Grundregeln zur IT-Sicherheit in Unternehmen

Cyberangriffe in Deutschland verursachen jedes Jahr rund 223 Millionen Euro Sachschäden. Die jährliche Schadenshöhe hat sich in den letzten Jahren mehr als verdoppelt. Das geht aus einer Studie des Branchenverbands der deutschen Informations- und Telekommunikationsbranche (Bitkom) hervor.

Cyberversicherungen können den vollen Schaden kaum kompensieren. Bei einem schweren Schadensfall entsteht ein Eindruck der Unzuverlässigkeit bei Kundenzielgruppen, der durch eine finanzielle Kompensation nicht repariert wird.

Häufige Arten von Bedrohungen für die IT-Sicherheit

Malware: Kurzwort aus „malicious software” = »böswillige« Software. Software (wie z. B. Viren, Würmer usw.), die in Computersysteme eindringen und dort Störungen oder Schäden verursachen kann.

DDoS-Attacke: Es gibt die Angriffsform des „Denial of Service”, in der Praxis eher „Distributed Denial of Service” (DDoS). Angreifer nutzen dabei eine große Zahl gekaperter Rechner im Internet, um extrem viele Anfragen an einen Webserver – zum Beispiel Ihres Unternehmens oder Webhosters – zu senden, der dadurch überlastet ist und seine eigentlichen Aufgaben nicht mehr erfüllt. Zum besseren Verständnis: Stellen Sie sich vor, 50 Personen würden in einem Supermarkt zur selben Kasse gehen und das Personal ansprechen, ohne etwas kaufen zu wollen. Die Mitarbeitenden kämen eine Weile nicht mehr dazu, ihre Kassenarbeit zu erledigen. Sicherheitsregeln oder eigene Webserver beugen DDoS-Attacken nicht vor. Als Schutzmaßnahme gibt es vor allem den Service von Dienstleistern, die bei einer DDoS-Attacke mit ihren Kapazitäten aushelfen und zum Beispiel als Eingangsfilter agieren. Weitere Informationen zu DDos-Attacken bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Spoofing (englisch für Manipulation, Verschleierung oder Vortäuschung) nennt man in der Informationstechnik verschiedene Täuschungsmethoden in Computernetzwerken zur Verschleierung der eigenen Identität. Beim Spoofing geben sich die Angreifer als eine andere Person oder Marke aus und tarnen dabei ihre Kommunikation (z.B. E-Mails oder Telefonanrufe) so geschickt, dass sie von einer vertrauenswürdigen Person oder Organisation zu stammen scheint. Ziel von Spoofing-Angriffen ist es, an Ihre sensiblen persönlichen Daten zu kommen. (Quelle) Spoofing kann auf viele Arten erfolgen, z.B. als DNS- oder IP-Adressen-Spoofing, E-Mail-Spoofing, DDoS-Spoofing oder ARP-Spoofing (Quelle & weitere Informationen).

Phishing & Credential-Phishing: Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten unter Mitwirkung des Nutzers Zugang zu persönlichen Daten wie Passwort, Kreditkartennummer o.ä. zu verschaffen. Credential-Phishing soll Opfer dazu verleiten, Hackern freiwillig ihre Zugangsdaten zu übergeben. Dies erfolgt bspw. darüber, Mails an tausende Mailadressen zu schreiben und darin eine kleine Geschichte zu erzählen. In Corona Zeiten wurde zum Beispiel die Unternehmenshilfen der Bundesregierung als Vorlage für solche Angriffe genutzt. (Quelle)

Brute-Force Angriffe auf Passwörter: Das Erraten oder vor allem massenhafte Ausprobieren von Passwörtern, um Zugriff zu Accounts oder Diensten zu erhalten.

Ransomware (engl.): Schadprogramme, mit deren Hilfe Daten auf fremden Rechnern verschlüsselt werden. So soll den eigentlichen Inhabern der Zugriff auf diese Daten unmöglich gemacht werden. Um den für die Entschlüsselung notwendigen Schlüssel zu erhalten, soll das Opfer ein Lösegeld (meistens zahlbar in Bitcoins o. ä.) zahlen. (Quelle)

SQL-Injection (dt. SQL-Einschleusung) ist das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken. Dabei manipuliert der Angreifer die Einträge so, dass er Daten verändern, löschen oder lesen kann. Teilweise ist es sogar möglich, sich auf diesem Wege den Zugriff auf die Kommandozeile des befehlsausführenden Systems und damit über den gesamten Datenbankserver zu verschaffen.

