Das Bundesamt für Sicherheit in der Informationstechnik ist mittlerweile die führende öffentliche Instanz zum Schutz der deutschen Wirtschaft vor Schäden durch IT-Fehler und Cyberangriffe. Bereits in den 80er Jahren übernahm die ehemalige „Zentralstelle für das Chiffrierwesen“ Aufgaben der IT-Sicherheit. Mittlerweile entwickelt und veröffentlicht die Behörde umfassende Grundschutzkataloge zur sicheren Bereitstellung von IT-Systemen und setzt sich intensiv mit der Gefährdungslage durch kriminelle digitale Angriffe auseinander.
IT-Sicherheit ist ein bisschen wie Darmkrebsvorsorge
Die Abteilung „Cybersicherheit“ forscht und informiert über den rasant wachsenden Markt der Cyber-Attacken. Im Interview warnte ihr Leiter Dr. Hartmut Isselhorst kürzlich vor einer verbreiteten „digitalen Sorglosigkeit“ bei Privatpersonen und mittelständischen Unternehmen. Die Aufmerksamkeit für das Thema IT-Sicherheit sei hoch, allerdings werde wenig umgesetzt von den mittlerweile bekannten und etablierten Maßnahmen zur Vermeidung von Schäden durch digitale Angriffe. Mit der IT-Sicherheit scheint es ein wenig so zu sein wie mit der Darmkrebsvorsorge: Jeder weiß um den Nutzen und will es irgendwann umsetzen, aber man spricht nicht darüber und es läuft ja auch ohne Veränderung alles gut. Aus den Augen, aus dem Sinn.
Fast jedes Unternehmen war im vergangenen Jahr Cyber-Angriffen ausgesetzt
Dr. Isselhorsts Warnung steht dabei im Einklang mit dem Lagebericht IT-Sicherheit 2014, der zu Beginn des Jahres veröffentlicht wurde und zahlreichen Äußerungen aus der Wirtschaft. Telekom-Chef Timotheus Höttges hatte Ende vergangenen Jahres noch geäußert, dass fast jedes Unternehmen in 2014 der einen oder anderen Form von Cyber-Angriff ausgesetzt war. Wir fassen die wesentlichen Bedrohungen und Schutzmaßnahmen für Sie zusammen.
Flächendeckende digitale Beutezüge
Die mit Abstand häufigsten Formen der Cyber-Attacken finden nicht gezielt statt, sondern werden breit gestreut. Die Angreifer entwickeln Schadsoftware, die millionenfach über E-Mails und manipulierte Webseiten im Internet verteilt werden. Auch wenn die Erfolgsquote dieser Angriffswellen im Promille-Bereich liegt: Die schiere Masse der digitalen Fallen sorgt für ein äußerst lukratives Geschäft. Die folgenden Attacken treten häufig auf und können relativ einfach vermieden werden.
- Botnet: Ein Computer wird Teil eines weltweiten Netzwerks, von dem aus unerkannt Spam-Mails versendet werden können. Mittelständische Unternehmen erkennen die Schadsoftware häufig erst, wenn eine Sperrankündigung des Internet-Providers im Briefkasten liegt wegen missbräuchlicher Nutzung des Breitbandanschlusses.
- Identitätsdiebstahl: Ein krimineller Angreifer erlangt die nötigen Informationen, um sich als jemand anderes auszugeben. Das Opfer wird häufig über Phishing-Mails mit fingierten Abfrageseiten oder über eine Trojaner-Software angegriffen, die beispielsweise Tastatureingaben aufzeichnet. So können direkt im Namen des Betrogenen Überweisungen erstellt oder Einkäufe getätigt werden.
- Erpressung: Eine recht neue und perfide Art des Angriffs ist die Verschlüsselung ganzer Verzeichnisse oder Festplatten. In der Folge wird ein Lösegeld zur Entschlüsselung verlangt. Eine andere Möglichkeit des Datenzugriffs besteht in der Regel nicht.
Gezielte Cyber-Attacken
Über die breit angelegten Schad-Kampagnen hinaus werden immer häufiger mittelständische Unternehmen direkt angegriffen. Dabei gehen die kriminellen Spione oder Saboteure immer intelligenter und professioneller vor. Meist geht es um eine der beiden folgenden Formen:
- Wirtschaftsspionage: Konstruktionen, Geschäftsideen und strategische Planungen sind für Konkurrenten und damit für die Angreifer bares Geld wert. Die Daten lassen sich über unverschlüsselte Mails einfach abfangen. Zum Ausspionieren des Unternehmens werden allerdings auch Viren und Trojaner eingesetzt, die über USB-Sticks, gezielte Mails und manipulierte Webseiten oder die direkte Umgehung der Sicherheitsmechanismen in das IT-System eingeschleust werden. Teilweise lassen sich die Angreifer monatelang Zeit, um sich unentdeckt umzusehen, bis der richtige Zeitpunkt zum Zugriff gekommen ist.
