Risiko Cyberangriff – was tun?
Das Internet bietet ungeahnte Möglichkeiten, birgt aber auch erhebliche Gefahren. Auch Südtiroler Unternehmen sind vor Cyberangriffen nicht gefeit. Dennoch gibt es einfache Maßnahmen, um sich effektiv zu schützen.
Erst kürzlich wurde das Südtiroler Unter-nehmen Rothoblaas in Kurtatsch Ziel eines spektakulären Cyberangriffs. An einem Septembermorgen bemerkten die Mitarbeiter*innen, dass einige Systeme eigenartig arbeiteten und immer mehr Kontrolllämpchen vom üblichen Grün auf ein unheilverkündendes Rot sprangen. Bald stellte sich heraus, dass Cyberkriminelle über eine Sicherheitslücke in die Firewall eingedrungen waren und die Produktionsprozesse lahmgelegt hatten. Dies ist keineswegs ein Einzelfall: Im Jahr 2022 wurden in Südtirol über 800 Cyberattacken gemeldet. Die Dunkelziffer dürfte noch höher liegen und die Zahlen sind seither wahrscheinlich weiter gestiegen. „Das Thema Cybersecurity wird immer wichtiger, da wir uns in einer zunehmend digitalisierten Welt immer stärker auf Technologie verlassen“,
sagt Stefan Laimer vom IT-Dienstleister Konverto. „Die meisten Arbeiten lassen sich ohne Computer nicht mehr erledigen. Unsere Welt ist auf funktionierende Netzwerke, ein stabiles Internet und zuverlässige Systeme angewiesen. Dadurch gibt es mehr potenzielle Ziele und damit auch mehr Opfer. Es ist relativ einfach, ein Unternehmen mit Sicherheitslücken zu finden, das sich leicht erpressen lässt. Zudem nutzen immer mehr kriminelle Gruppen diese Schwachstellen aus, was zu einem lukrativen Geschäft geworden ist.“ Um dem entgegenzuwirken, wurden die 2016 eingeführten Cybersicherheitsvorschriften der EU durch die 2023 in Kraft getretene NIS2-Richtlinie aktualisiert. Diese verbessert die Resilienz und Reaktionsfähigkeit öffentlicher und privater Stellen.
Nutzung von privaten Geräten oft problematisch
Während der COVID-Pandemie erlebte das Homeoffice einen enormen Anstieg. Wo das Arbeiten von zu Hause nicht möglich war, stand der Betrieb still, weshalb schnell Zugänge zu den Firmenservern geschaffen werden mussten. „Das Problem war, dass plötzlich alle vom privaten Laptop auf die Unternehmenssysteme zugreifen konnten. Das ist riskant, da ich als Unternehmen keine Kontrolle über private Geräte habe und nicht weiß, was dort passiert“, erklärt Laimer. Bei Firmencomputern können beispielsweise in Browsern oft keine Passwörter gespeichert werden und es gibt Schutzprogramme gegen Keylogger, die Tastatureingaben aufzeichnen, um Passwörter zu stehlen. „Private Computer sollten möglichst wenig in die Unternehmensumgebung einbezogen werden, da sie eine schwer kontrollierbare Gefahr darstellen“, betont Laimer. „In der Bankenbranche sind solche Geräte ohnehin tabu.“ Smartphones hingegen stellen nicht das größte Risiko dar, sagt Laimer, aber auch hier sind Richtlinien und Verschlüsselung notwendig.
Schwachstellen nehmen zu
Die Digitalisierung eröffnet ständig neue Angriffsszenarien für Cyberkriminelle. Ein Beispiel ist der E-Mail-Zugriff: Früher konnten die Mitarbeiterinnen und Mitarbeiter nur im Büro auf ihren E-Mail-Server zugreifen. Heute haben sie von der ganzen Welt aus Zugang. Früher genügte ein einfaches Passwort als Schutz, weil der Angreifer zuerst ins Unternehmensnetzwerk eindringen musste, um Zugang zu erhalten. Heute kann man von überall aus auf den E-Mail-Dienst zugreifen, sodass zusätzliche Sicherheitsmaßnahmen erforderlich sind.
Beispiel Phising:
Häufig werden über gefälschte E-Mails Zugangsdaten ausspioniert oder eine Schadsoftware, eine sogenannte Ransomware, in das Firmennetzwerk eingeschleust. Diese Schadprogramme verschlüsseln Unternehmensdaten oder leiten Passwörter, Geschäftsgeheimnisse, geistiges Eigentum oder Kunden- und Lieferantendaten an die Angreifer weiter. Zudem werden Mitarbeitende oft unter Druck zu schnellen Geldtransfers aufgefordert.
Beispiel Cloud:
Die Cloud ist praktisch, weil man modern, flexibel und schnell arbeiten und von überall darauf zugreifen kann. Ein Unternehmen kann leichter wachsen und muss nicht neue Server anschaffen, sondern kann die Datenaufbewahrung auslagern. „Aber wenn die Cloud nicht richtig eingerichtet ist, wird sie zu einem Unsicherheitsfaktor, weil sie eben von überall auf der Welt zugänglich ist“, betont Laimer.
