Lieber sicher als insolvent gehen

Die Digitalisierung hat viele Vorteile: Sie beschleunigt Prozesse, macht große Daten handhabbar und lässt völlig neue Geschäftsmodelle entstehen. Doch all dies hat auch eine Kehrseite: So können durch sie mittlerweile höchst professionelle Hackerbanden einträgliche Geschäfte machen, große Datenmengen in Rekordgeschwindigkeit erbeuten und gut laufende Unternehmen somit in kürzester Zeit in den Ruin treiben.

In diesem Newsletter-Beitrag stellen wir Ihnen gängige Angriffsszenarien vor und zeigen, wie Sie sich dagegen am besten zur Wehr setzen. Generell gilt jedoch der Grundsatz, dass eine gute Vorsorge zwar nicht jedes Szenario verhindern, den Schaden aber stark reduzieren kann. So lassen sich hohe Kosten durch eine Unterbrechung des Geschäftsbetriebes, Verfahren wegen Verstößen gegen Gesetze und Verordnungen sowie Reputationsverluste vorab minimieren oder gar verhindern, wenn einige Grundsätze beachtet werden. Diese stellen wir Ihnen in diesem Beitrag vor.

Schutz vor Ransomware

Ransomware-Angriffe sind heute weltweit gängige Praxis. Ransomware ist Schadsoftware, die auf verschiedenen Wegen (z. B. Phishing, Social Engineering oder Malware-Infektion) Zugang zu Ihrer Firmen-IT findet und dort Systemausfälle auslöst oder Daten verschlüsselt. Dabei wird besonders gerne auf bekannte Dienstleister oder Geschäftspartner zurückgegriffen, die viel Vertrauen genießen und einen privilegierten Zugang zum Unternehmen haben. ‚Ransom‘ ist der englische Begriff für Lösegeld. Ransomware-Attacken sind somit stets an Lösegeldforderungen gekoppelt.

In der Vergangenheit boten performante Backup-Lösungen noch einen recht guten Schutz vor Verschlüsselungstrojanern, weil nur einzelne Computersysteme betroffen waren. Im Falle eines Angriffs konnten Daten aus dem Backup wiederhergestellt werden und der Betrieb lief normal weiter. Aktuelle Ransomware-Angriffe richten sich jedoch eher auf ganze IT-Infrastrukturen, zeichnen sich durch einen hohen manuellen Aufwand der Angreifer aus und sind daher deutlich schwieriger zu isolieren bzw. deren Schäden durch ein Backup zu beseitigen. Zudem finden Angriffe häufig unbemerkt über mehrere Monate statt, sodass entsprechend auch das Backup nutzlos werden kann.

Ist das Unternehmen gegen Datenverschlüsselung jedoch gut aufgestellt und somit dadurch nicht erpressbar, können die Angreifer einen alternativen Weg wählen: Sie greifen sensible Daten ab und drohen mit deren Veröffentlichung im Darknet. Dort sind die Daten, z. B. Kunden- und Kreditkartendaten, Verträge und Personalakten, Prozessdokumente etc., dann für jeden frei verfügbar, was einen schweren Datenschutzverstoß seitens des angegriffenen Unternehmens darstellt und hohe Kosten nach sich zieht.

Ransomware-Angriffe gehen häufig mit DDoS-Attacken einher. DDoS steht für Distributed Denial of Service und bedeutet, dass Angreifer dafür sorgen, dass Internetdienste eines Unternehmens oder einer Institution nicht mehr verfügbar sind, z. B. durch eine Überlastung des Datennetzes. Da der Angriff gleichzeitig von mehreren Stellen aus stattfindet, lässt er sich häufig nicht blockieren, ohne den entsprechenden Service komplett abzuschalten.

Häufig werden bei diesem Angriffsszenario die Ransomware-Angriffe durch DDoS-Attacken verschleiert und somit ihre Erfolgschancen erhöht. Unternehmen bemerken zunächst die DDoS-Angriffe und bemühen sich aktiv um Schadensbegrenzung, während unbemerkt eine Ransomware-Attacke stattfindet. Dies verschafft Hackern Zeit, um tief in die IT-Infrastruktur des betroffenen Unternehmens einzudringen und den Schaden zu maximieren.

3-Phasen-Schutz durch Prävention, Detektion und Reaktion

Prävention

Präventive Maßnahmen sorgen dafür, dass Systeme so sicher werden, dass Schäden gar nicht erst entstehen. Dazu zählen zum Beispiel der Einsatz von Hardware-Firewalls und Virtual Private Networks (VPN), der Schutz kritischer IT-Komponenten durch Multi-Faktor-Authentifizierung oder auch die regelmäßige Schulung von Mitarbeitern. Auch besonders schützenswerte Systeme müssen identifiziert und gehärtet, d. h. mit entsprechenden Sicherheitsvorkehrungen versehen werden, um im Falle eines Angriffs weiterhin verfügbar zu sein.

Detektion

Das Ziel der Detektion besteht darin, Angriffe und betroffene Systeme zu erkennen und Schwachstellen in der eigenen Sicherheitsinfrastruktur herauszufinden. Dafür ist es nötig, Logdaten manipulationssicher zu speichern und strukturiert auszuwerten, um mögliche Anomalien zu identifizieren.

Reaktion

Ist ein Angriff erfolgt und wurde erkannt, ist zur Schadensbegrenzung schnelles Handeln erforderlich. Dieses sollte vorher definiert und eingeübt worden sein, damit solche naturgemäß stressigen Situationen optimal gemeistert werden können. Hierbei sind folgende Fragen zu klären:

  • Welche Ansprechpartner helfen bei der Untersuchung des Angriffs, bei der Sicherstellung von Beweisen, bei der Strafverfolgung und beim Wiederaufbau der IT-Infrastruktur?
  • Welche Maßnahmen sind zu ergreifen, um Angriffe zu isolieren?
  • Welche Schäden sind konkret entstanden? Muss die Datenschutzbehörde informiert werden? Welche weiteren Player sind zu unterrichten und wie läuft die Kommunikation am besten ab?
  • Wie können identifizierte Sicherheitslücken geschlossen werden?
  • Was ist zu unternehmen, um nach einem Angriff den Regelbetrieb schnell und sicher wieder aufnehmen zu können?

Was tun im Schadensfall?

Sollte Ihr Unternehmen dennoch Ziel eines erfolgreichen Hackerangriffs werden, der Lösegeldforderungen nach sich zieht, stellt sich die Frage: Zahlen oder nicht? Wie hier zu reagieren ist, kann nicht pauschal beantwortet werden, weil dies immer Abwägungssache ist.

Unsere Empfehlung ist jedoch, nicht zu zahlen, um kriminelle Organisationen und Geschäftsmodelle nicht zu unterstützen. Eine Zahlung kann strafrechtlich relevant werden, garantiert keine Lösung des Problems und kann zu weiteren Angriffen führen, weil Ihr Unternehmen in Hackerkreisen dann als lukratives Angriffsziel gilt.

Für weitere Informationen zu diesem Thema stehe ich Ihnen gerne jederzeit zur Verfügung.

Expertengespräch

Für weitere Informationen zu diesem Thema stehe ich Ihnen gerne jederzeit zur Verfügung.