„Dimension der Cyberangriffe ist besorgniserregend“

Die E-Mail wirkt harmlos: „Bewerbung“ stand im Betreff, der Anhang deutet hin auf Anschreiben, Lebenslauf, Zeugnisse. Scheinbar. Denn als die Mitarbeiterin eines Hotels im Raum Aschaffenburg die elektronische Post öffnet und der Aufforderung folgt, die vermeintlichen Bewerbungsunterlagen aus der Cloud des Absenders herunterzuladen, ist es schon zu spät. Statt der Unterlagen holt die Rezeptionistin einen Trojaner ins IT-System des Hotels – der alle auf dem Rechner befindlichen Dateien verschlüsselt.

Fälle wie diese, das weiß Arne Schönbohm, sind inzwischen an der Tagesordnung. Nicht nur als spektakuläre, schlagzeilenträchtige Angriffe auf große Tech-Unternehmen wie Ebay oder Yahoo (siehe Kasten), sondern auch im Mittelstand – und das in praktisch allen Branchen. „Die Dimension der Cyberangriffe in Deutschland ist besorgniserregend“, bestätigte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) im November 2016 auf einer öffentlichen Tagung des Handelsblatts zum Thema Cybersecurity. Einer BSI-Umfrage zufolge sind 66 Prozent der befragten Unternehmen in jüngster Zeit Opfer von Cyberangriffen geworden. 47 Prozent der Angriffe konnten die Unternehmen nicht abwehren.

Zwei Drittel aller Unternehmen ohne IT-Sicherheitskonzept

Die Aussichten für das Jahr 2017 sind indes nicht besser: Je mehr digitalisiert wird, desto größer wird die Angriffsfläche. Laut IT-Sicherheitsspezialist Kaspersky nimmt nicht nur die Zahl der Cyberangriffe weiter zu, die Attacken werden auch vielseitiger – und sind damit noch schwerer abzuwehren. Das Problem: Viele Unternehmen investieren erst in Abwehrmaßnahmen, wenn es bereits einen Sicherheitsvorfall gegeben hat. Gerade kleinere Betriebe mit weniger als 50 Mitarbeitern offenbaren laut einer BSI-Studie die größten Mängel. Demnach verfügen zwei Drittel aller befragten Unternehmen nicht über ein IT-Sicherheitskonzept. Doch gerade das sollte gut durchdacht sein.

Risikoanalyse in vier Schritten

Ein IT-Sicherheitskonzept erstellen Unternehmen zum Beispiel mit einer traditionellen Risikoanalyse, über die sich individuelle Sicherheitsmaßnahmen für eine bestehende IT-Landschaft erarbeiten lassen. Im „Leitfaden Informationssicherheit – IT-Grundschutz“ erklärt das BSI, welche Schritte bei einer solchen Risikoanalyse notwendig sind:

  1. Ermittlung der zu schützenden Werte wie beispielsweise IT-Systeme, Daten oder Know-how
  2. Untersuchung, welchen Bedrohungen diese ausgesetzt sind
  3. Analyse, wie hoch die Wahrscheinlichkeit eines Sicherheitsvorfalls ist, welches Schadensausmaß zu erwarten ist und welche Sicherheitsmaßnahmen ergriffen werden können
  4. Analyse, welches Restrisiko nach der Umsetzung des Sicherheitskonzeptes verbleibt

Die Folge: Wertvolle Informationen, die jedoch ihren Preis haben – weil Experten herangezogen werden müssen und Analysen zu Schadenshöhe oder Eintrittswahrscheinlichkeit sehr aufwendig sind.

IT-Grundschutz des BSI als günstigere Alternative

Eine Alternative zu einer derart umfassenden, aber teuren Risikoanalyse: der IT-Grundschutz des BSI. Dieser bietet eine solide Basis für ein zuverlässiges Sicherheitskonzept. Im BSI-Standard 100-2 erklärt das BSI Schritt für Schritt, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut und betrieben wird. Der IT-Grundschutz soll Nutzern mit vielen Hinweisen, Hintergrundinformationen und Beispielen helfen, ein Sicherheitskonzept umzusetzen. Die Erstellung eines Sicherheitskonzepts nach IT-Grundschutz gliedert sich in sechs Schritte:

