Warum KMUs jetzt einen IT-Sicherheitscheck durchführen sollten
Die aktuelle Lage der IT-Sicherheit in Deutschland
Die aktuelle Lage der IT-Sicherheit in Deutschland ist angespannt. In den letzten Jahren gab es eine steigende Zahl von Cyberangriffen auf Unternehmen und Behörden. Laut dem Bericht „Die Lage der IT-Sicherheit in Deutschland“ des BSI wurden im Jahr 2021 14,8 Millionen Schadsoftware-Infektionen an deutsche Netzbetreiber übermittelt, das ist mehr als doppelt so viel wie 2020. Außerdem wurden 2021 144 Millionen neue Schadprogramm-Varianten entdeckt, im Jahr 2020 waren es noch 117,4 Millionen, dies entspricht einem Anstieg von rund 22%. Darüber hinaus waren 98% aller untersuchten Systeme durch Schwachstellen in MS Exchange angreifbar.
Angreifer werden dabei immer raffinierter und verfolgen mit ihrem kriminellen Handeln häufig ein Geschäftsmodell. Durch die Infektion eines Unternehmens mit sogenannten Verschlüsselungstrojanern kann ein Lösegeld erpresst werden, sodass sich ein Angriff schnell lohnt. Daher ist es wichtig, dass Unternehmen ihre IT-Sicherheit immer im Auge behalten und regelmäßig überprüfen. Dabei können wir Sie unterstützen. Doch was genau ist ein IT-Sicherheitscheck?
Cyberangriffe: So schützen Sie Ihr Unternehmen
Cyberangriffe auf deutsche Unternehmen häufen sich, und zunehmend sind auch kleine und mittelständische Produktionsbetriebe betroffen. Die Folgen können existenzbedrohend sein. Wo die größten Gefahren lauern und wie man sich vor ihnen schützen kann, erläutern Experten des IT-Dienstleisters Scatel.
Autor: Ingo Jensen
Jeder, der mit Computer umgeht, weiß es mittlerweile: Ein falscher Klick zum falschen Zeitpunkt kann fatale Folgen haben – nicht nur für einen selbst, sondern am Arbeitsplatz natürlich für die gesamte Organisation. Aktuell nehmen Cyberangriffe auf Unternehmen in Deutschland rasant zu und mittlerweile sind nicht nur die großen, global agierenden Firmen im Fokus der Angreifer, sondern auch kleinere Mittelständler, deren IT-Infrastruktur meist noch nicht ausreichend geschützt ist.
Die Zahlen sind erschreckend: Bereits im vergangenen Sommer hat der Digitalverband Bitkom Alarm geschlagen und den Gesamtschaden für die deutsche Wirtschaft durch Datendiebstahl, Spionage oder Sabotage mit 223 Milliarden Euro pro Jahr beziffert. Das entspricht einer Verdoppelung der Schadenssumme gegenüber 2018 und 2019 (103 Milliarden Euro).
„Jede Investition in die IT-Sicherheit eines Unternehmens ist eine gute Investition“, sagt IT-Sicherheitsexperte Thomas Gnadl, Chief Technical Officher (CTO) bei der Scaltel AG mit Hauptsitz in Waltenhofen bei Kempten (Allgäu). Gerade bei mittelständischen Unternehmen sei das Angriffsrisiko derzeit höher denn je. Bei den Schutzmechanismen und -strategien herrsche hier noch ein enormer Nachholbedarf.
Komplexität der IT-Sicherheit überfordert viele Firmen
„Kein Unternehmen darf das Problem auf die leichte Schulter nehmen. Gleichwohl sind viele Firmen mit der Komplexität der IT-Sicherheit überfordert, gerade auch, weil sie sich keine eigene IT-Sicherheitsabteilung leisten können“, so Gnadl. Sein Vorschlag: Wer sich externe Hilfe holt und den passenden Dienstleister findet, der kann die IT-Sicherheit seines Unternehmens nachhaltig verbessern und das zu einem überschaubaren Budget.
