Um 3.50 Uhr klingelte das Handy. Geschäftsführer Michel Meier schaute auf das Display und erkannte mit zugekniffenen Augen den Namen seines EDV-Leiters.
„Guten Morgen Herr Meier. Entschuldigen Sie, dass ich Sie so früh anrufe. Aber es gab einen Einbruch!“
Meier konnte seinen Ohren nicht trauen und stand senkrecht im Bett.
„Ist die Polizei vor Ort? Was wurde entwendet?“ rief er ins Telefon, während sein Puls ihm den Hals zuschnürte.
„Es geht nicht um das Gebäude. Wir haben einen digitalen Einbruch verzeichnet. In unsere IT. Unsere Kundendaten wurden entwendet. Und wir kommen nicht mehr an die Datenserver ran. Sie sind blockiert.“
„Aber wir hatten doch eine Firewall und ein Virussystem.“ prustete Meier in den Hörer.
„Wie kommen die denn in unsere Systeme?“
„Vermutlich ein Ransomware Angriff. Dabei wurde Schadcode in unsere IT gebracht. Details müssen wir später klären“, erwiderte der IT Leiter Horst Feuerlich. „Es handelt sich um Erpressung. Die digitalen Einbrecher wollen von uns Geld, damit sie uns die Daten zurückgeben und die Server wieder frei schalten.“
„Wie viel?“
„Zwei Millionen Euro. In Bitcoin.“
Diese und ähnliche Dialoge finden hinter den Türen deutscher Unternehmen statt. Täglich. Stündlich. Pro Stunde werden rund 600 Unternehmen per Ransomware angegriffen. Die durchschnittliche bezahlte Lösungssumme pro Cyberangriff liegt laut Bundeslagebericht Cybercrime bei 276.619 US-Dollar. Allerdings kann es auch wesentlich teurer werden. Anfang 2020 wurde das dänische Facility-Unternehmen ISS mit Ransomware angegriffen. Die entstandenen Kosten lagen bei 50 Millionen Dollar.
Aber sollte Herr Meier einfach das Geld bezahlen? Ist damit sein Problem gelöst? Nicht unbedingt. Denn von den statistisch 64% der Unternehmen, die Erpressungsgelder bezahlen, können davon anschließend trotzdem 40% ihre Daten nicht mehr wiederherstellen. Ein weiterer Nachteil des Bezahlens von Erpressungsgeldern: man signalisiert, dass man bereit ist zu zahlen. Dieses Signal gibt man nicht nur dem einzelnen Erpresser – wussten Sie, dass es im Darknet dedizierte Listen für Hacker gibt, auf denen Unternehmen zu finden sind, die einfach zu hacken sind und die Erpressergelder bezahlen?
Jetzt das Whitepaper kostenfrei anfordern
Wie müssen sich Unternehmen gegen Cyber Angriffe aufstellen? Welche Maßnahmen und Notfallpläne helfen? Welche Risiken müssen berücksichtigt werden? Unsere Erkenntnisse haben wir in unserem Whitepaper verarbeitet und zusammengefasst. Haben Sie Interesse an unserem Whitepaper? Wenn ja, füllen Sie Ihre Daten in der untenstehenden Maske aus und klicken Sie auf „Formular absenden“. Sie erhalten das Whitepaper auf Ihre angegebene E-Mail-Adresse kostenfrei als Download.
Die Digital Diamant verarbeitet Ihre Daten im Rahmen der Datenschutzerklärung und sendet nach Verifizierung der E-Mail das angeforderte Dokument zu.
Sofortmaßnahmen bei einem Cyberangriff
Welche Maßnahmen muss Herr Meier schnellstens treffen, damit er das Unternehmen rettet und gleichzeitig seinen eigenen Hals aus der Schlinge der Haftung zieht?
Nun, er sollte zunächst folgende Fragen schnellstens beantworten:
- Wurde eine Cyberversicherung abgeschlossen?
Für diesen Fall sollte die Versicherung kontaktiert werden. Einige Versicherungen bieten für solche Fälle umfassende Hilfe an, von Beratung über Analyseleistungen (so genannte Forensik-Leistungen) bis hin zur Deckung von Schäden. Ausgewählte Versicherungen bilden auch die Bezahlung von Erpressungsgeldern ab. Lesen Sie hier mehr zu Cyberversicherungen. - Verfügt das Unternehmen über einen Notfallplan für solche Fälle?
