4 minute read
Schnelle Rückkehr zur Normalität | VON HARTMUT SCHUMACHER
from Cyber-Resilienz
by reflexverlag
Erfolgreiche Cyberangriffe können Unternehmen für längere Zeit lahmlegen und Datenverluste sowie Produktionsunterbrechungen verursachen. Dank gründlicher Vorbereitungen auf den Fall der Fälle lassen sich die negativen Auswirkungen jedoch abmildern.
Egal, wie gut die Vorsichtsmaßnahmen sind: ITSicherheitsvorfälle lassen sich nicht komplett vermeiden. Kommt es doch zum Ernstfall und Cyberkriminellen gelingt der Zugriff auf das Unternehmensnetzwerk, gehen oft Daten verloren oder werden zerstört. Aber auch durch Ereignisse wie Brände, Überschwemmungen und Vandalismus können Datenverluste entstehen.
Advertisement
Das Wichtigste in solchen Fällen: erstens das Wiederherstellen der Daten – „Disaster Recovery“ – und zweitens, dafür zu sorgen, dass die Unternehmensvorgänge möglichst schnell wieder wie gewohnt ablaufen – „Business-Continuity“. Denn nur wenn das Geschäft möglichst unbeschadet weiterläuft, werden Unterbrechungen in der Produktion und damit Einnahmenverluste gering gehalten.
Sicherungskopien – aber richtig Entscheidend ist es also, dass Unternehmen für den Fall einer erfolgreichen Cyberattacke gewappnet sind. Dazu gehört vor allem das Anfertigen von Sicherungskopien und Backups aller wichtigen Daten. Das klingt banal, jedoch gilt es, etliche Regeln einzuhalten, wenn man sich nicht in falscher Sicherheit wiegen möchte: Beispielsweise müssen Sicherungskopien in regelmäßigen Abständen erstellt werden. Und zwar in mehrfacher Ausführung. Die unterschiedlichen Exemplare werden auf verschiedenen Speichermedien abgelegt. Eines dieser Medien sollte sich außerhalb des Firmengeländes befinden.Die Mitarbeitenden sollten das Wiederherstellen der Daten regelmäßig testen. Und nicht zuletzt müssen die Speichermedien der Sicherungskopien vom Unternehmensnetz getrennt werden, damit bei Ransomware-Angriffen die Schadsoftware keinen Zugriff auf diese Kopien hat, sie also nicht verschlüsseln kann.
Ist eine bösartige Software schon längere Zeit unerkannt im System aktiv gewesen, so kann es sein, dass die Sicherungskopien zeitlich nicht weit genug zurückreichen, dass also keine nicht infizierte Kopie existiert. In einem solchen Fall ist ein zeitaufwendiges Neuaufsetzen des kompletten Systems nötig.
Auf externe Hilfe setzen Je besser die Unternehmensmitarbeitenden den Angriff dokumentieren, desto einfacher ist es, ihn später zu analysieren. Auf diese Weise lässt sich die Schwachstelle, die den Angriff ermöglicht hat, identifizieren und beheben. Bei massiven Vorfällen wie Ransomware-Angriffen kann die IT-Abteilung eines kleineren Unternehmens schnell an ihre Grenzen stoßen. Sinnvoll ist es dann, so schnell wie möglich einen IT-Dienstleister zu Hilfe zu holen.
Lösegeld zahlen?
Wurden Geschäftsdaten durch einen Ransomware-Angriff verschlüsselt, sind einer aktuellen Studie des Marktforschungsunternehmens IDC zufolge 52 Prozent der deutschen Unternehmen bereit, ein Lösegeld zu zahlen. Der wichtigste Grund: Sie erhoffen sich durch die Zahlung, das Problem schneller zu beseitigen als über die Wiederherstellung mit Back-ups. Das Bundesamt für Sicherheit in der Informationstechnik allerdings rät grundsätzlich davon ab, einer Lösegeldforderung nachzukommen – unter anderem, weil in der Regel keine Garantie bestehe, dass die Angreifer den Schlüssel tatsächlich herausgeben. Zudem verstärkt jede erfolgte Lösegeldzahlung die Motivation der Kriminellen.
Angriff melden
Kam es durch den Cyberangriff zu einer Verletzung des Schutzes personenbezogener Daten – wurden also beispielsweise Kundendaten entwendet –, so haben Unternehmen nach der Datenschutz-Grundverordnung die Verpflichtung, den Vorfall an die zuständige Datenschutzaufsichtsbehörde zu melden. Darüber hinaus können – je nach abgeschlossenen Verträgen – Informationspflichten gegenüber Geschäftspartnern und Versicherungen bestehen. Eine Strafanzeige lässt sich am einfachsten über die bundesweit eingerichtete Zentrale Ansprechstelle Cybercrime (ZAC) des Bundeskriminalamts und der Landeskriminalämter erledigen.