„Die Inhouse-IT eines Unternehmens kann den Schutz der Infrastruktur in der Regel nicht mehr stemmen, da es diesbezüglich wirkliche IT-Security-Experten benötigt, welche durch den Fachkräftemangel am Markt nicht zu bekommen sind oder die Personalkosten wirtschaftlich einfach nicht darstellbar sind“ so Gnadl. Viel sinnvoller sei es, einen auf IT-Security spezialisierten Dienstleister zu beauftragen, der sich im Tagesgeschäft auf die Abwehr von Cyberangriffen konzentriert. „Hier sind die Leistung für die professionelle Rund-um-die Uhr-Überwachung im 24/7-Modus genau definiert und auch Krankheit oder Fluktuation von Mitarbeitern schlagen sich nicht zu Lasten der IT-Sicherheit nieder.“
Wie wichtig eine funktionierende Verteidigungslinie für die Unternehmen ist, das verdeutlicht Gnadl mit eindrucksvollen Zahlen aus der Praxis. In seinem so genannten Security Operations Center, kurz SOC, überwacht Scaltel die kompletten Datenströme von seinen Kunden.
Bis zu 50 000 Security Events pro Tag
„Pro Tag erreichen uns zwischen 10 000 bis 50 000 sicherheitstechnisch relevante Events“, berichtet Gnadl. „Die meisten werden über unsere Security Plattform mittels künstlicher Intelligenz (KI) und Threat Intelligence (TI) logisch zusammengefasst und als unbedenklich ausgefiltert. Ca. ein Promille der Events müssen dann noch von unseren Security-Experten analysiert und manuell bewertet werden.“
Am Ende gibt es im SOC von Scaltel pro Monat ein bis zehn kritische Security-Vorfälle, aus denen so genannte Incident-Response-Fälle entstehen. Bei diesen wird eine Security-Gruppe zusammengestellt und es werden Gegenmaßnahmen beim Kunden eingeleitet (Incident Response). „Und die Tendenz ist klar steigend“, so Gnadl, der mit seinem Team mittlerweile auf eine 25-jährige Erfahrung im Bereich von IT-Dienstleistungen und auch der IT-Sicherheit zurückgreifen kann.
Die jüngsten Meldungen verdeutlichen diesen Trend: Im Mai 2022 lag beispielsweise die Produktion beim Traktorenhersteller Fendt mit Deutschlandsitz in Marktoberdorf (Allgäu) nach einem Cyberangriff auf den US-Mutterkonzern AGCO mehrere Tage lang still. Die 4500 Mitarbeiterinnen und Mitarbeiter in Deutschland konnten weder produzieren noch telefonieren.
Ein paar Tage später war auch die Behörde in der Nachbarschaft dran: Wegen eines Hackerangriffs kappte das Landratsamt Ostallgäu den kompletten Daten- und E-Mail-Verkehr nach draußen.
Ransomware die größte Bedrohung
„Die Zahl der Angriffe wird leider weiter zunehmen. Umso wichtiger ist es, dass sich die Unternehmen besser denn je dagegen schützen“, sagt Gnadl. Eine der größten Gefahren für Firmen geht von so genannter Ransomware aus: Mit Hilfe von Verschlüsselungssoftware legen Hacker Computernetze lahm, um anschließend für die Entsperrung hohe Summen zu erpressen.
Ransomware ist dabei nur ein Teil der Angriffswelt. Phishing-Mails zum Ausspähen von sensiblen Daten und DDoS-Attacken (Distributed Denial of Service) die zur Funktionseinschränkungen führen, sind genauso an der Tagesordnung wie das Ausnutzen von Schwachstellen nicht gepatchter Systeme.
