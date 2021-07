Leipzig

Vor einer Cyberattacke ist kein Unternehmen sicher, das digitale Strukturen nutzt – so viel vorneweg. Um sich zu schützen, geben Firmen auch immer mehr Geld für ihre Sicherheit aus – 2021 etwa 60 Prozent mehr als 2020. Trotzdem wurde laut einer aktuellen Umfrage jedes fünfte der 1000 befragten deutschen Unternehmen in den vergangenen zwölf Monaten Opfer einer Ransomware-Attacke. Was sich hinter diesen Angriffen verbirgt, welche Rolle die Corona-Pandemie beim Sicherheitsniveau spielt und wie Firmen sich besser schützen können, weiß Jan Bindig, Geschäftsführer von Bindig Media, einem Unternehmen für Datenrettung, Datenvernichtung und IT-Sicherheit mit Sitz in Leipzig.

Wie kann es sein, dass Firmen zunehmend angegriffen werden, obwohl sie vermehrt auf ihre Sicherheit achten?

Das hängt zum einen mit der zunehmenden Digitalisierung zusammen. Zum anderen ist durch die Dezentralisierung, also mehr Mitarbeiter im Homeoffice, die Angriffsfläche größer geworden. Außerdem motivieren Erfolgsmeldungen von großen Hacks und Datendiebstählen verbunden mit Lösegeldzahlungen in hoher Millionenhöhe weitere Cyberkriminelle.

Stichwort Lösegeld: Sogenannte Ransomware-Attacken (englisch ransom = Lösegeld) zielen genau darauf ab. Wie funktionieren diese Angriffe?

Da gibt es zwei Methoden. Bei der ersten wird eine automatisierte Schadsoftware ins Netzwerk des Unternehmens gebracht – zum Beispiel über einen infizierten E-Mail-Anhang. Mithilfe dieser Software werden Daten verschlüsselt und gelöscht. Die Kriminellen erpressen dann das Unternehmen mit diesen Daten. So eine Software lässt sich wie ein fertiger Baukasten im Dark­net kaufen.

Die Methode ist schon sehr lange bekannt. Funktioniert sie trotzdem noch immer?

Ja, sie ist eine der beliebtesten Methoden. An den E-Mails wird immer weiter gefeilt. Sie werden personalisiert und sind speziell auf die Person ausgerichtet, sodass die Betroffenen gezielt manipuliert werden. Das lässt sich auch nicht allein durch Sicherheitsmaßnahmen verhindern. Stattdessen helfen hier sogenannte awareness trainings, die einen solchen Angriff simulieren und später ausgewertet werden können. Problem ist auch, dass die Mitarbeiter Dinge parallel machen und dadurch ihre Wahrnehmung nicht geschärft ist. Hier gilt es vonseiten der Führung anzusetzen. Langsameres Arbeiten kann besser und sicherer sein.

Wie funktioniert die zweite Methode?

Dieser Weg ist noch etwas interessanter und schwerer zu kontrollieren. Denn dabei geht es um eine individualisierte Programmierung, die speziell auf das jeweilige Unternehmen abgestimmt ist. Hier sind die Lösegeldforderungen deutlich höher und auf Großunternehmen ausgerichtet. Die Kriminellen verschaffen sich dabei Zugang und spähen das System teilweise über Wochen aus. Meist geht es um Geldzahlungen, aber auch die Befreiung politischer Häftlinge kann durch Cyberattacken erpresst werden. Um nur zwei Beispiele zu nennen.

Gehen die Angriffe immer über die PCs?

Nein. Die größten Hacks in Unternehmen gehen über Schwachpunkte in der Infrastruktur. Das kann ein Drucker sein, eine große Maschine, ein Informationssystem, über das Werbung läuft, oder aber eine Kamera im Parkhaus. Sind die nicht gesichert, kommen Hacker darüber ins Netzwerk. Dass diese Geräte auch zum Netzwerk zählen, wird oft vergessen.

Kommen die Angriffe immer von außen?

Die Attacken kommen durchaus auch aus den Unternehmen selbst. Das ist ein Thema, das nicht zu vernachlässigen ist. Manchmal geht es um Rachegelüste von Mitarbeitern, die möglichst großen Schaden anrichten wollen. Manchmal arbeiten Mitarbeiter auch für die Konkurrenz. Hier stellt sich die Frage nach der Unternehmenskultur. Herrscht ein harmonisches Verhältnis, macht es nichts, wenn es mal zu Meinungsverschiedenheiten kommt oder man sich in unterschiedliche Richtungen entwickelt. Was wir bei unseren IT-forensischen Untersuchungen aber festgestellt haben ist, dass Mitarbeiter sich irrational verhalten, wenn Unternehmen aufgekauft werden. Da geht es zum Beispiel um Kundendaten oder Ähnliches.