Cross Site Scripting (XSS): Cross Site Scripting (XSS) zählt zu den Injection-Angriffen und ist eine der am häufigsten genutzten Angriffsmethode im Internet. Ziel des webseitenübergreifenden Skriptings ist es, an vertrauliche Daten zu gelangen, Anwendungen zu übernehmen oder sonstigen Schaden anzurichten. (Quelle)

Mittelsmann-Angriff (Man in the middle / MITM-Angriff) ist eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physisch oder – heute meist – logisch zwischen den beiden Kommunikationspartnern, hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren (Quelle). Ziel bei einem Man-in-the-Middle-Angriff ist es, sich unbemerkt in eine Kommunikation zwischen zwei oder mehr Partnern einzuschleichen, beispielsweise um Informationen mitzulesen oder zu manipulieren. (Quelle)

Hack and Leak: erbeutete Daten werden – teils in manipulierter Form – öffentlich gemacht.

Hack and Publish: Falschinformationen werden über gekaperte reichweitenstarke Kommunikationskanäle veröffentlicht.

Neueste Bedrohungen seit 2022

Malware WisperGate

Im Januar 2022 gab das Microsoft Threat Intelligence Center eine Warnung vor der Malware WhisperGate heraus. Diese sei gegen Ziele in der Ukraine eingesetzt worden. Laut Microsoft soll WhisperGate infizierte Geräte funktionsuntüchtig machen. (Quelle)

Malware HermeticWiper

Am 23. Februar 2022 haben mehrere Cybersicherheitsexperten bekanntgegeben, dass die Malware HermeticWiper gegen Ziele in der Ukraine eingesetzt werde. Laut SentiLabs greift die Malware Windows-Geräte an und manipuliert den Master Boot Record (MBR). Im Ergebnis könnten die Geräte nicht mehr gestartet werden. (Quelle)

Cyberangriffe des Akteurs Ghostwriter

Im Hinblick auf Operationen zur Veröffentlichung und/oder Manipulation erbeuteter Daten geht momentan insbesondere von russischen Cybergruppierungen eine Bedrohung aus. Insbesondere Ghostwriter hat in der Vergangenheit erfolgreich Daten von Mandatsträgerinnen und Mandatsträgern und sonstigen politischen Zielen erbeutet, um damit möglicherweise „Hack and Leak“-Operationen und/oder „Hack and Publish“-Operationen vorzubereiten. (Quelle)

Das BSI äußert zudem Zweifel an der Zuverlässigkeit des Herstellers Kaspersky und empfiehlt Anwendungen aus dem Portfolio der Sicherheits- und Antiviren-Software des russischen Unternehmens durch alternative Produkte zu ersetzen. (Quelle)

Schutzmaßnahmen gegen Cyberkriminalität mit wenig Aufwand möglich

Die IT-Systeme von Unternehmen aller Größen sind gefährdet. Dies gilt auch für IT-Systeme, die nicht mit dem Internet verbunden sind. In diesem Fall können die Datenträger betroffen sein. Cyberkriminelle nutzen Schadsoftware, die sich unkontrolliert weiterverbreitet. Diese wird auch bei verhältnismäßig wenig Beute eingesetzt, die bei kleinsten Unternehmen erzielbar ist.

Prävention gegen Cyberkriminelle ist daher ratsam. Viele sinnvolle Gegenmaßnahmen erfordern Gründlichkeit, Selbstdisziplin, Wissen über Sicherheitsvorkehrungen – aber kaum Zeit und Geld. Prävention ist für jedes Unternehmen umsetzbar und kann vor den meisten Gefahren durch Schadsoftware schützen.

Cyberangriffen vorbeugen – Grundregeln für Unternehmen

Das Partnernetzwerk 4.0 Sachsen-Anhalt hat staatliche und privatwirtschaftliche Übersichten für die IT-Sicherheit ausgewertet, und die wichtigsten Grundregeln zusammengefasst:

