Mitte Oktober war der deutsche Mittelständler Pilz Ziel eines schweren Cyberangriffs und dadurch weitgehend arbeitsunfähig geworden. Das Unternehmen hatte keinen Zugriff mehr auf die eigenen Serverdaten, sie waren von fremder Hand verschlüsselt worden.
Doch es war zu spät! Mit Erpressungstrojanern, sogenannter Ransomware, hatten die Hacker die Server attackiert und einen Teil der Daten quasi gekidnappt. Monitoring-Systeme der Webserver des Spezialisten für Sicherheits- und Steuerungstechnik hatten zwar verdächtige Aktivitäten identifiziert und Pilz nach eigenen Angaben auch sofort sämtliche Netzwerke und Server abgeschaltet, um eine Ausbreitung des Angriffs im Betrieb und nach außen zu verhindern.
Doch die Täter hatten bereits einen Teil der Daten im Griff. Und davon waren die Server- und Kommunikationssysteme des Familienunternehmens aus Ostfildern weltweit betroffen und Pilz praktisch erstmal nicht mehr erreichbar, weder telefonisch noch per Mail. „Selbst die Webseite des Unternehmens zeigt sich im Wartemodus“, berichtete das Magazin t3n.
Solche Vorfälle sind keine Einzelfälle in der Zeit der Digitalisierung im Office. 58 Prozent der Unternehmen und Behörden waren nach einer Studie des Bundesministeriums für Informationstechnologie in den vergangenen zwei Jahren Ziel von Cyberangriffen. Dabei werden die Angriffe Experten zufolge immer geschickter und zielen auch auf kleine und mittelständische Unternehmen.
Menschliche Fehler sind Hauptgrund für Cyber-Sicherheitsvorfälle
Angriffe auf Unternehmen nehmen immer weiter zu und trotz aller Vorsichtsmaßnahmen finden Kriminelle Mittel und Wege, vorhandene Sicherheitsmaßnahmen zu umgehen. Verizon berichtet in seinem „Data Breach Investigations Report“, dass 82 Prozent aller Cyber-Sicherheitsvorfälle ein menschlicher Fehler vorausging, 94 Prozent aller Schadsoftware komme per E-Mail an.
Eine der bekanntesten Bedrohungen ist ein Ransomware-Angriff, bei der Schadsoftware in das Unternehmensnetz eingeschleust wird. Die Angreifer verschlüsseln anschließend Unternehmensdaten und erpressen das angegriffene Unternehmen. Gefordert werden inzwischen stark gestiegene Lösegelder. Dabei wird der Forderung meist dadurch Nachdruck verliehen, dass bei Nicht-Zahlung sensible Unternehmensdaten veröffentlicht werden.
IT-Notfallkarten für KMU
Guter Schutz ist eine Sache. Dazu zählen:
- Firewalls
- Virenscanner
- Backups & Co.
- ebenso wie Zugriffsrechte
- oder die Sensibilisierung der Mitarbeiter für die menschlichen Schwachstellen, um nur ein paar Stichworte aus der komplexen Cybersecurity-Thematik zu nennen.
Zu wenig Firmen schützen sich vor Cyberattacken
Nur vier von zehn Firmen haben einen Notfallplan für Cyberattacken. Vor allem kleinere Betriebe sind auf Datendiebstahl oder Hackerangriffe kaum vorbereitet, ergab eine Studie des Digitalverbands Bitkom. „Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist“, kommentierte Achim Berg, Präsident des Bitkom, in der Presse. „Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden.“
Cyberattacke: Was aber kann man im Krisenfall tun?
