secida im Juli

secida im Juli

Herzlich Willkommen zu unserem Newsletter!

Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.

Interessante Aktivitäten im Juli:

LinkedIn-Livestream am Dienstag, den 18.07.2023, 12:00h: „ Effektives Schwachstellen-Management für den Mittelstand “ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.

 Gehackt. Was nun? – effektive Remediations- und Präventivmaßnahmen

Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.   

Mittelständische Unternehmen haben im Verhältnis zu Konzernen kein großes, eingespieltes Team mit allen notwendigen Fähigkeiten einer Cyberattacke effektiv zu begegnen. Was kann also der Mittelstand tun, um sich im Falle eines Angriffs handlungsfähig zu halten?

Zuerst gilt es zu prüfen, ob die Cybersicherheits-Hausaufgaben gemacht wurden:

  • Werden Patches der Betriebssysteme und Software regelmäßig aufgespielt? Aktuell gehaltene Systeme haben deutlich weniger Angriffsfläche.
  • Sind verwundbare Stellen innerhalb der IT-Infrastruktur bekannt? Werden Vulnerability-Scans durchgeführt und gibt es Pläne zur Abschaffung gefundener Schwachstellen?
  • Gibt es eine Übersicht über die IT-Assets?
  • Sind Server und Netzwerke durch Firewalls abgesichert?
  • Existiert (zumindest in gewissem Umfang) ein Sicherheits-Monitoring der IT-Infrastruktur?

Wenn diese Themen erfolgreich adressiert sind, stellt sich die Frage: Welche Art von Cyberattacken können unserem Unternehmen passieren und welche Maßnahmen können wir ergreifen?

Der Standardfall ist, dass Hacker versuchen, in IT-Systeme einzudringen um:

  • Ransomware einzuschleusen,
  • Daten zu stehlen um das Unternehmen zu erpressen und/oder
  • sensitive Wirtschaftsdaten zu stehlen um sie weiterzuverkaufen.

Unternehmen müssen also sicherstellen, dass:

  • verschlüsselte Daten sicher wieder hergestellt werden und/oder
  • (kritische) Daten effektiv vor Diebstahl geschützt werden können.

Für die Wiederherstellung verschlüsselter Daten gibt es eine offensichtliche Lösung: Backups.

Doch es gilt, eine zentrale Sache zu bedenken: Hacker wissen das und versuchen auch den Backup zu verschlüsseln. Wir empfehlen Unternehmen Ihre bestehende Backup-Strategie mit diesem Wissen zu analysieren und ggf. zu überarbeiten, denn häufig wird dieser Fall noch nicht berücksichtigt. Bevor Ransomware ein Risiko war, wurden Backups generiert um den Betriebszustand nach Ausfällen durch z.B. technische Probleme schnellstmöglich wiederherzustellen. Damals war es ausreichend Backup-Daten auf (auch online zu erreichenden) Servern innerhalb der IT-Infrastruktur zu speichern – diese Backups können heute einfach von Hackern gefunden und verschlüsselt werden. Um grundsätzlich eine Verschlüsselung der Backups zu vermeiden, sollten die entsprechenden Speichermedien offline aufbewahrt werden.

Eine weitere Herausforderung kann in der Aufbewahrungszeit der Backup-Daten liegen: In der Regel wurden die Daten nach einem relativ kurzen Zeitraum überschrieben bzw. gelöscht – und sei es nur, weil Speicherkapazität deutlich teurer war. Im Falle eines Ransomware-Hacks ist es allerdings so, dass Daten ab dem Zeitpunkt der Infiltration kompromittiert sind. Der Zeitraum zwischen tatsächlicher Verschlüsselung und dem ersten Systemzugriff des Hackers kann relativ lang sein. Wenn also eine Backup-Version wieder eingespielt wird, in der der Hacker schon „ist“, kann er direkt erneut beginnen sämtliche Systeme zu verschlüsseln. Backups sollten heute bis zu 6 Monate gespeichert werden, damit mit höherer Wahrscheinlichkeit ein nicht infizierter Backup existiert und eingespielt werden kann.