Jeder Angriff kann fatale Folgen für die Firmen haben. Es geht hier nicht nur um finanzielle Schäden wie zum Beispiel Lösegelder. Bei einer gelungenen Cyberattacke dauert es in der Regel mehrere Wochen und Monate, bis ein Regelbetrieb wieder aufgenommen werden kann. Denn professionelle Hacker manipulieren gezielt Backupsysteme, so dass diese im Schadensfall wertlos sind.
Home Office? Ja – aber sicher!
Ein Großteil der Cyberangriffe beginnt mit Social Engineering, also der Manipulation von Beschäftigten. Die Kriminellen nutzen dabei ganz bewusst den Faktor Mensch als vermeintlich schwächstes Glied der Sicherheitskette aus, um etwa sensible Daten wie Passwörter zu erhalten. Bei einer Bitkom-Umfrage von 2021 gaben 41 % der befragten Unternehmen an, dass es zuletzt solche Versuche gegeben habe.
Viele Angriffe stehen auch in Verbindung mit der rasant angestiegenen Implementierung von Remote- und Home-Office-Arbeitsplätzen. „Es reicht natürlich nicht, Mitarbeiterinnen und Mitarbeiter einfach zum Arbeiten nach Hause zu schicken“, erklärt Gnadl. „Es ist enorm wichtig, dass die Geräte effektiv gesichert und die Kommunikationskanäle zum Unternehmen geschützt werden. Und klar: die Belegschaft muss natürlich in eigenen Schulungen für Gefahren sensibilisiert werden, die Mitarbeiter Awareness ist sehr wichtig. Wer das nicht macht, der handelt wirklich fahrlässig“.
Unternehmen sind sensibilisiert
Die Unternehmen in Deutschland sind sich der Gefahr durch Cyberangriffe wohl bewusst: Laut dem Risikobarometer des Versicherungskonzerns Allianz schätzen Fach- und Führungskräfte Hackerangriffe als Risiko Nummer eins für ihr Unternehmen ein. Das ergab eine Umfrage des zur Allianz gehörenden Industrieversicherers AGCS, bei der im vergangenen Herbst 2650 Fachleute aus 89 Ländern befragt wurden.
Kein Wunder, dass individuell auf Unternehmen zugeschnittene Sicherheitskonzepte und Dienstleistungen wie die Nutzung des Security Operations Center von Scaltel derzeit boomen. „Wir haben so viele Anfragen wie nie zuvor – und das aus allen Branchen“, sagt Gnadl.
Im Falle des Falles reagieren die Experten aus dem SOC sofort. Über ein vorab mit den Kunden definiertes Notfallmanagement starten die entsprechenden Abläufe, wobei die IT-Security-Experten Hand in Hand mit der IT-Abteilung des Kunden, zusammenarbeiten. „Im Ernstfall kommt es darauf an, rational die richtigen Entscheidungen zu treffen. Dieses in der Praxis erprobte Vorgehen ist für den Erfolg der Abwehrmaßnahmen sehr wichtig“, so Gnadl.
Was tun im Verdachtsfall?
Sollte im Unternehmen der Verdacht eines Cyberangriffs vorliegen, sollten die betroffenen Computer oder Server laut Gnadl sofort vom Netzwerk getrennt werden – entweder durch Ziehen das LAN-Kabels und/oder die Deaktivierung der Netzwerkkarte und der WLAN-Verbindung.
Die Computer und Server sollten allerdings nicht komplett runtergefahren werden. „So können unsere Security-Analysten anhand von temporären Speicherdaten den Ursprung und den Hergang des Angriffs besser rekonstruieren“, erklärt Grandl. „Erst, wenn sich die Isolierung aus dem Netzwerk nicht zeitnah bewerkstelligen lässt, ist das Herunterfahren der betroffenen Endsysteme die nächstbeste Lösung.“.
Scaltel AG
https://www.scaltel.de/
Netzwerk-Angriffe erkennen: Intelligence Tools geben Überblick
Unternehmen leiden zunehmend unter größeren kriminellen Angriffen übers Web, oft ohne diese zu erkennen. Meist sind es systematische, auf Wiederholung ausgelegte und komplexe Angriffsmuster. Über lange Zeiträume werden Daten und Dokumente missbraucht oder verfälscht und so Leistungen, Produkte oder Informationen erschlichen.
