Was schützt, was nützt?

Das Geschäft mit Erpressersoftware brummt und Cyberkriminelle verdienen gut am Lösegeld – wenn Unternehmen zahlen. Bei einer Ransomware-Attacke kann der Schaden für Firmen jedoch wesentlich höher sein als die geforderte Summe.

Wenn Kriminelle lebenswichtige Daten verschlüsseln oder Systeme blockieren, können sie den kompletten Betrieb lahmlegen und hohe Ausfälle verursachen. Deshalb brauchen Unternehmen eine umfassende Security-Absicherung gegen Cyberkriminelle. Die Technik ist dabei nur die halbe Miete – ein wirkungsvolles Sicherheitskonzept muss auch organisatorisch verankert und firmenweit gelebt werden. Viele Unternehmen stellen dies sicher, indem sie ein Information Security Management System (ISMS) implementieren. Für Kritische Infrastrukturen ist dieses sogar Pflicht.

Ransomware ist mittlerweile zu einem Wirtschaftszweig mit mafiöser Struktur geworden. Das liegt zum einen daran, dass solche Attacken für Cyberkriminelle sehr lukrativ sind. Zum anderen ist es auch für weniger versierte Ganoven heute sehr einfach, solche Schadsoftware zusammenzubauen und Angriffe durchzuführen. Im Internet gibt es bereits erste Dienstleister, die „Ransomware as a Service“ anbieten. Als Bezahlung verlangen sie eine Beteiligung am Lösegeld. Ein Beispiel dafür ist der Trojaner Satan , den Interessenten im Darknet Tor aus einem Baukasten zusammenklicken und personalisieren können. Man kann einen Angriff mit einem Krypto-Trojaner von einem beliebigen Internetcafé überall auf der Welt ausführen. Der Invest – ein Laptop und ein Latte Macchiato – ist sehr gering und die Erfolgsquoten sind hoch.

Unternehmen fürchten nicht nur drohende Ausfälle des Geschäftsbetriebs. Werden Sicherheitsvorfälle publik, ist das Ansehen der betroffenen Firmen gefährdet – ein Schaden, der sich schwer messen lässt und sich nachhaltig auf den Geschäftserfolg auswirken kann. Das macht Erpressersoftware für die Wirtschaftswelt sehr gefährlich – und für Cyberkriminelle umso attraktiver. Vor diesem Hintergrund ist es nicht verwunderlich, dass laut BSI die Anzahl der in Deutschland durch Virenschutzprogramme entdeckten Ransomware im Februar 2016 zehnmal so hoch war, wie noch im Oktober 2015.

Zusammenspiel von Technik und Organisation

Einzelne Maßnahmen reichen zur Malware-Abwehr nicht aus – eine umfassende Strategie ist nötig. Die Grundlage bilden klassische technische Abwehrmechanismen wie etwa Virenscanner. Um die Risikosituation im eigenen Haus festzustellen und die Sicherheitslage nachhaltig zu verbessern, bedarf es jedoch auch organisatorischer Maßnahmen. Dazu gehört es, Prozesse festzulegen, die richtiges Verhalten regeln, wer für welche Abläufe verantwortlich ist und wie die richtige Reaktion auf einen Sicherheitsvorfall aussieht. Mit Hilfe eines Information Security Management Systems (ISMS) verbessern Unternehmen die Informationssicherheit dauerhaft und kontinuierlich. Dabei handelt es sich nicht um Technologie, sondern um aufeinander abgestimmte Verfahren, Regeln, Prozesse und Verantwortlichkeiten. Sie ermöglichen es den Mitarbeitern, Risiken besser abzuschätzen und definieren erforderliche Gegenmaßnahmen. Dabei adressiert das ISMS das gesamte Unternehmen – auch Mitarbeiter ohne spezielles IT-Security-Know-how.