Falls nicht, sollte dringend ein solcher Plan entworfen werden. Für Herrn Meier ist es an dieser Stelle leider zu spät für die Erstellung eines Notfallplans. Falls Sie selbst noch nicht über einen solchen Notfallplan verfügen, lesen Sie unseren Artikel „So erstellen Sie einen Notfallplan für den Fall eines Cyberangriffs!“ - Verfügt das Unternehmen über einen IT-Dienstleister, der Spezialisten für Cybersecurity hat?
Wenn auch noch lange nicht jedes Systemhaus Kompetenzen im Bereich Cybersecurity hat; Vielleicht hat Herr Meier Glück. Leider wird bei seinem Anruf schnell klar: Viel mehr als die Installation eines Firewall-Routers kann der Dienstleister nicht abdecken. Im fehlt schlicht die Expertise, oder besser: die Experten. Der Personalmarkt ist lehrgefegt. Kein Wunder also, dass IBM schon 2021 erklärte, 150.000 Cybersecurity-Spezialisten auszubilden.
In deutschsprachigen Raum einen Cybersecurity Spezialisten zu finden ist in der Tat eine Herausforderung, da die Forensik-Experten viel zu tun haben. Um so wichtiger ist es, sich frühzeitig um diese Ressource zu kümmern – sei es über den spezialisierten IT Dienstleister oder über den Abschluss einer Cyberversicherung, da die Versicherungen Forensiker vorhalten, die sich im Fall eines Angriffs kümmern.
Unser Herr Meier steckt also ganz schön in der Tinte. Kein Notfallplan und keine externen oder gar internen Ressourcen um das Problem zu beheben. Lassen Sie uns für ihn hoffen, dass er eine Cyberversicherung hat. Aber nun wollen wir das Beispiel von Herrn Meier nicht überreizen. Schließlich ist das beispiel rein fiktiv und Sie lesen diesen Artikel ja nicht als eine nette Geschichte, oder? Wenn doch und wenn Sie bisher das Glück hatten, von jeglichem Cyberangriff verschont zu sein – Glückwunsch! Wenn Sie sich weiter auf Ihr Glück verlassen möchten, dann brauchen Sie nicht weiterzulesen.
Alternativ möchten wir Ihnen einen Überblick geben, welche Maßnahmen Sie im Unternehmen treffen können, um die Wahrscheinlichkeit für solche Angriffe zu minimieren. Dazu sind sowohl organisatorische als auch technische Vorkehrungen mit Hilfe von Software und Hardware zu treffen. Außerdem können Sie Restrisiken mit Hilfe von Cyberversicherungen abdecken. Soweit Sie organisatorische und technische Maßnahmen getroffen haben, fällt die Prämie für eine Cyberversicherung auch günstiger aus. In einigen Fällen sind Unternehmen mittlerweile gar nicht mehr versicherbar, wenn sie nicht für die notwendige Cybersicherheit im Haus sorgen.
Organisatorische Maßnahmen gegen Cyberangriffe im Überblick
Viele Statistiken deuten darauf hin, dass die größte Schwachstelle für Cyberangriffe immer noch der Mensch ist. Lesen sie hierzu vertiefend auch unseren Artikel: Die unsichtbare Gefahr: Interne Bedrohungen der IT-Sicherheit in Unternehmen. Der falsche Umgang mit Passwörtern, die legere Nutzung von externen Datenträgern wie USB-Sticks und selbst das Abschließen von Türen im Betrieb wird selten mit der dafür notwendigen Sorgfalt umgesetzt. Hand aufs Herz: Wann haben Sie in Ihrem Betrieb zuletzt die Umsetzung solcher Sicherheitsrichtlinien geprüft? Wenn sich auch Dinge wie das Passwort-Management mit Hilfe von Software unterstützen lassen, so gilt es vor allem, die Menschen im Unternehmen zu sensibilisieren.
Wie erkennt man eine Phishing E-Mail? Was passiert, wenn ein Passwort geknackt wird? Welche Probleme entstehen, wenn sich jemand Zugang zum Arbeitsplatz des Mitarbeiters verschafft und in seinem Namen agiert?
Nehmen wir ein konkretes Beispiel. Viele Unternehmen investieren in Werbung auf Facebook und Instagram. Sie vielleicht auch?
