KLESYS GmbH

KLESYS, die IT-Spezialisten im Kreis Kleve: 360° Service für KMU, Cloud, IT-Security, Digitalisierungs-Beratung

Mit einem effizienten und umsetzbaren Risikomanagement das Unternehmen wirksam vor existenzbedrohendem Datenverlust schützen.
Vorab möchte ich mit zwei gängigen Vorurteilen ausräumen, die im Zusammenhang mit Schadsoftware immer wieder zu hören und zu lesen sind.

Erstens: Technischer Schutz allein ist nicht ausreichend; physische Sicherheitsvorkehrungen, auf die ich in diesem Beitrag nicht näher eingehe, aber vielmehr noch organisatorische Maßnahmen sind unabdingbar für eine wirkungsvolle Gefahrenabwehr. Vor diesem Hintergrund ist auch die Frage beantwortet, wer ein solches Gefahrenabwehr-Projekt leiten sollte: Es darf sicherlich nicht ausschließlich in der Verantwortung von IT-Fachkräften liegen, handelt es sich doch eindeutig um eine Managementaufgabe.
Zweitens: Die Vielzahl der hier aufgeführten Bedrohungen und Abwehrmaßnahmen verleiten Entscheider gerade in kleineren Unternehmen dazu, den Kopf weiter in den Sand zu stecken, weil dagegen vermeintlich kein Kraut gewachsen sei – zumindest keines, das sie sich leisten können. Damit setzen sie sich einem vielfach höheren Risiko aus, anstatt mit limitiertem Budget einfachste Vorkehrungen zur Gefahrenabwehr umzusetzen. Anders ausgedrückt: Nichtstun ist die schlechteste aller Optionen.
Seit im Jahr 1989 auf der WHO-AIDS-Konferenz die erste Erpresser-Software in Umlauf gebracht wurde, damals noch auf Diskette, hat sich ein gigantischer Markt für derlei digitale Unholde entwickelt. Schon seit Längerem geht man davon aus, dass mit Computerkriminalität nahezu dieselben Umsätze erzielt werden wie mit dem weltweiten Drogenhandel. Profitabler und für die Akteure weit weniger gefährlich ist Cybercrime allemal, was deren Anziehungskraft auf Kriminelle erklärt. Mit einem Schadensumfang von 1,6 Prozent des Bruttoinlandsproduktes (BIP) nimmt Deutschland einen traurigen Weltrekord für sich in Anspruch.
Hersteller von Computer-Sicherheitssoftware kennen über 4 Millionen unterschiedliche Schadprogramme. Täglich kommen bis zu 20.000 neue hinzu, die in ihren Automatismen und Angriffstechniken immer komplexer und ausgefeilter werden und damit den möglichen Schaden und dessen Eintrittswahrscheinlichkeit stetig anwachsen lassen. Die zunehmende Digitalisierung der Geschäftsmodelle, Industrie 4.0 und das Internet der Dinge werden die Angriffsfläche für Cyberkriminelle in den nächsten Jahren nochmals deutlich verbreitern.
Umso wichtiger für Unternehmensentscheider sind daher gezielte Schutzmaßnahmen, wenn sie Ihrer gesetzlichen Risiko-Früherkennungspflicht nachkommen wollen. Die rechtlichen Grundlagen zum Risikomanagement ergeben sich aus dem KonTraG und § 91 AktG, in das gemäß § 43 GmbHG der GmbH-Geschäftsführer ausdrücklich einbezogen wird.
Die Fragen, die sich im Zusammenhang mit der Abwehr von Gefahren durch Schadsoftware aufdrängen, sind simpel und bergen dennoch einiges an Sprengkraft:
Ist bei Entscheidern und Mitarbeitern eine ausreichende Risikowahrnehmung vorhanden, damit notwendige Maßnahmen auf eine breite Unterstützung treffen?Welches Zeit- und Geldbudget kann und will sich das Unternehmen leisten?Die Durchführung (und die Nichtdurchführung) welcher Schritte kann das Management verantworten?
Aber wovor sollte sich das Unternehmen eigentlich schützen? Was hat sich in den letzten Monaten verändert, dass die Firewall und das Antiviren-Programm plötzlich nicht mehr ausreichenden Schutz bieten sollen?