Um die Taten zu verbergen, greift der Täter oder die Tätergruppe zu zahlreichen Scheinidentitäten, seien es erfundene Personen, Unternehmen, Adressen oder Webseiten. Typische Aktionen solcher Netzwerke: Mehrere untereinander augenscheinlich nicht vernetzte Webseiten vertreiben neben authentischen Produkten auch Fälschungen. Auf Auktionsmarktplätzen bieten offenbar unterschiedliche Verkäufer auffallend günstige Artikel an.
Solche kriminellen Netzwerke können sich wie Spinnenweben um das Unternehmen legen und es, lange unbemerkt, nachhaltig schädigen. Die angegriffenen Unternehmen haben nur eine Chance, diese zu identifizieren, sofern sie deren Strukturen durchschauen und nicht von Einzeltaten ausgehen.
Betroffen sind in erster Linie internationale Konzerne. Durch ihre verzweigte Unternehmensstruktur über viele Landesgrenzen hinweg bieten sie zahlreiche Angriffspunkte. Besonders Unternehmen aus der Versicherungswirtschaft, aus IT und Hightech, der Pharmaindustrie und Markenhersteller der Textilbranche sind geeignete Opfer. Sie bieten wertvolle und schwer nachzuahmende Produkte beziehungsweise Leistungen an, die sich gut transportieren und global verkaufen lassen. Aber auch größere Mittelständler werden zunehmend zum Opfer krimineller Netzwerke, zum Beispiel branchenführende Zulieferer für die Autoindustrie. Denn auch solche "Hidden Champions" bieten sehr gefragte und schützenswerte Waren an.
Erster Schritt: Die Gefahr richtig einstufen
Wie können Unternehmen diese Netzwerke erkennen? Wichtig für eine angemessene Reaktion ist es zunächst, die Gefahr richtig einzustufen. Wenn sich bei einem Vorfall alle Recherchen lediglich auf die Einzeltat beziehen, ohne einen Netzwerk-Angriff zu erwägen, werden auch verhältnismäßig geringe Ressourcen für diesen Fall bereitgestellt.
Ganz anders werden Unternehmen reagieren, die in der Lage sind, den einzelnen Vorfall aufgrund ihres Wissens mit anderen in Beziehung zu setzen. Sie werden den Fall völlig anders priorisieren, weil die vermuteten Verluste für das Unternehmen ungleich höher angesetzt werden. Ebenso wichtig ist es, die entstehenden Kosten für Ermittlungen richtig zu kanalisieren und die Mittel zielgerichtet einzusetzen. Von Bedeutung ist das Erkennen eines Netzwerkes auch, weil die Strafverfolgung aufgrund der höheren Relevanz des Falls konsequenter sein wird als bei einer Einzeltat.
Der Aufwand: Daten zentral sammeln und pflegen
Um ein mögliches Netzwerk zu entdecken, sollten alle unternehmensweit relevanten Informationen zentral erfasst und gespeichert werden. In einer Datenbank können - unter Berücksichtigung der Anforderungen des Datenschutzes - alle fragwürdigen Vorfälle, Personen und Unternehmen sowie deren Beziehungen untereinander gesammelt werden. Oft existieren in Großkonzernen solche Datensammlungen in Sicherheits-, Markenschutz- oder Rechtsabteilungen, überwiegend dezentral. Sofern diese Informationen aktuell und abteilungsübergreifend gepflegt werden, können neue Angriffe bereits bekannten zugeordnet und mögliche Netzwerke schnell erkannt werden.