  • Reduzierung möglicher Angriffspunkte: Es ist sorgfältig zu überlegen, welche Vorgänge und Systeme aktuell für die Gewährleistung der Funktionalitäten eines Unternehmens unbedingt erforderlich sind.
  • Keine Datenträger von außen nutzen: Auch die USB-Sticks von Mitarbeitenden und Geschäftspartnern können mit Schadsoftware infiziert sein
  • Hard- und Software aktuell halten (Betriebssystem & Anwendungen) und Sicherheitshinweise beachten: Updates & Security Patches umgehend installieren
  • Zugangsdaten niemals weitergeben
  • Sichere Passwörter verwenden: Lange Buchstabenpasswörter ohne Wörter können viel sicherer sein als acht Zeichen mit Zahlen und Sonderzeichen. Passwörter zudem nicht mehrfach verwenden & regelmäßig ändern (z.B. jährlich).
  • Zwei- bzw. Multi-Faktor-Authentisierung nutzen für besonders schützenswerte Daten (z. B. Zugriff auf Bankkonten)
  • Passwörter nicht unverschlüsselt auf dem Computer speichern oder mit Papier an den Monitor kleben: Die Vielzahl von Passwörtern kann mit einem sorgfältig ausgewählten Passwortmanager-Programm für den Nutzer auf ein Passwort begrenzt werden.
  • Regelmäßig Datenbackups auf sicherem Speicher anlegen: Das Backup – unter anderem im Hinblick auf Brandgefahr – nicht im selben Büro lagern. Backups auf externen Servern sollten nur mit verschlüsselten Verbindung erfolgen. Testen Sie Ihr Backup gelegentlich, um zu sehen, ob es funktioniert.
  • E-Mails kritisch lesen: Auch E-Mails von bekannten Kontakten können gefährlich sein, wenn verwendete E-Mail-Programme mit Schadsoftware infiziert sind und Nachrichten an gespeicherten Kontakte verschicken (siehe „Trainieren Sie Ihr Personal für IT-Sicherheit” unter „Zusätzliche Sicherheitsregeln für mittlere und große Unternehmen”).
  • Malware-/Virenscanner einsetzen und aktuell halten: Zugriffsscan dauerhaft aktiv, automatische Scanner-Updates, außerhalb der Geschäftszeiten ablaufende automatisierte Komplettscans
  • Sicherheitsfeatures von Anwendungen konfigurieren (z. B. Browser, E-Mail, Office-Programme, Chat-Tools, Multimedia-Abspielprogramme) 
  • Mehrere Benutzerprofile im Betriebssystem anlegen und mit Benutzerprofil ohne Administratorrechte arbeiten 
  • Keine Software aus zweifelhaften Quellen: Beziehen Sie Software vom Hersteller, großen Händlern oder dem IT-Dienstleister Ihres Vertrauens. Betrüger versuchen, mit Schadsoftware infizierte Programme über eigene Webseiten und nicht überprüfende Dritte zu verbreiten.
  • Rechner vor unbefugtem Zugriff schützen: Nutzen Sie ein Betriebssystem-Passwort, loggen Sie sich beim Verlassen des Rechners aus oder aktivieren Sie den Sperrbildschirm. Mobil genutzte Geräte (Notebooks, Smartphones etc.) sind besonders zu schützen, da sie leichter in fremde Hände geraten können. Nutzen Sie daher unbedingt PINs und Speicherverschlüsselung. Auch ein Mobile Device Management (MDM) kann sinnvoll sein, um ggf. eine Fernlöschung der Daten bei Geräteverlust vornehmen zu können.
  • Nicht verwendete Dienste und Programme deinstallieren oder nicht automatisch beim Systemstart aktivieren lassen
  • Netzwerkgeräte (Router, Drucker) absichern: Standard-Passwort / Standardbenutzer ändern, Treiber aktuell halten
  • Firewall einsetzen und konfigurieren
  • Mit Mobilgeräten in fremden Netzen die Einstellungen Gast/Öffentliches Netz wählen und keine sicherheitskritischen Aktionen (z. B. Online-Banking, Login ins eigene Intranet) durchführen.
  • Einheitliche Sicherheitsstandards für Homeoffice im gesamten Unternehmen: Jeder Mitarbeiter im Homeoffice ist ein Angriffspunkt in Ihr Unternehmens-Intranet.
  • Bei Routern WPS deaktivieren, damit neue Geräte nicht unbemerkt in das WLAN Netz eindringen. 
  • Besuchern nur einen WLAN-Gastzugang ohne Zugriff auf Netzwerkgeräte gewähren. Netzwerkanschlüsse in Räumen, die Gästen zugänglich sind (z.B. Konferenzräume) sollten nicht generell, sondern nur im Bedarfsfall, mit dem internen Netzwerk verbunden werden.
  • Echte Ende-zu-Ende Verschlüsselung erfordert, dass auch Internetdienstleister nicht entschlüsseln und mitlesen können. Beachten Sie dies bei der Auswahl von Kommunikations- und Cloud-Diensten.
 

