Wenn eine Cyber-Attacke den Betrieb zum Stillstand bringt
Der Mitarbeiter kommt morgens zur Arbeit und fährt seinen Computer hoch. Als er von der Kaffeeküche zurückkommt, findet er auf seinem Bildschirm eine auffällige Meldung vor. In der englischen Textbox auf dem Bildschirm erfährt der geschockte Mitarbeiter, dass durch eine Verschlüsselungssoftware alle Daten verschlüsselt wurden. Danach folgt eine Anweisung für den Kauf einer passenden Software zum Entschlüsseln der Daten sowie die Anweisung zur Bezahlung mit Bitcoins. Der Mitarbeiter informiert umgehend den IT-Support. Dieser ist bereits alarmiert, denn diese schockierende Überraschung am frühen Morgen hatten bereits andere Kollegen erlebt. Die IT weist daraufhin alle Mitarbeiter an, die laufenden PCs sofort auszuschalten und auf keinen Fall weitere Rechner anzuschalten. Von einer zur anderen Minute ist das komplette Unternehmen lahmgelegt. Auch die neue Internet-Telefonanlage funktioniert nicht mehr. Die Telefone bleiben stumm und auch ausgehende Telefonate sind nicht mehr möglich. Das Support Center für Kundenanfragen ist nicht mehr erreichbar. Es müssten eigentlich dringende Kundenaufträge abgearbeitet werden, denn es drohen hohe Strafzahlungen bei Lieferverzug. Eine Schadensanalyse der IT ergibt, dass neben den Servern auch die Datensicherungen verschlüsselt sind. Ohne professionelle externe Unterstützung kann die interne IT die Infrastrukturen nicht wieder ans Laufen bringen. Die Geschäftsführung entscheidet daraufhin einen Krisenstab einzurichten und das Landeskriminalamt einzuschalten. Das Lösegeld in Höhe von umgerechnet 100.000 Euro soll vorerst nicht bezahlt werden. Es wird einige Tage dauern, bis das Unternehmen wieder betriebsfähig ist. Der finanzielle Schaden ist hoch, doch schlimmer wiegt der Vertrauensverlust bei den Kunden. Und die Presse hat auch schon von dem Vorfall Wind bekommen.
Eine Situation, die in letzter Zeit viele große multinationale Unternehmen aber auch in der Öffentlichkeit weitgehend unbekannte mittelständische Unternehmen erleben mussten. Sie sind entweder Opfer einer gezielten Cyber-Attacke oder haben sich über Internet bzw. E-Mail einen Ransomware-Trojaner eingefangen. Auch das Update einer Buchhaltungssoftware kann als Einfallstor dienen. So geschehen bei der Ransomware-Attacke mittels der NotPetya genannten Schadsoftware.
Die Ransomware wurde ab April 2017 in mehreren Wellen über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M.E.Doc verteilt. Ausgehend von Russland und der Ukraine verbreitete sich die Schadsoftware über Europa, USA und Asien. Zahlreiche Unternehmen waren durch IT-Ausfälle betroffen. Das dänische Unternehmen Maersk, die weltweit größte Containerschifflinie der Welt, musste nach dem erfolgreichen Angriff die gesamte IT-Infrastruktur mit 4.000 Servern, 45.000 PC und rund 2.500 Programmen komplett neu aufsetzen.
Die Schäden dieser Cyber-Attacken reichen von mehreren 100.000 Euro bis zu dreistelligen Millionenbeträgen. Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen, so der Lagebericht 2018 des Bundesamts für Informationssicherheit.
Gerade kleine und mittelständische Unternehmen sehen sich durch diese Bedrohungen vor großen Herausforderungen. Sie haben nicht die Mittel und das Personal um technisch aufwändige und teure Schutzmechanismen zu implementieren. Doch Cyber-Resilienz, also die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen, ist keine Frage von Größe und Finanzkraft. Vielmehr geht es darum, die richtigen Dinge zu tun und die kritischen Dinge zu unterlassen.