Nach dem Backup-Thema ist es dringend notwendig für den Ernstfall zu planen.

Im Englischen gibt es im Kontext den Begriff „Business Continuity“: Der Fokus liegt auf der Fortführung der Geschäfte. Aus dieser Perspektive wird schnell deutlich, dass die IT allein nicht in der Lage ist die Bewertung der geschäftskritischen Prozesse vorzunehmen. Die Entwicklung eines effektiven Notfallplans ist nur in enger Kollaboration mit den entsprechenden Geschäftsbereichen möglich.Business-Leader und IT müssen gemeinsam als Erstes die wirklich business-kritischen Systeme identifizieren: Was sind Systeme und Daten ohne deren Verfügbarkeit das laufende Geschäft direkt zum Erliegen kommt. Eine hilfreiche Frage ist: Sind wir zwingend auf dieses IT-Asset angewiesen oder kann dieser Vorgang für eine Zeit auf Papierbasis durchgeführt werden? In unserer Erfahrung wird häufig das Emailsystem als wirtschaftsrelevant gelistet. Dies halten wir für falsch: Mit einem offline verfügbaren Adressbuch wichtiger Kontaktadressen, Namen und Telefonnummern ist es möglich, das laufende Geschäft für eine Zeit via Telefon und Brief weiterzuführen. Es sind eher der Leitstand der Produktion, wichtige IT-Systeme, wie z.B. ein hoher Automatisierungsgrad im Beschaffungswesen, an der Kunden-Schnittstelle oder, z.B. bei Energielieferanten, die Verbindung zu Handels-Systemen, auf die ein Unternehmen dringend angewiesen ist.

IT-Expertise wird vor allem für das Thema „Disaster Recovery“ benötigt. Im Falle eines Cyberangriffs muss die IT davon ausgehen, dass der Hacker das aktuelle System kompromittiert hat. Ein nicht betroffenes alternatives Betriebssystem muss parallel zum infizierten System hochgezogen werden, um den Betriebszustand schnellstmöglich wiederherzustellen. Sollte das IT-Team des Unternehmens hier überfordert sein, muss es ein Netzwerk von passenden Dienstleistern aufbauen, auf das es im Ernstfall direkt zurückgreifen kann. Es muss im Voraus analysiert werden, welche Gewerke im Ernstfall zur Unterstützung herangezogen werden müssen und es sollten entsprechende Verhandlungen geführt werden: Vertraulichkeitserklärungen, Haftung, etc. sollten vorbereitend abgestimmt und entsprechende Verträge abgeschlossen werden. Wenn der Ernstfall eintritt, ist das zusätzlicher Zeitaufwand, den Unternehmen sich nicht leisten können. Diskutieren Sie auch Verfügbarkeit und Abläufe vorab: Expertenkapazität ist knapp und die Nachfrage hoch. Sämtliche Verträge und vor allem Kontaktinformationen sollten offline im Notfallplan verfügbar sein.

Sollte ein Cyberangriff Erfolg haben, werden im ersten Schritt die als geschäftskritisch definierten Systeme wiederhergestellt. In der Folge werden schrittweise auch alle anderen IT-Betriebssysteme erneut hochgefahren. Doch auch im Mittelstand kann es mehrere Wochen dauern, bis die IT wieder voll funktionsfähig ist. Das heißt, das der Notfallplan Szenarien enthalten muss, die beschreiben, welche Prozesse wie ohne IT-Unterstützung betrieben werden können. Zusätzlich sollte für den Fall geplant werden, dass das Unternehmen eine längere Zeit nicht in der Lage ist, das laufende Geschäft weiterzuführen.