Hier ist gute Vorbereitung gefragt, und beim Erstellen eines sogenannte Notfallplans können gerade Assistenzkräfte oft sehr gut unterstützen. Ein komplexes Projekt, bei dem vieles zu beachten ist. Doch im Fall der Fälle geht es vor allem darum, schnell zu reagieren und so den Cyberangriff möglichst rasch zu unterbinden, die Daten zu schützen und auch die Arbeitsfähigkeit des Unternehmens wiederherzustellen. Dafür legt der Notfallplan verschiedene Sofortmaßnahmen fest, beispielsweise wenn die Bürokommunikation lahmgelegt wird wie bei Pilz, wichtige Webseiten nicht mehr erreichbar sind oder die Produktion wegen eines digitalen Angriffs stillsteht. Denn mit Stecker ziehen allein ist es nicht getan.
Notfallkarte vom Bundesamt für Sicherheit und Informationstechnik (BSI)
Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat speziell für KMU eine IT-Notfallkarte konzipiert, die ähnlich wie Verhaltensregeln für den Brandfall in Büros, auf Fluren, in Werkräumen oder in der Produktion ausgehängt werden kann, also überall dort, wo IT-Anwenderinnen und IT-Anwender die Infos im Notfall parat haben sollten. Auf einen Blick findet sich hier die Telefonnummer, die Mitarbeiter bei einen IT-Notfall anrufen sollen. Sie listet auch die Informationen auf, die der Angerufene benötigt. Das können beispielsweise Name des Meldenden, betroffene Systeme, Zeit und Ort des Geschehens sein. Und die Karte gibt auch Auskunft, wie sich der Anrufer verhalten soll. Arbeit einstellen beispielsweise oder alle Beobachtungen dokumentieren.
Was enthält die Notfallkarte?
Die Notfallkarte umfasst
- IT-Notruf und
- Erste-Hilfe-Maßnahmen.
Sie steht bei der vom BSI ins Leben gerufenen Allianz für Cybersicherheit (ACS) in der Rubrik „Angebote“ zum Download bereit. Dort gibt es als PDF auch die „Top-12-Maßnahmen bei Cyberangriffen“ mit den Kernfragen für den Krisenfall, die nicht nur intern, sondern auch extern, etwa IT-Forensikern, Polizei und IT-Experten helfen
Was zu einem guten Notfallmanagement gehört
In einem dreiseitiger Maßnahmenkatalog zum Notfallmanagement hat die ACS alle Informationen gesammelt, die für KMUs besonders nützlich sind. Er strukturiert:
- den Aufbau eines Notfallprozesses
- eine Leitlinie zum Notfallmanagement
- Entwicklung eines Vorsorgekonzeptes
- sowie einem Notfallhandbuch.
Das umfasst also den Schutz in der Vorbereitung ebenso wie „Bereitschaft“, etwa mit Erreichbarkeiten, der Komplex „Bewältigung“ an sich samt Meldepflichten, Kontaktaufnahme zu IT-Dienstleistern, Behörden und Geschäftspartnern sowie die Nachbereitung, die ebenfalls wichtig ist.
Hilfreich: Der Dreiseiter enthält unter anderem die Liste der Zentralen Ansprechstellen für Cybercrime der Polizeien der Länder und des Bundes als QR-Code, der sich im Fall der Fälle auch per Smartphone öffnen lässt.
Cyber-Angriffe wirken vielschichtig, erfordern oft auch ein Experten-Netzwerk aus IT-Forensik, Krisenberatung, PR-Management und Rechtsberatung. Ist es im Vorfeld aufgebaut, lässt sich so ein Netzwerk dann im Angriffsfall schnell aktivieren. Inzwischen haben sich darauf auch etliche IT-Dienstleister und sogar Versicherungen spezialisiert. Ein Versicherungsmakler für den Verband Deutscher Maschinenbauer (VDMA) etwa bietet mit der VDMA Cyber-Police nicht nur Notfall-Hotline und All-Risk-Deckung, sondern auch ein Expertennetzwerk.
Wie schnelles Handeln und gute Koordination das Schlimmste abwehren können
Pilz hat hatte übrigens innerhalb weniger Stunden die Behörden benachrichtigt, das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelgerecht informiert und Anzeige erstattet. Eigene Experten und externe Forensiker begannen in Koordination mit dem Landeskriminalamt den Angriff und seine Folgen zu untersuchen. Zum Vorfall allerdings durfte Pilz wenig sagen, um die laufenden Ermittlungen nicht zu gefährden, hieß es in einer Presseinformation.