Awareness: Bewusstsein für die Risiken entwickeln
Insbesondere kleinen und mittelständischen Unternehmen fehlt es oft an der Awareness für die Bedrohungen durch Cyber-Attacken. Durch ihre Größe und fehlende Bekanntheit in der Öffentlichkeit wähnen sie sich unter dem Radar der Angreifer. Doch diese kennen die Hidden Champions und gehen davon aus, dass sie eher bereit sind, Lösegeld zu bezahlen, um schnell wieder ins Geschäft zu kommen. Daneben können Unternehmen durch offene Schwachstellen schnell Opfer einer breit angelegten Cyber-Attacke sein. Dieses Bewusstsein für die Bedrohungen schafft auch ein gesundes Misstrauen gegenüber E-Mails mit Anhängen unbekannter Absender oder E-Mails des vermeintlichen Chefs mit dem Auftrag, schnell große Beträge diskret zu überweisen (die sog. „Chef.Mache“). Regelmäßige Schulungen und Trainings der Mitarbeiter schaffen und fördern dieses Bewusstsein, denn jeder Mitarbeiter kann über seinen Internet- und Mail-Zugang den Hackern die Türen öffnen.
Schützen: Identifikation und Schutz der kritischen Informationswerte
Wo liegen die für das Unternehmen kritischen Daten und Dokumente? Haben nur die absolut notwendigen Mitarbeiter Zugriff auf diese Daten? Auf welchen IT-Systemen liegen die kritischen IT-Anwendungen und Daten und wie sind diese gegen unberechtigte Zugriffe und Zutritt geschützt? Werden die Daten regelmäßig gesichert und die Datensicherungen ausgelagert?
Der erste Schritt ist die Identifikation der schützenswerten Informationswerte, der bereits getroffenen Sicherheitsmaßnahmen und offenen Schwachstellen. Grundlagen hierfür bilden die Ergebnisse der Schutzbedarfsanalyse und Business Impact Analyse. In einem weiteren Schritt gilt es, für diese unternehmenskritischen Informationswerte IT-Anwendungen, Daten, IT-Systeme, Netzwerke und Dokumente die Schwachstellen aufzuspüren. Ungesicherte Endgeräte, offene Zugänge zu Netzwerken, nicht gepatchte und veraltete Systemstände lassen sich durch einen Angreifer schnell automatisiert identifizieren und ausnutzen. Bei den Maßnahmen definiert das schwächste Glied der Kette das bestehende Schutzniveau. Der beste Zugriffsschutz durch ein Berechtigungsmanagement wird durch einen freien Zugang zu IT-Systemen wegen eines fehlenden physischen Zutrittsmanagements ausgehebelt. Entscheidend für ein effizientes und effektives Sicherheitsmanagement ist daher die Koordination der Maßnahmen der Sicherheitsdisziplinen im Unternehmen: die Disziplinen Informationssicherheitsmanagement, IT-Security Management, Business Continuity Management und Physische Sicherheit müssen technisch und organisatorisch zusammenwirken.
Erkennen: Cyber-Attacken identifizieren, analysieren und kontrollieren
Keine IT kann vollkommen sicher gegen Angriffe von innen oder außen gemacht werden. Es ist daher nur eine Frage der Zeit, bis ein Angreifer seinen Weg in die Unternehmens-IT gefunden hat. Entscheidend ist deshalb, Angriffe im eigenen System zu erkennen, zu lokalisieren und zu isolieren. IT und das Bewusstsein für die Gefahren greifen hierbei Hand in Hand. Die besten Monitoring-Tools helfen nicht, wenn die zahlreichen Einträge nicht durch IT-Experten überprüft und bewertet werden. Organisatorische und technische Verfahren für die Behandlung von IT-Sicherheitsvorfällen müssen präventiv implementiert sein und vor allem von den Mitarbeitern auch beherrscht werden. Größere Unternehmen verfügen hierzu über eigene Organisationseinheiten, dem CERT (Computer Emergency Response Team). Kleine und mittelständische Unternehmen ohne diese personelle Ausstattung sollten ihre Sicherheit einem spezialisierten Dienstleister anvertrauen, der zusätzlich durch regelmäßige Audits den Stand der Sicherheit gegen aktuelle Bedrohungen und Stand der Technik prüft.