Information Security Management wird nach KRITIS Pflicht

Im Rahmen der KRITIS-Verordnung der Bundesregierung wird Information Security Management für viele Unternehmen sogar zur Pflicht. KRITIS ist kurz für „Kritische Infrastrukturen“. Das Bundesamt für Sicherheit in der Informationstechnik definiert sie als „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Nach dem IT-Sicherheitsgesetz , das seit 25. Juli 2015 in Kraft ist, sind Betreiber solcher kritischen Infrastrukturen verpflichtet, ihre IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – dies mindestens alle zwei Jahre überprüfen zu lassen. Außerdem haben sie eine Meldepflicht bei erheblichen IT-Sicherheitsvorfällen. Bisher galt diese Meldepflicht für Betreiber von kritischen Infrastrukturen aus den Bereichen Energie, Informationstechnik, Telekommunikation, Ernährung und Wasser. Im zweiten Teil der KRITIS-Verordnung wurden Regelungen für die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit festgelegt. Sie traten im Juni 2017 in Kraft . Für eine große Zahl von Unternehmen liegt es also nicht nur in ihrem eigenen Geschäftsinteresse, sondern es ist ihre Pflicht, sich adäquat gegen Angriffe abzusichern.

Erste Schritte zum effizienten Sicherheitskonzept

Am Anfang eines Informationssicherheitskonzepts steht oft ein Sondierungsworkshop, in dem Berater und Mitarbeiter des Unternehmens gemeinsam eine sicherheitstechnische Standortbestimmung vornehmen. Externe Spezialisten verfügen über das notwendige technische und organisatorische Know-how und helfen, möglichst zielgerichtet und kosteneffizient vorzugehen. Eine sorgfältige Betrachtung der verschiedenen Bereiche bringt ans Licht, welche Risiken bestehen und wie gravierend diese sind. Daraus ergeben sich konkrete Handlungsempfehlungen. So erhalten Unternehmen eine erste Idee davon, wo sie ihre Schwerpunkte legen sollten. Anschließend können die Berater dies tiefergehend spezifizieren und konkrete Arbeitspakete definieren. Dazu gehört auch, die Mitarbeiter im Unternehmen zu schulen und sie in die Lage zu versetzen, selbstständig Sicherheitsmanagement zu betreiben.

Da es kein allgemeingültiges Sicherheitskonzept gibt, gilt es, individuell auf die Anforderungen und die Situation des jeweiligen Unternehmens einzugehen. Empfehlungen von Security-Experten sind auf die vorangegangene Sicherheits-Analyse abgestimmt. Sie hängen von den identifizierten Risiken und den technischen wie finanziellen Rahmenbedingungen ab.

Zur Ransomware-Abwehr eignen sich etwa Sandboxen. Das sind Systeme, die in einer virtuellen Umgebung laufen. Eingehende Dateien werden zunächst in diesen „Sandkasten“ umgeleitet und dort ausgeführt. Entdeckt die Sandbox verdächtiges Verhalten, isoliert sie die Schadsoftware und stellt sie in der Regel gar nicht an den Empfänger zu. Dateien ohne Befund erhält der Anwender nach einer kurzen Zeitverzögerung. Auch die Einführung eines Security Information und Event Managements (SIEM) steht in vielen Unternehmen zur Diskussion. Ein SIEM ermöglicht es, die Log-Daten aller Security-Systeme kontinuierlich auszuwerten. So lassen sich auch schwer zu detektierende, sicherheitsrelevante Ereignisse zeitnah aufdecken.

Richtig vorbereitet für zukünftige Angriffe

Cyberkriminelle entwickeln laufend neue Angriffsmethoden. Deshalb muss IT-Sicherheit ein Prozess sein und sich immer weiter entwickeln. Ein flächendeckendes ISMS liefert IT-Verantwortlichen wertvolle Unterstützung, um die Sicherheitslage im Unternehmen richtig einzuschätzen. Die festgelegten Regeln und Abläufe gelten für alle Mitarbeiter und sollen die Informationssicherheit dauerhaft verbessern. Nur so sind Unternehmen gewappnet, wenn Cyberkriminelle die nächste Sicherheitslücke ausnutzen, und können große Schäden – sowohl finanziell als auch ihr Image betreffend – verhindern.

Über den Autor