Die ehrliche Antwort auf diese Fragen wird dem Management nicht schmecken: Das Risiko, Opfer eines existenzbedrohenden Datenverlusts zu werden, war schon immer da und ist in der Vergangenheit wissentlich in Kauf genommen worden. Die veröffentlichen Zahlen zu Cybercrime-Schäden, die in die Milliarden gehen, hat man als „Angstmacherei“ abgetan und der IT-Sicherheits-Industrie unterstellt, sie wolle ihrem Geschäftsmodell künstlichen Auftrieb verschaffen. So hat sich eine Mischung aus Fatalismus und Ignoranz breitgemacht, die sich auch noch aus sich selbst heraus nährt („bei uns ist bisher nichts passiert“). Die Lösegeld-Höhe aktueller „Ransomware“, also Erpresser-Software, die alle Daten auf befallenen Systemen verschlüsselt und erst gegen Zahlung der Lösegeld-Summe wieder freigibt, beträgt zumeist wenige hundert Dollar. Damit war die dieses Thema behandelnde Presseberichterstattung wenig dazu geeignet, Unternehmensentscheider von der Umsetzung eines um ein Vielfaches teureren und zeitraubenden Abwehrkonzepts zu überzeugen.
Nochmal: Warum reichen bisherige Schutzmaßnahmen plötzlich nicht mehr aus?
Nun, in den letzten 12 bis 18 Monaten hat sich ein bunter Strauß an Erpresser-Software breitgemacht, die nicht mehr nur auf Privatanwender abzielt, sondern ganz bewusst Unternehmen aufs Korn nimmt. Neueste Ransomware ist in der Lage, nicht nur lokale Dateien, sondern auch komplette Netzwerk-Laufwerke weitgehend unbemerkt zu verschlüsseln. Darüber hinaus begibt sich manches Schadprogramm auf die gezielte Suche nach NAS-Systemen, also Netzwerkspeichergeräten, auf denen heute oft Datensicherungen abgelegt werden.
Über „Referenzen“ zu plaudern, verbietet sich an dieser Stelle. Sich hingegen vorzustellen, dass die KLESYS und andere im Kooperationsnetzwerk iTeam tätige Systemhäuser im letzten Jahr Hilferufe von Unternehmen erhielten, die Opfer eines gezielten Angriffs wurden und die sich zum Teil einer existenzbedrohenden Situation ausgesetzt sahen, dazu braucht es nicht allzu viel Phantasie.
Und selbst wenn das eigene Unternehmen nicht gezielt attackiert wird, so reicht doch die „normale“ Ransomware aus, um ein erhebliches Geschäftsrisiko zu generieren: Wer will sich schon darauf verlassen, dass gegen Zahlung der 500 Dollar Lösegeld die verschlüsselten Daten auf dem Server wieder entschlüsselt werden? Ganz abgesehen von der Gefahr einer technischen Störung oder der eventuell tagelangen Betriebsunterbrechung.
Um Ransomware im Unternehmen zum Opfer zu fallen, braucht es nicht viel. Nachfolgend einige Beispiele aus der Praxis:
Dieses eine Windows-XP-System, auf dem eine spezielle Software läuft und das man daher nicht abschalten kann.Der Laptop, den der Vertriebsmitarbeiter oder Geschäftsführer regelmäßig mit nach Hause nimmt, wo er sich im Heimnetz anmeldet und durch den Spielecomputer des Sohnes infiziert wird.Der Vertriebsleiter, der sein Notebook auf Reisen ins Hotel-WLAN einloggt und vom Rechner eines anderen Hotelgastes attackiert wird.Der USB-Stick mit der wichtigen CAD-Zeichnung des Kunden, der in der Konstruktionsabteilung eingelesen wird und eine Ransomware im Huckepack ins lokale Netzwerk trägt.

Otto-Normalmitarbeiter, der morgens immer dieselbe Webseite ansurft, auf der es aktuelle Nachrichten über sein Hobby zu lesen gibt. Die Webseite finanziert sich durch Werbung und zeigt an einem bestimmten Morgen die von Cyberkriminellen gebuchten Werbeanzeigen an. Genau: Diese Werbeanzeigen enthalten Schadcode, der das System durch das reine Ansurfen der Webseite infiziert.