- Sabotage: Auch die Störung des Betriebsablaufs ist für Hacker attraktiv. Häufig erfolgen diese Attacken aus politischen oder persönlichen Gründen, um Schaden anzurichten oder Aufmerksamkeit zu erlangen. Prominente Fälle wie die Kaperung von TV5Monde durch mutmaßliche Mitglieder des „Islamischen Staates“ erregen weltweit Aufsehen. Doch auch ein konkurrierendes Unternehmen kann die Störung der Erreichbarkeit eines Webservers oder der Funktionsfähigkeit der Unternehmens-IT aus wirtschaftlichen Gründen beauftragen.
Sichern, absichern und schulen
Die allermeisten Schäden lassen sich durch die konsequente Umsetzung weniger Maßnahmen der IT-Sicherheit vermeiden oder in ihrer Auswirkung deutlich senken. Wir fassen die wesentlichen Vorkehrungen zusammen, die mittelständische Unternehmen dringend treffen sollten:
- Datensicherung: Die mit Abstand wichtigste Maßnahme der IT-Sicherheit ist eine professionelle Datensicherung. Sichern Sie Ihre Datenbestände in mehreren Generationen, an mehreren Orten und überprüfen Sie, ob sie sich wirklich zurücksichern lassen. Die Rekonstruktion ist wichtiger Bestandteil eines Notfallplans, ohne den die Datensicherung im Zweifel wertlos ist.
- Patch Management: Sicherheitslücken in gängigen Anwendungen wie Windows, Java, Adobe oder Browsern sind offene Türen für Hacker. Doch die zugehörigen Updates werden in den meisten Unternehmen verspätet oder gar nicht eingespielt. Automatisieren Sie den Prozess der Prüfung und Freigabe, um jederzeit über aktuelle und sichere Software zu verfügen.
- Verschlüsselung von Mails und Dateien: Sensible Daten sollten unbedingt verschlüsselt werden. Das gilt für Verzeichnisse wie für die Kommunikation. E-Mails sind so offen wie Postkarten, vertrauliche Informationen sollten immer verschlüsselt versendet und aufbewahrt werden.
- Antivirus-Software: Nutzen Sie nicht einfach irgendeine Sicherheitslösung. Es gibt große Unterschiede, die ihren Preis wert sind. Ein Beispiel: Viele Anwendungen basieren auf Virendefinitionsdateien – eine Schadsoftware, die nicht aufgeführt ist, wird auch nicht erkannt. Darüber hinaus gibt es allerdings Lösungen, die auffälliges Verhalten registrieren und in Echtzeit an weltweite Informationssysteme angeschlossen sind – ein ungleich wirksamerer Schutz.
- Router und Firewall: Zwischen dem externen Internet und dem internen Unternehmensnetz sollte eine möglichst starke Absicherung zum Einsatz kommen. Professionelle Router und Firewalls ermöglichen die Steuerung des Datenverkehrs und seine detaillierte Protokollierung. Auch können auf diesem Weg ein- und ausgehende Daten inhaltlich ausgewertet werden, während im Normalfall nur Datenpakete registriert werden.
- IT-Monitoring: Die laufende Überwachung Ihres IT-Systems mit einer Monitoring-Software hilft dabei, Fehler zu erkennen, bevor sie Störungen verursachen.
- Schulung: Wie viele Geräte und Anwendungen Sie auch zum Schutz einsetzen: Letztlich bleibt häufig der Mensch die größte Sicherheitslücke. Schulen Sie Ihre Mitarbeiter: Wie erkenne ich eine fingierte Mail oder Webseite? Wie verschlüssele ich Daten? Welche Informationen darf ich per Mail senden und welche nicht? Kaum etwas steigert Ihre IT-Sicherheit mehr als aufmerksame und ausgebildete Mitarbeiter.
Unterstützung durch IT-Experten vor Ort
IT-Sicherheit ist ein breites und extrem dynamisches Aufgabenfeld. Wir erleben bei der hagel IT-Services GmbH täglich, dass selbst gut aufgestellte IT-Abteilungen an der einen oder anderen Stelle unbemerkte kritische Sicherheitslücken zulassen. Bei kleineren Unternehmen sind es entsprechend mehr Einfallstore für kriminelle Angreifer. Im Großraum Hamburg sind wir seit über zehn Jahren als Systemhaus für IT-Sicherheit und professionelle IT-Service tätig. Gerne unterstützen wir Sie bei der Absicherung Ihrer Unternehmens-IT. Nehmen Sie einfach Kontakt zu uns auf.
Freund des Unternehmens und freiberuflicher Fachautor. Holger schreibt mit uns zusammen Artikel zu Themen, die wir gerne kommunizieren möchten. Durch seine langjährigen Erfahrungen im IT-Systemhausverbund iTeam hat er sehr viel Know-How gesammelt.
Kommentarbereich geschlossen.