Professionalisierung der Kriminalität
Der klischeehafte einsame Hacker im Kapuzenpulli ist eine veraltete Vorstellung. Mittlerweile gibt es spezialisierte Dienstleister für Cyberangriffe. „Früher mussten Angreifer alles selbst erledigen – von der Programmierung der Schadsoftware bis zum Stehlen von Zugangsdaten“, erklärt Laimer. „Heute gibt es Dienste, die das alles anbieten. Ein Täter stiehlt die Zugangsdaten, ein anderer entwickelt die Ransomware, und ein dritter mietet diese Dienste, um gezielt Unternehmen anzugreifen, die etwa ihre E-Mail-Server schlecht konfiguriert haben.“ Ein einzelner IT-Mitarbeiter kann sich nicht nebenbei um diese komplexen, sich rasant verändernden Themen kümmern. Daher geraten auch kleinere Unternehmen durch kostengünstige Ransomware zunehmend ins Visier von Kriminellen.
Viele Fragen tun sich auf
Eine perfekte Lösung gegen Cyber- angriffe gibt es nicht, aber mit einem ausgeklügelten System an gezielten Sicherheitsmaßnahmen kann man sich dieser Schritt für Schritt annähern. Laimer rät, sich folgende Fragen zu stellen und zu beantworten: Sind meine Mitarbeitenden zu Cybersicherheit geschult? Welche Sicherheitsrichtlinien habe ich? Kenne ich mein System und dessen Schwachstellen? Werden meine Systeme automatisch aktualisiert? Welche sind die wichtigsten Daten, die ich auf keinen Fall verlieren darf? Verfüge ich über Systeme, die mir verdächtige Aktivitäten melden? Sind alle Abläufe nachvollziehbar? Und schließlich: Was tue ich, wenn trotzdem etwas passiert? Wen rufe ich an und wo sind die Backups, damit ich so schnell wie möglich weiterarbeiten kann? „Je mehr ich in diesen Bereichen richtig mache, desto unwahrscheinlicher ist es, dass ich erfolgreich angegriffen werde“, unterstreicht er. Wenn ein Angriff erfolgreich ist, kommt der Betrieb in der Regel zum Stillstand. Das Erpressungspotenzial ist erheblich und die Lösegeldforderungen liegen meist zwischen 3 bis 4 Prozent des Jahresumsatzes. Betroffen sind nicht nur private Firmen, sondern auch öffentliche Institutionen wie das Gesundheitswesen, das Finanzwesen, die Infrastruktur und die Energieversorgung. Das Unternehmen Rothoblaas hatte einen klaren Plan für den Umgang mit einem Angriff, der zuvor in einem Notfallszenario simuliert wurde. Nach drei Tagen Stillstand konnte das Unternehmen den Angreifer erfolgreich hinausdrängen, die Daten wiederherstellen und die Arbeit wieder aufnehmen. Dies zeigt, dass die Gefahr immer präsent ist, man sich jedoch auch wirksam dagegen schützen kann.
Es braucht einen Plan
Cybersecurity-Experte Stefan Laimer über fiese Tricks und wie man sich mit einfachen Mitteln dagegen schützen kann.
Herr Laimer, wie ausgeprägt ist das Bewusstsein für Cyber-security in Unternehmen?
Stefan Laimer: Das kommt auf die Größe des Unternehmens an. Große Betriebe haben meist eigene Mitarbeiter, die sich nur um die IT-Sicherheit kümmern. In kleineren Unternehmen müssen oft einige IT-Mitarbeiter – salopp gesagt – „die Bude am Laufen halten“. Sicherheit steht dann oftmals nicht an erster Stelle. Aber die Vorfälle der letzten Zeit zeigen, wie wichtig es ist, Sicherheit immer mitzudenken.
Angenommen, ich bin ein kleiner Unternehmer ohne Cybersecurity-Abteilung, und plötzlich sind meine Daten verschlüsselt – was kann ich tun?
In diesem Fall kann ein spezialisierter Sicherheits-Dienstleister, ein sogenannter Incident-Response-Dienstleister, helfen, indem er Angreifer aus den Systemen hinausdrängt, diese bereinigt und wieder in Gang bringt. Das ist der technische Aspekt. Wenn sensible Daten betroffen sind, muss der Vorfall der Datenschutzbehörde gemeldet werden. Auf alle Fälle sollte man auf Angriffe vorbereitet sein und genau wissen, welche Schritte einzuleiten sind und wen man intern oder extern kontaktieren muss.
Für kleine Betriebe ist IT-Sicherheit wohl auch eine Geldfrage …
Nicht unbedingt. In den letzten Jahren hat sich viel getan. Viele Sicherheits- technologien sind inzwischen kosten- günstig verfügbar, oder sie sind oft schon in den bestehenden Systemen integriert, das heißt, man hat sie schon im Haus und muss sie nur nutzen.
Der Mensch gilt oft als Schwachstelle. Worauf muss man achten?
Häufig erfolgen Angriffe über E-Mails. Wenn jemand eine neue IBAN-Nummer in eine E-Mail einschleust, lässt sich das technisch kaum verhindern. Das kann nur der Mitarbeitende verhindern. Je besser die Mitarbeiter*innen geschult sind, desto mehr wissen sie, worauf sie achten müssen. Manche Angriffe sind jedoch so gut gemacht, dass auch der vorsichtigste und bestgeschulte Mitarbeitende getäuscht wird. Fehler können immer passieren.
Drei gute Tipps, um Angriffe zu vermeiden?
Sich gut vorbereiten, um im Ernstfall genau zu wissen, was zu tun ist. Für den Zugriff auf Daten über das Internet die Zwei-Faktor-Authentifizierung nutzen und die IT-Systeme aktuell halten. Damit ist schon viel getan.
Stefan Laimer ist SOC-Analyst im IT-Unternehmen Konverto. Ein Security Operations Center (SOC) ist für die Überwachung von IT-Umgebungen zuständig, erkennt Cyberangriffe und reagiert darauf.