Weitere Themen zur Digitalisierung in Unternehmen

  • Digitale Modernisierung für Kleinunternehmen

    Bereits in Großunternehmen verwendete Technologien sind vergleichsweise bodenständig und wurden in den vergangenen Jahren auch für Kleinunternehmen wirtschaftlich sinnvoll.

  • Gamification in Unternehmen

    Spielerische Elemente motivieren Mitarbeiter, Partner und Zulieferer durch innovative Ideen und binden diese an Produkte eines Unternehmens.

  • IT-Dienstleister auswählen und beauftragen

    Damit Auftraggeber und Auftragnehmer ein gemeinsames Verständnis von digitalen Leistungen haben, helfen Lasten- und Pflichtenhefte.

  • Leitfaden Heimarbeit

    Heimarbeit erfreut sich immer größerer Beliebtheit. Was zu beachten ist, erfahren Sie in diesem Leitfaden.

  • Leitfaden Webkonferenzen

    Bei plötzlich weitverbreiteter Heimarbeit sind Onlinelösungen oder die klassische Telefonkonferenz gefragt. Auch für Veranstaltungen sind Webkonferenzen eine Alternative.

  • Personalgewinnung digital

    Soziale Netzwerke und digitale Job-Portale werden für die Gewinnung von Mitarbeitern bedeutsamer. Die Mobilfähigkeit von Stellenanzeigen ist der Dreh- und Angelpunkt.

Zusätzliche Sicherheitsregeln für mittlere und große Unternehmen 

  • Etablieren und pflegen Sie eine Benutzerverwaltung in ihrem Content Management System, Intranet oder sonstigen Systemen: Reduzieren Sie Berechtigungen für Nutzer auf das benötigte Minimum, halten Sie Nutzer und Accounts aktuell und entfernen Sie nicht mehr benötigte Zugänge. „Wie der Mitarbeiter selbst unterliegt auch sein Benutzerkonto (teilweise auch mehrere) einem Lebenszyklus. Das beginnt mit der Erstellung. Danach erfolgt die Pflege, beispielsweise bei Rollenwechseln. Bei Ausscheiden des Mitarbeiters sollte das Konto zunächst sofort deaktiviert und nach einer kurzen Karenzzeit (zwei Monate) gelöscht werden. Der administrative Umgang mit Benutzerkonten (auch Gruppenkonten) sollte in einem Lebenszyklus definiert werden.“ (Quelle)
  • Nur von den IT-Spezialisten freigegebene Cloud-Dienste sollten genutzt werden, damit zum Beispiel keine sensiblen Daten unverschlüsselt übertragen werden. Die Auswahl der Cloud-Dienste ist auch in Bezug auf Datenschutzkonformität wichtig.
  • Erwägen Sie die Einteilung des Unternehmens-Intranets in mehrere abgekapselte Bereiche, damit ein Eindringling zunächst nur einen Bereich kompromittieren kann.
  • Eine Security Information Event Management Software (SIEM) kann helfen, unerlaubtes Eindringen frühzeitig zu bemerken und Schäden zu begrenzen.
  • Intrusion Detection Management Systeme (IDMS) verwenden, um Malware erkennen und frühzeitig blockieren zu können.
  • Bei der Auswahl von Standardsoftware für IT-Sicherheit (z. B. Virenscanner, Passwortmanagern) ist es ratsam, aktuelle Tests von kompetenten Akteuren wie IT-Fachzeitschriften bei der Auswahl heranzuziehen und auf mindestens gute Sicherheitsbewertungen zu achten.
  • Trainieren Sie Ihr Personal für IT-Sicherheit. Sie können Übungs-E-Mails nutzen, um zu unvorsichtige Mitarbeiter besonders zu schulen. Misstrauen Sie allen E-Mails, die Sie zu dringenden Handlungen auffordern. Geben Sie niemals Ihre Passwörter an und klicken Sie niemals auf Links oder Anhänge verdächtiger E-Mails. Dies gilt auch für E-Mails von Familie, Freunden oder dem Arbeitgeber. Deren E-Mail-Konten könnten ebenfalls gehackt worden sein. Etablieren Sie ebenso Meldeprozesse bei Auffälligkeiten und Sicherheitsvorfällen innerhalb des Unternehmens und machen Sie diese bekannt. Verweisen Sie ebenso auf relevante Zuständigkeiten und Ansprechbarkeiten von Behörden, ebenso wie auf deren Kontaktwege im Notfall (Quelle). Des Weiteren sollten vertrauliche Akten bei Verlassen des Arbeitsplatzes im Schrank oder Safe verschlossen werden. Datenträger wie Bänder, USB-Sticks, externe Festplatten, BDs, DVDs oder CDs sollten nie offen herumliegen, wenn sich vertrauliches Material darauf befindet. Im Bedarfsfall sollten sie sachgerecht vernichtet und entsorgt werden, um unbefugtes Rekonstruieren zu verhindern. Auch vertrauliche Ausdrucke gehören zur Entsorgung in den Aktenvernichter und nicht in den normalen Papierkorb. (Quelle)
  • Sicherheit sollte einen hohen Stellenwert genießen und darf auch etwas kosten, denn Sicherheit schützt vor Schäden. Kompetente IT-Experten und Netzwerkadministratoren – inhouse oder als externe Berater – sollten das Gehör des Unternehmensmanagements haben, um nötige IT-Sicherheitsmaßnahmen umsetzen zu können.
  • Sicherheitsüberprüfungen sollten regelmäßig von unabhängigen Experten durchgeführt werden. Die Erkenntnisse der Überprüfungen müssen dokumentiert und in Form eines geeigneten Reportings an die Geschäftsleitung übergeben werden. Gewonnene Erkenntnisse können wiederum in die Sicherheitskonzeption einfließen. Erkannte Abweichungen beispielsweise bei der technischen Umsetzung von definierten Maßnahmen müssen beseitigt werden.  (Quelle)