Um solche Werbekonten zu steuern, muss das Unternehmen ein Zahlungsmittel hinterlegen – zum Beispiel eine Kreditkarte oder den Lastschrifteinzug. Die administrative Steuerung solcher Werbekonten wird mehreren Mitarbeitern zur Verfügung gestellt. So sind sie in der Lage, die Zahlungsströme zu prüfen und die Werbeanzeigen zu schalten. Ärgerlich wird es dann, wenn der Facebook Account eines Mitarbeiters gehackt wird. Was dann passiert?
Mit dem gehackten Account werden zunächst allen anderen Accounts, die Zugriff auf das Facebook Werbekonto haben, die Adminrechte entzogen. Als nächstes schaltet der Hacker Werbeanzeigen für seine Produkte. Die Produkte sind in einem Fake-Online-Shop zu kaufen, auf den viele Menschen reinfallen. Von der 20 Euro Veuve Cliquot Champagnerflasche bis zum Profi-Zelt findet der Online-Shopper unglaubliche Schnäppchen, die in Wahrheit nicht existieren. Das Schlimme: Das eigene Unternehmen hat den Online-Shop beworben. Darüberhinaus bezahlt das eigene Unternehmen auch die Werbung. Selbst wenn Facebook die weitere Zahlung unterbinden kann, so sind erstens Gelder bezahlt worden, zweitens ist der Facebook Account bis auf weiteres gesperrt und drittens kann aufgrund der unseriösen Werbung die Reputation des Unternehmen leiden.
Das passiert derzeit vielen Unternehmen – egal ob es Einmann-Firmen oder Konzerne sind. Und auch hier ist die Schwachstelle der Mensch im Unternehmen.
Damit die Mitarbeiter im Unternehmen sensibilisiert werden, sind regelmässige Schulungen notwendig. Auf diese Awareness-Maßnahmen haben sich einige Unternehmen spezialisiert, die Trainingsmaßnahmen digitalisiert haben, so dass durchführbare und kontrollierbare Schulungen aller Mitarbeiter möglich werden. Dieser Baustein ist ein wesentliches Puzzlestück in der Cyberrisiko-Strategie für Unternehmen unabhängig davon, ob es sich um einen Kleinbetrieb, Mittelbetrieb oder um einen Konzern handelt.
Technische Maßnahmen gegen Cyberangriffe im Überblick
Checkpoint fand schon 2021 heraus, dass Hacker Sicherheitslücken ausnutzen, die schon seit 2 Jahren existieren und nicht geschlossen wurden. Aus diesem Grund müssen Unternehmen auf geeignete Cybersecurity Lösungen zurückgreifen, die permanent Sicherheitslücken scannen und mit Hilfe von Patches schließen. Auf diesem Magazin stellen wir die verschiedenen technischen Lösungen vor.
Bei der Betrachtung von technologischen Infrastrukturen fokussieren viele Unternehmen nur auf die eigene IT. Dabei ist es wichtig, die gesamte Value Chain zu kontrollieren. So stellte die European Union Agency for Cybersecurity heraus, dass 62% der Angriffe erfolgreich sind, weil Unternehmen ihren Lieferanten vertrauen. Dazu ergänzend beziffert Crowdstrike den Anteil der Unternehmen auf 36%, die ihre Lieferanten in den letzten 12 Monaten hinsichtlich Cybersicherheit überprüften (hier ist der Link zur Untersuchung).
Hier sind also die technischen Maßnahmen gegen Cyberangriffe im (fast) chronologischen Überblick:
Systeme Isolieren und Netzwerkverkehr überwachen
Sobald ein Cyberangriff erkannt wurde, ist eine sofortige Isolation der betroffenen Systeme unerlässlich. Das bedeutet, dass jede Maschine, die Anzeichen einer Kompromittierung aufweist, vom Hauptnetzwerk getrennt werden sollte, um die Verbreitung der Malware oder anderer schädlicher Software zu verhindern. In dieser Phase ist es entscheidend, eine gründliche Überprüfung des Netzwerkverkehrs vorzunehmen, um zu identifizieren, welche Teile des Netzwerks betroffen sind und wo der Angreifer möglicherweise noch aktiv ist.
Passwörter ändern
Nach der Isolation der Systeme sollte ein umfassendes Update der Zugangsdaten erfolgen. Alle Passwörter, einschließlich derer von Administratoren, Mitarbeitern, und Dienstkonten, sollten geändert werden. Das sorgt dafür, dass Angreifer, die im Besitz alter Passwörter sein könnten, nicht weiterhin Zugang zu den Systemen haben. Die Passwortänderung sollte nach strikten Sicherheitsrichtlinien erfolgen, wobei komplexe Passwörter verwendet und regelmäßige Aktualisierungen sichergestellt werden sollten.