Reagieren: Schäden vermeiden und Prozesse wiederherstellen
Die maximal tolerierbaren Ausfallzeiten für Produktions- und Administrationsprozesse liegen in der Regel bei wenigen Stunden. Dies erfordert die umgehende Einleitung von Maßnahmen nach der Entdeckung einer Cyber-Attacke. Organisation und Verfahren hierfür müssen definiert, beschrieben und eingeübt sein.
Für die Geschäftsprozesse greifen die Notfallpläne aus dem Business Continuity Management. In der IT geht es um forensische Analysen des Angriffs, Beweissicherung und schnellstmöglichen Wiederanlauf der IT-Systeme.
Cyber-Attacken weisen gegenüber IT-Störungen und IT-Ausfällen einige Besonderheiten auf:
- sie sind (IT-) technisch sehr komplex,
- die Ursachen-Wirkungsketten sind meist (noch) nicht bekannt,
- der Angriff kann bereits Wochen oder Monate vor der Entdeckung zurückliegen,
- eine schnelle Reaktion ist erforderlich, um Schäden zu vermindern,
- es können weitreichende Abschaltungen der IT zur weiteren Schadensvermeidung erforderlich sein, soweit dies die Schadsoftware nicht schon erledigt hat,
- die Lage kann das Krisenmanagement des Unternehmens Wochen oder gar Monate beschäftigen,
- es ist externe Expertise von Fachspezialisten für die Ermittlung und Beweissicherung erforderlich (Bsp. Forensik-Experten),
- es gibt kurzfristige Berichtspflichten an Aufsichtsbehörden (Datenschutz, IT-Sicherheitsgesetz etc.) und Versicherungen, die einzuhalten sind,
- der Vorfall weckt durch die Art des Ereignisses und die Folgeschäden hohes mediales Interesse,
- Behörden und (Cyber-) Versicherungen nehmen Einfluss auf das Krisenmanagement.
Das Krisenmanagement für klassische BCM- oder IT-Lagen kann bei einer Cyber-Lage daher sehr schnell an seine Grenzen kommen. Deshalb müssen diese besonderen Bedrohungssituationen (sog. „Cyber-Lagen“) bei der Organisation des Krisenmanagements Berücksichtigung finden. Die Beherrschung von Cyber-Lagen muss durch spezifische Tests und Übungen trainiert werden.
Verbessern: aus Erfahrungen lernen
Ein kontinuierlicher Verbesserungsprozess stellt die Funktionsfähigkeit sicher. Grundlage hierfür sind die identifizierten Schwachstellen und Optimierungspotentiale aus Tests und Übungen sowie interner und externer Audits. Cyber-Lagen stellen besonders hohe Anforderungen an die Reaktionsfähigkeit. Das Testen und Üben von Sicherheitsvorfällen durch alle beteiligten Rollen bildet eine wesentliche Voraussetzung für die Handlungsfähigkeit im Ernstfall. Hierzu gehören Tests und Übungen der Mitglieder des CERT sowie das Üben von Cyber-Lagen durch den Krisenstab. Besondere Aufmerksamkeit ist hierbei dem Zusammenspiel zwischen den Gremien zu schenken, um Aufgaben, Kompetenzen und Verantwortungen klar abzugrenzen.
Fazit
Cyber-Attacken stellen das Notfall- und Krisenmanagement eines Unternehmens vor große Herausforderungen. Da jedes Unternehmen zu jeder Zeit von einem Angriff betroffen sein kann, kommt der Prävention eine große Bedeutung zu. Das “klassische” Krisenmanagement ist für Cyber-Lagen nur bedingt geeignet, da Komplexität, Schadenswirkungen und Zeitdruck erhöhte Anforderungen stellen. Organisation, Methoden und Verfahren des Krisenmanagements müssen für Cyber-Lagen fit gemacht werden. Elementar sind Tests und Übungen der Rollenträger, um Sicherheit in den Verfahren zu erhalten und im Ernstfall schnell und angemessen reagieren zu können.
Matthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschafts-wissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.