  1. Geltungsbereich definieren: Das BSI empfiehlt, das erforderliche Sicherheitsniveau zunächst nur in ausgewählten Bereichen wie bestimmten Organisationseinheiten einer Institution umzusetzen. „Von diesen Keimzellen ausgehend sollte dann kontinuierlich die Sicherheit in der Gesamtorganisation verbessert werden.“
  1. Strukturen analysieren: Um ein Sicherheitskonzept zu erstellen ist es laut BSI erforderlich, das Zusammenspiel der Geschäftsprozesse, der Anwendungen und der vorliegenden Informationstechnik zu analysieren und zu dokumentieren. Aufgrund der starken Vernetzung von IT-Systemen biete sich ein Netz-Topologieplan als Ausgangsbasis für die weitere technische Analyse an.
  1. Schutzbedarf feststellen: Die Schutzbedarfsfeststellung ermittelt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Für jede Anwendung und die verarbeiteten Informationen werden dabei die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können.
  1. Maßnahmen auswählen und anpassen: Um die IT-Grundschutz-Kataloge auf einen Informationsbund anzuwenden, sind detaillierte Unterlagen über seine Struktur und den Schutzbedarf der darin enthaltenen Zielobjekte erforderlich. Anschließend werden die Bausteine der IT-Grundschutz-Kataloge auf die Zielobjekte und Teilbereiche abgebildet.
  1. Basis-Sicherheitscheck: Der Basischeck bietet einen schnellen Überblick über das vorhandene Sicherheitsniveau. Mithilfe von Interviews wird ein Katalog erstellt, in dem für jede Maßnahme der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist. So werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Geschäftsprozesse und der Informationstechnik aufgezeigt.
  1. Weiterführende Sicherheitsmaßnahmen: Bei hohem oder sehr hohem Schutzbedarf sind möglicherweise zusätzliche oder höherwertige Sicherheitsmaßnahmen erforderlich. Durch eine „ergänzende Sicherheitsanalyse“ wird bestimmt, ob für die betroffenen Bereiche eine Risikoanalyse durchgeführt werden muss.

Weiterführende Links:

 

Tatort Internet: Fünf spektakuläre Cyberangriffe auf Unternehmen

  1. Ebay

Das Online-Auktionshaus erwischte es zwischen Ende Februar und Anfang März 2014: Hacker zapften nach Angaben des Unternehmens eine Datenbank mit verschlüsselten Passwörtern, Benutzernamen, E-Mail-Adressen, physischen Adressen, Telefonnummern und Geburtsdaten an. Die Folge: Weil Nutzer weltweit ihre Passwörter erneuern mussten, stagnierte das Wachstum des Online-Marktplatzes kurzzeitig.

 

  1. Yahoo

2014 erbeuteten Hacker bei einem Cyberangriff auf den Internetkonzern Yahoo Daten von mindestens 500 Millionen Nutzern, darunter Passwörter, Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten. Es war nicht der erste Angriff: Bereits 2013 hatten Cyberkriminelle die Daten von einer Milliarde Nutzern gestohlen, wie das Unternehmen 2016 erst Jahre später einräumen musste.

 

  1. Sony Playstation Network

Im April 2011 legten Hacker das digitale Serviceportal Playstation Network (PSN) lahm. Die Beute: persönliche Daten und Kreditkarteninformationen von rund 77 Millionen Nutzern. Schaden durch den Ausfall von fast vier Wochen: etwa 170 Millionen Dollar.

Sony PlayStation Network Sony PlayStation Network (© 2017 Playstation: © ddp Images)

 

  1. Thyssen-Krupp

Bei ihrer Cyberattacke im Jahr 2016 hatten es die Hacker auf den Diebstahl von Know-how und Forschungsergebnissen abgesehen. Sie verschafften sich Zugang über Schadsoftware, die in den Rechnern versteckt war. Der Schaden durch den Datenabfluss ist unbekannt.

 

  1. Lukaskrankenhaus Neuss

In die Schlagzeilen geriet 2016 auch das Lukaskrankenhaus in Neuss. Hacker schleusten per E-Mail einen Trojaner in das Computersystem der Klinik ein, um Daten zu verschlüsseln und die Klinik damit zu erpressen. Die Konsequenz: ein Schaden in Millionenhöhe.