Sicherheitspatches und Updates installieren
Die dritte wichtige Maßnahme umfasst die Aktualisierung und Patching aller betroffenen Systeme. Sicherheitslücken, die von Angreifern ausgenutzt wurden oder ausgenutzt werden könnten, sollten durch die Installation der neuesten Sicherheitspatches und Softwareupdates geschlossen werden. Es ist entscheidend, dass jede Software, vom Betriebssystem bis zu den einzelnen Anwendungen, auf dem neuesten Stand ist.
Forensische Analyse
Anschließend sollte eine umfassende forensische Untersuchung des Cyberangriffs durchgeführt werden. Dies beinhaltet die Analyse, wie die Angreifer in das System eingedrungen sind, welche Daten oder Systeme kompromittiert wurden und welche Tools oder Methoden verwendet wurden. Systemlogs, Datenbanken und andere relevante Datenquellen sollten sorgfältig untersucht werden, um ein klares Bild der Angreiferaktivitäten zu erhalten.
Backup- und Wiederherstellungspläne aktivieren
Des Weiteren ist es wichtig, den Zustand der Backups zu überprüfen und einen Wiederherstellungsplan in die Wege zu leiten. Durch das Wiederherstellen der Daten aus den Backups kann das Unternehmen schnell zum normalen Betrieb zurückkehren. In diesem Schritt ist zu gewährleisten, dass die wiederhergestellten Daten sauber und frei von jeglicher Malware sind.
Antivirus- und Anti-Malware-Tools verwenden
Darüber hinaus sollte eine gründliche Überprüfung der Systeme mit Antivirus- und Anti-Malware-Software stattfinden. Diese Programme sollten auf dem neuesten Stand sein, um die Entdeckung und Entfernung aller bekannten Bedrohungen zu gewährleisten. Es ist auch wichtig, eine kontinuierliche Überwachung sicherzustellen, um jede ungewöhnliche oder verdächtige Aktivität schnell zu erkennen.
Verbesserung der Sicherheitsarchitektur
Schließlich sollte das Unternehmen die gesamte Sicherheitsstrategie und -infrastruktur überdenken. Es sollte eine Auswertung vorgenommen werden, um die Effektivität der aktuellen Sicherheitsmaßnahmen zu beurteilen und Bereiche zu identifizieren, in denen Verbesserungen oder Änderungen vorgenommen werden sollten, um zukünftige Angriffe zu verhindern oder besser darauf reagieren zu können. Dazu gehört auch ein effektives Access-Control-System (lesen Sie hier unseren Artikel dazu).
Fazit:
Die schwindelerregende Zunahme von Ransomware-Angriffen fordert Unternehmen heraus. Sie müssen in Sachen Cyberscurity proaktiv und aüßerst wachsem sein. Das Beispiel in diesem Artikel ist zwar fiktiv, passiert aber genau so nahezu jeden Tag in Deutschland.
Dabei wird deutlich, dass trotz aller technologischen Sicherheitsinfrastrukturen die menschliche Komponente oft die Achillesferse im Cybersicherheitspanzer eines Unternehmens bleibt. Ausbildung und Sensibilisierung der Mitarbeiter sind demnach nicht nur wünschenswert, sondern essentiell. Regelmäßige Schulungen können das Bewusstsein schärfen und das Risiko menschlicher Fehler, die oft Einfallstore für Angriffe darstellen, erheblich mindern.
Technisch gesehen, reichen Firewalls und Antivirenprogramme alleine nicht aus. Eine fortwährende Aktualisierung, Überwachung und Verbesserung der Sicherheitssysteme, inklusive regelmäßiger Überprüfungen der Sicherheitspraktiken von Lieferanten und Partnern, ist unabdingbar.
Was das Beispiel ebenfalls zeigt: im Voraus gut durchdachte und umsetzbare Notfallpläne sind extrem wichtig. Ebenso das Vorhandensein einer soliden Cyberversicherung.
Wir müssen uns darüber im Klaren sein, dass Cyberangriffe jetzt und künftig zum Unternehmensalltag gehören und der Schutz einen deutlich wichtigeren Punkt auf der Agenda jedes Geschäftsführers einnehmen muss. Ein erfolgreicher Cyberangriff kann verheerende Folgen haben. Sorgen Sie vor!
