sie nicht bieten. Eine betriebliche IT-Sicherheitsstrategie nach ISO 27001 sollte daher auch festlegen, was zu tun ist, wenn ein Angriff doch erfolgreich war. Denn in solchen Fällen ist es wichtig, schnell und gezielt zu handeln, um den finanziellen Schaden sowie den Image- und Vertrauensverlust zu minimieren.

Auf einen Blick:

Ein Angriff wurde erkannt? Vier Handlungsschritte sind grundsätzlich sinnvoll:

  1. Direkte Reaktion und Schadensbegrenzung

Es besteht sofortiger Handlungsbedarf, um einen möglichen Schaden zu begrenzen: Betroffene Systeme müssen umgehend abgeschottet, Zugänge und Zugriffe gesperrt und Netze getrennt werden. Wichtig ist auch, Daten wie Log-Dateien so zu sichern, dass sie später vor Gericht als Beweise dienen können.

  1. Detaillierte Analyse des Vorfalls

Sind die Sofortmaßnahmen erfolgt, wird der Angriff analysiert. Wann fand der Angriff statt? Welche Aktionen wurden auf welchen Systemen durchgeführt? Welche Instrumente wurden genutzt, z.B. E-Mail, Drive-by-Exploits? Welche Ziele hatte der Angreifer? Wohin können Daten geflossen sein? Diese Informationen bestimmen das weitere Vorgehen.

  1. Sicherheitsmanagement optimieren

Aus den Antworten auf diese Fragen sind konkrete Maßnahmen abzuleiten, die das Sicherheitsniveau erhöhen. Je nach den Umständen können zum Beispiel eine Anpassung der Systemkonfiguration, eine Änderung von Berechtigungen oder aber Schulungen von Mitarbeitern notwendig sein.

  1. Maßnahmenprüfung

Sind Maßnahmen erarbeitet und umgesetzt, sollten sie mithilfe von Szenarien und Penetrationstests überprüft werden.

Vorbereitung auf den Ernstfall

Damit ein Angriff auf das IT-System eines Unternehmens so wenig Schaden wie möglich anrichtet, muss schnell gehandelt werden – strukturiert und nach klaren Regeln, die vorab festgelegt wurden. Die wichtigsten Punkte in Anlehnung an die ISO 27001:

  • Verantwortlichkeiten und Abläufe

Wer darf über die Trennung von Netzen entscheiden, die gegebenenfalls zu Produktionsausfällen führt? Um schnell auf Sicherheitsvorfälle reagieren zu können, müssen Fragen wie diese geklärt, Kompetenzen und Verantwortlichkeiten eindeutig zugeordnet sein. Alle Abläufe müssen zudem klar kommuniziert und anhand von Szenarien eingeübt werden.

  • Meldewege und Berichtswesen

Jeder Vorfall muss über definierte Kanäle an die Verantwortlichen gemeldet werden. Dabei ist es sinnvoll, zwischen Vorfällen mit und ohne Sicherheitsrelevanz zu unterscheiden.

  • Mitarbeiter und Auftragnehmer

Wenn ein Mitarbeiter oder Auftragnehmer eine Sicherheitslücke beobachtet oder vermutet, sollte er verpflichtet sein, dies zu melden. Dazu ist eine Unternehmenskultur notwendig, die eine solche offene Kommunikation möglich macht und fördert.

  • Bewertung

Wann ist ein Ereignis sicherheitsrelevant? Diese Frage muss anhand von eindeutigen Kriterien geklärt sein.

  • Vorgehensweise

Welche konkreten Maßnahmen im Ernstfall zu ergreifen sind, muss vorab dokumentiert werden. Zudem ist es wichtig, diese Maßnahmen mit Penetrationstests zu proben und einzuüben.

  • „Lessons learned“

Hat ein Angriff stattgefunden, muss die Erfahrung daraus dazu führen, das Sicherheitskonzept zu verbessern, damit ähnliche Angriffe künftig nicht mehr möglich sind.

  • Beweissicherung

Bereits bei der Bekämpfung eines Angriffs ist es wichtig, Daten so zu sammeln und zu sichern, dass sie später vor Gericht genutzt werden können. Dafür sind bereits im Sicherheitskonzept Abläufe festzulegen.

* Der Autor ist Prokurist bei der TÜV SÜD Sec-IT GmbH.