Auch wenn ein gutes Backup-Management eine wichtiger Teil des Notfallplans und die beste Basis für eine erfolgreiche Datenwiederherstellung ist: Aus unserer Perspektive sollte der Unternehmensfokus immer darauf liegen einen Incident möglichst zu verhindern. Denn es geht nicht nur um Datenwiederherstellung, sondern immer auch um Datenverlust. Wenn z.B. Endkundendaten verloren gehen, ist dieser Datenverlust meldepflichtig und es kann zusätzlich zum Reputationsverlust zu Regressforderungen und Strafzahlungen kommen. Auch sensitive Forschungsdaten können ggf. auf dem Schwarzmarkt landen und so ausländischen Wettbewerbern Vorteile verschaffen.

Jedes Unternehmen sollte sich regelmäßig fragen: Was sind die heute gängigen Angriffswege und welche Maßnahmen treffen wir aktuell dagegen?

  • Cloud-basierte Lösungen: Für den Hacker sind besonders Systeme, die aus dem Internet sichtbar sind und Schwachstellen haben, spannend. Denn diese machen es einfacher, in ein Unternehmen einzudringen. Für Unternehmen ist deswegen wichtig, Ihre IT-Infratruktur auf diese Schwachstellen zu prüfen. Penetration-Tests können helfen, sind aber eine relativ teure Maßnahme. Etwas preisgünstiger sind automatisierte Schwachstellen-Scans, die auch akzeptable Ergebnisse liefern.
  • Benutzer: Angreifer versuchen über Phishing-Maßnahmen z.B. durch das Zusenden von Schadsoftware Zugriff auf Systeme zu erlangen. Unternehmen sollten sich die Frage stellen, ob Ihre Mitarbeiter wirklich NIE auf einen Anhang mit dem Titel „Gehaltsübersicht – streng vertraulich“ klicken würden. Neugierde ist ein nicht zu unterschätzender Faktor. Es bleibt essenziell Mitarbeitende auf diese Angriffsform vorzubereiten, um möglichst effektiv zu verhindern, dass Schadsoftware installiert werden kann oder Benutzer-Credentials weitergegeben werden.
  • Sicherheitsmonitoring: Wenn die eingeführten Cybersicherheits-Maßnahmen eines Unternehmens effektiv schützen, benötigt der Angreifer mehr Zeit um wirklichen Schaden anrichten zu können. In diesem Fall hilft eine Monitoring-Lösung den Angreifer aufzuspüren, bevor wirklicher Schaden entsteht. Die notwendige Investition eines mittleren fünfstelligen Betrags ist selbst aus der Mittelstands-Perspektive nicht hoch, wenn man die Kosten eines tatsächlichen Schadens dagegenstellt.
  • Zugriff auf administrative Konten:  Ziel aller Angreifer sind vor allem administrative Zugriffsrechte. Deswegen ist es eine wichtige Frage an die IT: Wie werden unsere administrativen Konten gegen die Übernahme durch Hacker geschützt? Sollte es keine gesonderten Maßnahmen geben, empfehlen wir Experten hinzuzuziehen, die einen effektiven Maßnahmenkatalog zum Schutz dieser besonderen Accounts zusammenstellen können.

Das Erstellen eines Notfall-Maßnahmenplans ist bei fokussierter Zusammenarbeit innerhalb eines Tages via Workshops möglich. Danach müssen identifizierte Aktionen schnell und effektiv umgesetzt und dokumentiert werden. Wir empfehlen die Maßnahmen im Anschluss einmal gemeinsam durchzugehen und zu prüfen.

Jedes Unternehmen muss sich darüber Gedanken machen, was im Ernstfall getan werden muss. Präventivmaßnahmen und Notfallplan sind aus unserer Sicht zwingend notwendig: Ein Angriff wird irgendwann kommen. Für Cyberkriminelle ist es heute möglich ihr Unternehmen für unter 1.000 € verschlüsseln. Selbst ein Lösegeld von „nur“ 10.000 € bietet so eine sehr gute Marge. Egal wie groß Ihr Unternehmen ist: Sie und Ihr Team sollten sich auf alle Fälle vorbereitet sein.

Quelle: LinkedIn

Leave a Comment