Mit Back-up – keine Chance für Ransomware
Ransomeware-Attacken richten immer mehr Schaden an. Die Tendenz ist weiter steigend. Antivirenlösungen sind die erste Maßnahme, jedoch werden immer neue Schadprogramme entwickelt, um diese zu überlisten. Eine Datensicherung, wie SEP sie bietet, ist dann der letzte Rettungsanker.
Daten gehören zu den wichtigsten Gütern eines Unternehmens, und deren Verfügbarkeit gewährleistet Business Continuity. Studien zeigen, dass 70 Prozent der Unternehmen, die ein Daten-Desaster hatten, nach 1,5 Jahren nicht mehr existieren. Daher ist die Vorsorge zur Sicherstellung der Verfügbarkeit der Daten unerlässlich. Zudem bedarf es auch Maßnahmen aus rechtlichen Anforderungen.
Ransomware attackiert Back-ups
Ransomware attackiert zunehmend auch die Datensicherungen. Gelingt das vollständige Korrumpieren der Back-up-Daten, ist der letzte Ausweg, die Daten zurückzuholen, verloren. Neben organisatorischen Maßnahmen wie Back-upServer aus der Domäne zu nehmen, der 3-2-1-Regel, um Back-ups vor
Angriffen zu schützen, sind weitere Maßnahmen wichtig. Der deutsche Back-up-Software-Hersteller SEP bietet auch für die Back-up-Daten Schutz vor Ransomware mit SiS (SEP immutable Storage) für Linuxund Blocky4sesam für Windowsbasierten Storage. Back-up-Daten sind damit nicht mehr veränderbar, selbst wenn Hacker Zugriff auf den Back-up-Server haben.
No Backdoors SEP als deutscher Hersteller garantiert die Freiheit von eingebauten Backdoors im Gegensatz zu US-Firmen. Somit ist eine weitere potenzielle Gefahrenquelle vermieden. SEP unterstützt mit seiner Back-up-Lösung die ComplianceAnforderungen und bietet für die gesamte IT-Organisation ein einheitliches Back-up für virtuelle, physische, On-premise- und CloudUmgebungen. www.sep.de
Wenn die Ransomware-Angriffe weiterentwickelt werden, müssen die IT-Sicherheitsmaßnahmen entweder entsprechend nachziehen oder bereits vordenken, sagt Dr. Holger Mühlbauer, Geschäftsführer des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT). Ohne richtige Vorbereitung sind die Unternehmen den Angriffen schutzlos ausgesetzt.
Herr Dr. Mühlbauer, warum muss man sich derzeit gerade als Unternehmen noch mehr mit Ransomware beschäftigen? In den letzten Jahren ist die Anzahl der Angriffe durch Ransomware zunehmend gestiegen. Es wird geschätzt, dass der jährliche Schaden durch Ransomware die Grenze von 20 Milliarden US-Dollar überschritten hat. Das heißt, die Angriffe durch Ransomware sind mittlerweile eine ernst zu nehmende und reelle Bedrohung, denn sie verursachen global großen Schaden in der Wirtschaft.
In der Öffentlichkeit wird oftmals von einer Ransomware-Attacke gesprochen. Allerdings ist das Vorgehen bei einem solchen Angriff vielschichtiger und beginnt bereits viel früher, als es auf den ersten Blick zu erkennen ist. Jeder Ransomware-Angriff ist unterschiedlich, jedoch ist die allgemeine Vorgehensweise vergleichbar.
Nehmen wir einmal an, dass ein Unternehmen von einem Angriff nun betroffen ist, welche Risiken resultieren dann für das Unternehmen aus diesem Angriff? Oftmals bleibt dieser Angriff lange unentdeckt, da ein Ransomware-Angriff eine komplexe Handlung ist. Das BSI geht davon aus, dass ein gezielter Angriff durchschnittlich erst nach 243 Tagen entdeckt wird. Ransomware kann dabei nicht nur zur Verschlüsselung der eigenen Daten und daraus resultierend zum Datenverlust führen, sondern es findet natürlich auch eine Unterbrechung des Regelbetriebs im Unternehmen statt.
Zusätzlich kann auch die Existenz des Unternehmens bedroht werden und dieser Angriff zu einem kompletten Bankrott führen.
Was kann man zu den Angreifern sagen? Das ist immer unterschiedlich. Jedoch lässt sich feststellen, dass die Angreifer sehr gut organisierte, kriminelle Gruppierungen sind, die Profit machen wollen. Dabei sind für die Angreifer alle Daten des Unternehmens interessant. Das könnten zum Beispiel Kundendaten sein (zum Beispiel Kredikartendaten), die dann im Anschluss im Darknet veräußert werden. Oder es geht einfach um die Kenntnisse der kritischen Infrastruktur, die zu einem späteren Zeitpunkt bei einem gezielten Angriff nützlich sein könnten.
Anzeige
17 – 21. APRIL 2023