Was tun im Ernstfall?

Auf präventiv geknüpfte Kontakte zurückgreifen:
Im Zuge des Aufbaus eines Notfall und Krisenvorsorge-Systems sollten bereits Kontakte zu den ZAC (Zentrale Ansprechstellen Cybercrime der Polizeien) und zertifizierten Sicherheitsdienstleistern hergestellt worden sein. Auf diese gilt es nun so schnell wie möglich zuzugehen, um Unterstützung zu suchen.

Hände weg von der Technik und externe Expertise einholen:
Halbherzige Rücksicherungsversuche können noch mehr Schaden anrichten und eine Entschlüsselung selbst nach Bezahlung und Erhalt der Schlüssel unmöglich machen. Es ist besser, frühzeitig die jeweilige ZAC der Polizei einzuschalten und sich an eigens befähigte IT-Forensik-Unternehmen zu richten.

Im Zweifel erstmal Abschalten:
Ist es nicht möglich, die gegnerischen Aktivitäten umgehend zu identifizieren und zu beobachten und dabei ihre Auswirkungen zu kontrollieren und einzugrenzen, sollte eine vollständige Netzabtrennung, beziehungsweise eine Abschaltung möglichst aller Komponenten in Betrachtung gezogen werden, bis Klarheit darüber herrscht, welche Systeme betroffen sind und welche nicht.

Auf Nummer sicher gehen:
Die nachgeladenen Schadprogramme werden häufig in der ersten Zeit nach ihrer Verbreitung nicht von Standard-Antivirus-Software erkannt. Solche Malware nimmt aber teilweise tiefgreifende Änderungen an infizierten Systemen vor, die nicht einfach rückgängig gemacht werden können. Die grundsätzliche Empfehlung ist daher, derlei infizierte Systeme als vollständig kompromittiert zu betrachten. Auch auf solch betroffenen Systemen gespeicherte, beziehungsweise nach einer Infektion eingegebene Zugangsdaten sollten als kompromittiert behandelt und die Passwörter geändert werden.

Meldefristen beachten:
Unternehmen sollten auch etwaige Meldefristen beachten. In der Regel gilt: Wo Schadsoftware eingebracht werden konnte, sind vermutlich auch Daten abhandengekommen. Bei personenbezogenen Daten drohen Unternehmen bei nicht eingehaltenen Meldefristen beispielsweise aufgrund der DSGVO unter Umständen harte Strafen.

(Quelle)

 

Waren oder sind Sie betroffen?

Um Ihre Systeme selbstständig auf mögliche Kompromittierung zu prüfen, stellt der Wirtschaftsschutz Unternehmen auf Anfrage gerne eine vom Bundesamt für Verfassungsschutz fortwährend aktualisierte Übersicht, über die ihm vorliegenden Indicators of Compromise (IoCs), zur Verfügung: wirtschaftsschutz@bfv.bund.de.

Für spezifische technische Hinweise oder Rückfragen zu einem konkreten Cyberangriff oder einer bestimmten Kampagne wenden Sie sich direkt an die Expertinnen und Experten der Cyberabwehr: cyberabwehr@bfv.bund.de.