Jan Bindig, Geschäftsführer der Leipziger Firma Bindig Media. Quelle: Bindig Media

Würden Sie Unternehmen nahelegen, Lösegeldforderungen zu ­entsprechen?

Nein. Wir empfehlen, nicht zu zahlen. Man weiß ja nie genau, ob wirklich alles wieder entschlüsselt und freigeschaltet wurde und ob die Kriminellen sich komplett aus dem Netzwerk zurückgezogen haben. Wer zahlt, geht einen Pakt mit dem Teufel ein. Das Unternehmen begibt sich in eine Abhängigkeit, da es signalisiert hat, dass es offen ist für Erpressung. Damit sind die Unternehmen anfälliger für Folgeerpressungen. Unternehmen sollten hier eine klare Strategie haben. Die Ermittlungsbehörden und das Bundesamt für Sicherheit in der Informationstechnik haben hier gute Ansätze.

Ist die vollkommene Sicherheit also nur eine Illusion?

Ja. Man kann sie zwar durch entsprechende Vorkehrungen maximieren. Aber sicher ist: Auf eine Innovation folgt immer eine Gegeninnovation. Deswegen sollten die Vorkehrungen regelmäßig durch spezialisierte Partner überprüft werden. Auf Basis dieser Schwachstellenanalysen können Unternehmer und Unternehmerinnen dann Entscheidungen treffen.

Die IT-Sicherheit ist übrigens auch ein Faktor, wenn Unternehmen hinzugekauft werden. Zum einen können so Sicherheitslücken entstehen, zum anderen kann das Niveau der IT-Sicherheit in die Verhandlungen mit einbezogen werden.

Im Zuge der Corona-Pandemie sind für deutsche Verhältnisse übermäßig viele Mitarbeiter ins Homeoffice ­gewechselt: Welche Auswirkungen hatte das auf die IT-Sicherheit?

Für Unternehmen, die schon vorher viel mit dem Konzept Homeoffice gearbeitet haben, hatte das keine nennenswerten Auswirkungen. Eine größere Rolle spielte das für kleine und mittlere Unternehmen. Sie sind teils panikhaft auf Homeoffice umgeschwenkt und haben auf allen Kanälen Informationstechnik eingekauft. Die war aber nicht getestet oder erprobt. Oft wurde die Verantwortung auch einfach auf die Mitarbeiter übertragen, die mit ihren privaten Geräten gearbeitet, sich übers heimische WLAN eingeloggt und selbst ausgewählte Cloud-Dienste genutzt haben. Das hat die Angriffsfläche der Unternehmen vergrößert, Sicherheitslücken sind entstanden.

Sie sprachen bereits die Zusammenarbeit mit Spezialisten an sowie ­awareness trainings: Was empfehlen Sie Unternehmen außerdem in ­Sachen IT-Sicherheit?

Einen Notfallplan, der bereits in der Schublade liegt, bevor etwas passiert. Wer ist für was verantwortlich, wer muss informiert werden, was kostet mich ein Tag, an dem mein Unternehmen stillsteht, welche Bereiche müssen zwingend geschützt werden – diese Fragen sollten nicht erst im Notfall geklärt werden. Das kostet zu viel Zeit, Geld und Daten, die möglicherweise verloren gehen.

Außerdem hilft eine zentrale Administration dabei, zu vermeiden, dass Daten auf irgendwelchen Geräten gespeichert werden. Dort liegt dann maximal eine Kopie. Das verhindert, dass Daten gelöscht werden. Auch eine zentrale Passwortverwaltung, bei der etwa die Mitarbeiter bestimmte Passwörter gar nicht kennen, ist zu empfehlen. Ebenso eine Multifaktorauthentifizierung, die beispielsweise über eine SMS ausgeführt wird.

Gerade kleineren Unternehmen fällt das aber schwer, hier anzusetzen.

Sicherheit hat nicht nur mit Geld zu tun, oftmals ist die Einstellung entscheidend. Wichtig ist, IT-Sicherheit als Wettbewerbsvorteil und Investment in die Zukunft anzusehen. Wer unsicher ist, welche Maßnahmen für sein Unternehmen Sinn ergeben, dem empfehle ich den Sec-o-Mat der Transferstelle IT-Sicherheit im Mittelstand (TISiM). Das Angebot stellt kleinen und mittleren Unternehmen, Handwerksbetrieben, Selbstständigen und Freiberuflern mithilfe eines Fragenkatalogs passgenaue Aktionen für mehr IT-Sicherheit im Betrieb zielgruppengerecht bereit. Außerdem gibt es eine neue Zertifizierungsstufe der VdS – 10005 –, deren Richtlinien einen speziell auf Klein- und Kleinstunternehmen sowie Handwerksbetriebe zugeschnittenen Maßnahmenkatalog beinhalten, mit dem ein angemessener Informationssicherheitsstatus eines Unternehmens sichergestellt wird.

Von Patricia Liebling