Cybersicherheit 17 land durch Cyberkriminalität entstanden ist. Schwachstellen, welche bereits seit Jahren in Produkten existieren, werden von Hackern missbraucht. Wie auch bei der Attacke log4j zum Ende des vergangenen Jahres. Hier wurde eine Sicherheitslücke genutzt, welche seit 2014 in Java-Produkten vorlag. Weiterhin sehen wir, dass sogenannte Supply-ChainAttacken immer häufiger werden. Durch die starke Vernetzung von Produkten bzw. durch das Anbieten von CloudDiensten, können Hacker Systeme angreifen, die im Umkehrschluss aber viele Nutzer treffen. So auch bei der Attacke auf den IT-Dienstleister Kaseya in 2021. Hierbei wurden tausende Unternehmen weltweit durch die „Hintertür“ angegriffen. Kann man eigentlich einen Unterschied feststellen zwischen den Bedrohungen, die im Rahmen der Pandemie aufgetreten sind, und denen, die aus dem Krieg in der Ukraine resultieren? Und wenn ja, worin liegt der? Da leider nur ein Bruchteil der Cyberkriminalfälle aktuell aufgeklärt werden kann, ist es schwer, einen direkten Unterschied der Täter festzustellen. Gefühlt (basierend auf aktuellen Meldungen in Fachforen, Fachmagazinen, BKA und LKAs) nehmen Attacken aus Russland zu und die genauen Auswirkungen sind aktuell nicht abschätzbar. So hat das BSI erst Mitte März vor der Nutzung der russischen Sicherheitssoftware Kaspersky offiziell gewarnt. Ich schließe aus Ihren Ausführungen, dass die Anforderungen an Schutzmaßnahmen gestiegen sind. Worauf sollten die KMU in Thüringen jetzt größeres Augenmerk legen? Grundsätzlich ist es nicht zwingend notwendig, dass KMU ein umfangreiches SOC oder SIEM (Security Operating Center/ Security Incident and Event Management) implementieren. Wir empfehlen, in vier Schritten den individuellen Informationssicherheitsbedarf zu ermitteln: 1. Definition des Status Quo –was ist in meinem Unternehmen schützenswert? Zunächst müssen sich Unternehmen über ihre schützenswerten Daten, Informationen und Prozesse im Klaren sein – es muss eine sogenannte Schutzbedarfsanalyse durchgeführt werden. Dies ist ein Schritt, welcher meist unterschätzt und daher gern übersprungen wird. Aber – wie kann etwas geschützt werden, was vorher nicht klar definiert ist? 2. Schwachstellen identifizieren und beheben Wo befinden sich technische und organisatorische Schwachstellen? Die Identifikation kann auf technischer Seite durch sogenannte Penetrationstests erfolgen. Organisatorisch können Interviews mit Prozessverantwortlichen durchgeführt werden, um Schwach- stellen zum Beispiel in Ablagesystemen oder Informationsketten zu identifizieren. 3. Monitoring und Prävention – technische und organisatorische Maßnahmen implementieren, um neuen Schwachstellen vorzubeugen. Hierbei sind vor allem die Mitarbeiter einzubeziehen und es muss im Unternehmen ein gemeinsames Verständnis für Informationssicherheit geschaffen werden. 4. Notfallmanagement – wissen was zu tun ist, wenn es doch zu einem Vorfall kommt. Dazu gehört zu wissen, wer in welchem Fall verantwortlich ist, aber auch, wie die Polizei (speziell die ZAC des LKA) unterstützen kann. Der Volksmund sagt ja, dass das Problem in aller Regel vor dem Computer sitzt. In Sachen Prävention gibt es die allbekannten Binsenweisheiten: Keine ungeprüften externen Speichermedien oder Vorsicht bei Mails mit seltsamen Anhängen zum Beispiel. Reicht das oder welche Essentials sollten die Firmen beachten? Das ist schon einmal ein sehr wichtiger Schritt. Was allerdings meist fehlt ist die Praxis – im Fall der Fälle die Theorie tatsächlich auch anwenden. Daher ist es wichtig, zum Beispiel nicht nur einmal im Jahr eine einstündige Präsentation über Cyberrisiken vor der Belegschaft zu halten, sondern ein gemeinsames Verständnis für Informationssicherheit entstehen zu lassen. Hierbei sind aktives Training, wie zum Beispiel simulierte Phishing-Attacken, hilfreich oder auch die Simulation des Ausfalls des zentralen Servers. Hier gilt die Devise – better safe than sorry. Was raten Sie den Firmenchefs für die administrative Umsetzung der IT-Sicherheit? Muss man in der alltäglichen Arbeit den möglichen Schadensfall immer mitdenken? Man sollte Informationssicherheit nicht nur rein als Kostenfaktor sehen, sondern einen Erfolgsfaktor daraus machen und die Informationssicherheit in die Wertschöpfungskette seines Geschäftsmodells mit einbeziehen. Somit wird die Informationssicherheit, IT-Sicherheit, Cybersicherheit zwangsläufig in jeder Business-Entscheidung eine Rolle spielen. Und zum Schluss noch: Wie sollten sich Unternehmen im Schadensfall verhalten? Dies hängt zunächst von der Art des Schadensfalls ab. Gehen wir aber mal davon aus, dass ein Mitarbeiter einen befallenen E-Mail-Anhang geöffnet hat und nun ein Bot beginnt die Daten auf dem Endgerät zu verschlüsseln. Zunächst ist es wichtig, dass betroffene Gerät oder die betroffene VM (virtuelle Maschine) vom Netzwerk und vom Internet zu trennen – sprich: ausschalten. Im Nachgang ist unverzüglich die ZAC des LKA zu informieren und ein ITForensik-Team einzuschalten. Der Schadensfall muss nun isoliert in einer DMZ (Demilitarisierte Zone) analysiert und behoben werden. Die Tragweite muss eingeschätzt werden – hat sich der Bot schon auf einen zentralen Server ausgeweitet? Ist das zentrale File-System betroffen? Je nach Tragweite müssen weitere Systeme vom Netzwerk getrennt werden, um isoliert analysiert zu werden. Dieser Prozess kann im schlimmsten Fall einige Tage andauern. Nach Isolation und Behebung können die Systeme nacheinander wieder hochgefahren werden, dies nennt man auch Wiederanlaufzeit. Grundregeln im Schadensfall: Ruhe bewahren Betroffene Systeme abschalten, vom Netz zu trennen Zentrale Ansprechstelle Cybercrime (ZAC) des LKA einschalten IT-Forensik informieren Systeme isolieren und Schadensfall beheben Wiederanlauf der Systeme Q-SOFT GmbH Heinrich-Credner-Straße 5, 99087 Erfurt www.q-soft.de Anzeige
RkJQdWJsaXNoZXIy NDE3NTI=