Beispielsweise lassen sich Zusammenhänge zwischen Identitäten ermitteln: Verschiedene Webseiten, die zum Beispiel mit "whois privacy" geschützt sind, können mittels eines "Website-Fingerprint" miteinander in Verbindung gebracht werden. Auch eine einfache forensische Analyse der gesicherten öffentlichen Website-Daten und Dateien wie beispielsweise Fotos mit GPS und anderen Metadaten und andere Informationen kann bisher unbekannte Zusammenhänge zu vorhandenen Informationen hervorbringen.
Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier. 1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern. 2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk. 3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen. 4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten. 5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren. 6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.
Diese konsequente und vollständige Datenerfassung verdächtiger Personen, Vorfälle und Unternehmen ist unter umsetzbarer Berücksichtigung des Datenschutzes nicht nur erlaubt, sondern eine Pflicht. Es gibt zwar keine eindeutige gesetzliche Verpflichtung, aber die Ausstrahlungswirkung von AktG, GmbHG, HGB, KonTraG und so weiter sowie den für viele Unternehmen ja auch relevanten internationalen Bestimmungen wie FCPA, UK Bribary Act ist deutlich genug. Demnach ist die Geschäftsleitung dafür verantwortlich, dass erforderliche, zumutbare und angemessene Maßnahmen ergriffen werden, um drohende Schäden frühzeitig zu erkennen und abzuwenden.
Schnittstellen zwischen Internet und realer Welt prüfen
Wenn ein Angriff durch eine Linkanalyse als möglicher Teil eines Netzwerkes eingestuft wurde, gilt es, in einer sehr detaillierten Analyse alle Zusammenhänge herauszufinden und alle "losen Enden" zusammenzufügen, bis sich das Bild des Netzwerkes vervollständigt hat. Besonderes Augenmerk sollte auf alle Schnittstellen gelegt werden, an denen die Internetwelt in die reale übergeht. Beispielweise sind im Netz angegebene Firmendaten wie Adressen und Telefonnummern oder die Betreiber von Internetangeboten durch Recherchen vor Ort zu überprüfen. Die relevanten Informationen müssen dann in der Datenbank erfasst und analysiert werden.
Wichtig ist, dass die Analysen schnell vorgenommen und Beweise rechtssicher gesammelt werden, denn oftmals existieren fragwürdige Verkaufsangebote im Internet nur für wenige Tage oder Stunden. Vorgetäuschte Identitäten werden kurz nach dem Vorfall wieder aufgelöst.
Informationen aus unterschiedlichen Quellen erfassen und auswerten
Die Menge der heute öffentlich zugängigen Informationen ist dank des Internet so groß, dass eine einzelne Suche bereits oft schon zu einer Masse an Informationen führt. Um diese unstrukturierten Daten möglichst zielorientiert nutzen und auch Abgleiche mit vorherigen Analysen oder vorhandenen Fallinformationen erstellen zu können, sollten sie in eine zentrale Intelligence-Plattform einfließen. Beispiele sind hierfür die IBM-Lösung i2 oder die Palantir-Plattform. Mit einer solchen Intelligence-Plattform lassen sich nach der Datenerfassung beziehungsweise dem Import sehr große Datenmengen aus vielfältigen Quellen sehr schnell analysieren. Auch komplexe Suchanfragen können gespeichert und jederzeit und automatisch wieder ausgeführt werden.
Hieraus können unterschiedliche Analysen erstellt werden, wie zum Beispiel zu Domains und Websites, Linkanalysen zur Identifizierung von Schlüsselpersonen und -Organisationen oder Investigative Due Diligence zu Firmen und Personen. Die Analyse-Ergebnisse lassen sich vielfältig verwenden, etwa bei zivil- und strafrechtlichen Auseinandersetzungen. Eine durchdachte Investition in eine solche Lösung unterstützt damit die Konzernsicherheit direkt beim Schutz der Unternehmenswerte. Wichtig ist aber eine maßgeschneiderte Lösung, die die Bedürfnisse des Unternehmens passgenau erfüllt und keine "out-of-the box" Lösung. (bw)