Gleichzeitig musste Pilz ohne Zugriff auf Daten und Kommunikationssysteme seine Geschäfte weiterführen, also ohne per Mail oder Telefon erreichbar zu sein. In den ersten Tagen organisierte sich der schwäbische Hidden Champion, der den roten Not-Aus-Knopf für Maschinen und Anlagen erfunden hat, mit Hilfe agiler Methoden über Whiteboards und sichere Messenger-Dienste. Arbeitsgruppen wurden gebildet und in Abstimmungsrunden gemeinsam Prioritäten festgelegt, die Betreuung und Belieferung der Kunden etwa. Die Kommunikationsabteilung beispielsweise, digital nun praktisch abgeschnitten, legte sich notfallmäßig eine nicht vernetzte E-Mail-Adresse und eine Mobilnummer zu, über die nun erstmal die Pressekontakte laufen konnten.
Fast 55 Milliarden Euro Schaden pro Jahr
Kosten für Ermittlungen und Ersatzmaßnahmen | 21,1 |
Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen | 17,1 |
Patentrechtsverletzungen (auch schon vor der Anmeldung) | 15,4 |
Imageschaden bei Kunden oder Lieferanten/ Negative Medienberichterstattung | 15,4 |
Kosten für Rechtsstreitigkeiten | 11,0 |
Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen | 10,5 |
Umsatzeinbußen durch nachgemachte Produkte (Plagiate) | 6,9 |
Datenschutzrechtliche Maßnahmen (z.B. Information von Kunden) | 6,4 |
Erpressung mit gestohlenen Daten oder verschlüsselten Daten | 1,3 |
Sonstige Schäden | 4,5 |
Gesamtschaden innerhalb der letzten 2 Jahre | 109,6 |
Basis: Selbsteinschätzung; alle befragten Unternehmen, die in den letzten 2 Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren (n=571) | Quelle: Bitkom Research
Welche Präventionsmaßnahmen können Cyberattacken vorbeugen?
Wenn Sie auf Nummer sicher gehen wollen, sollten Sie wichtige Dokumente in einen Cloud-Dienst nutzen. ablegen. Welche dafür zur Verfügung stehen, lesen Sie im Artikel: Cloud-Dienste: Was Sie über Datenwolken wissen sollten
Achten sie auch auf Datensicherheit, wenn Sie mit Microsoft Teams arbeiten.
Erst denken, dann klicken
Die Grundregeln der IT-Sicherheit sollten natürlich immer eingehalten werden, etwa sichere Passwörter zu nutzen, die nicht einfach zu erraten sind, andererseits aber auch nicht so komplex, dass sie irgendwo notiert werden müssen. Darüber hinaus ist eine Zwei-Faktor-Authentisierung sinnvoll. Angriffe auf leichtgläubige oder unachtsame Mitarbeitende werden so ausgebremst. Statt den Zugang lediglich über ein (sicheres) Passwort abzusichern, muss die Anmeldung über einen weiteren Weg bestätigt werden.
Erst denken, dann klicken: Diese Grundregel kann davor bewahren, unbeabsichtigt großen Schaden anzurichten. Diese Regel gilt nicht nur bei E-Mails, sondern ebenso bei anderen digitalen Zugangswegen, zum Beispiel in App-Stores, innerhalb von Apps oder bei SMS.
Angreifer versuchen stets, ihre Nachrichten so echt wie möglich aussehen und klingen zu lassen. Oft aber gibt es Ungereimtheiten, die aufmerken lassen sollten: Unstimmigkeiten in der Ausdrucksweise oder Aufforderungen, die zu einer sofortigen Handlung drängen.
Quelle: Niels Gründel, Journalist & Experte für IT-Anwendungen