Insbesondere die letztgenannte Infektionsmöglichkeit bereitet massiv Grund zur Sorge. Auch wenn der Spuk der Verbreitung von Schadsoftware durch die bekannten Werbenetzwerke zumeist nach wenigen Stunden entdeckt und unterbunden wird: Ganz offensichtlich erreicht man auf diesem Wege so viele attraktive Angriffsziele, dass Cyberkriminelle es immer wieder versuchen. Ebay, T-Online, arcor.de: Auch deutsche Anbieter sind 2015 Ziel solcher Schadsoftware-Verbreitungskampagnen geworden.
Mit anderen Worten: Früher genügte eine einigermaßen ausgeprägte Risikobereitschaft des Geschäftsführers („bei uns passiert schon nichts!“) und eine ebenso ausgeprägte Skepsis gegenüber Dateianhängen aus in schlechtem Deutsch geschriebenen E-Mails. Heute jedoch kann man sich allein durch den Einsatz des gesunden Menschenverstands und rudimentärer Schutzmechanismen wie Firewall und Antiviren-Software nicht mehr sicher fühlen.
Im Gegenteil: Es stellt sich nicht mehr die Frage, ob man einer Schadsoftware zum Opfer fällt, sondern wann. Und wie hoch der entstandene Schaden sein wird. Spezielle Versicherungen zur Absicherung von Cyber-Risiken gibt es zwar, doch sind diese häufig für den kleineren Mittelstand nicht wirtschaftlich. Darüber hinaus werden umfangreiche Schutzmaßnahmen vorausgesetzt; man kann sich also auch mit einer Versicherung nicht davor entziehen, aktiv zu werden. Selbst wenn eine Versicherung bestünde, sind einige Risiken schlichtweg nicht versicherbar: Allen voran der vorsätzliche Eigenschaden, also z.B. die mutwillige Datenlöschung durch den gekündigten Mitarbeiter. Ebenso wenig lässt sich der Verlust eigenen geistigen Eigentums versichern, was nicht nur den Quellcode eines Softwareherstellers betrifft, sondern auch die Konstruktionszeichnungen des Maschinenbauers, die Grundrisse des Architekturbüros oder die Fotos, Artikel und Reportagen der Nachrichtenredaktion. Andere Eigenschäden sind zwar mitversichert, haben jedoch so niedrige Schadenssummen, dass der „worst case“, also der existenzbedrohende Datenverlust, darüber nicht kompensiert werden kann.
Was also ist zu tun?
Ziel einer nachhaltigen Abwehrstrategie von Cyberrisiken muss es sein, das Schutzniveau im Unternehmen signifikant anzuheben. Der klassische Risikomanagement-Kreislauf sieht vier Schritte vor. Aus Platzgründen möchte ich nachfolgend nur auf die Möglichkeiten zur Risikobewältigung eingehen.
Auch wenn jedes Unternehmen einen unterschiedlichen individuellen Schutzbedarf hat: In aller Regel wird man eine mehrstufige Abwehrstrategie umsetzen. Vereinfacht ausgedrückt, wird die technische Abwehr in mehreren Schichten aufgebaut, zum Beispiel, indem man einen Virenschutz sowohl am Arbeitsplatz als auch an der Unternehmens-Firewall aktiviert. Die Firewall sollte außerdem über leistungsstarke, reputationsbasierende Inhaltsfilter und eine Applikationskontrolle verfügen, darüber hinaus eine Eindringungserkennung und idealerweise eine Technologie zur Erkennung von unautorisiertem Datenabfluss bieten.
Der Arbeitsplatz steht in einem besonderen Fokus: Neben seiner Einbindung in oben skizzierte, mehrschichtige Abwehr müssen das Betriebssystem und die installierten Programme stets aktuell gepatcht sein. Dem Browser sollte man eine erhöhte Aufmerksamkeit widmen, da sich Schadprogramme gezielt Browser-Erweiterungen als Einfallstor aussuchen. Dem Browser-Wildwuchs im Unternehmen Einhalt zu gebieten wird besondere Anstrengungen erfordern. In diesem Punkt ist erfahrungsgemäß mit Widerständen seitens der Mitarbeiter zu rechnen, weil jeder einen bestimmten Browsertyp bevorzugt, der sich nicht unbedingt mit der Festlegung des Unternehmens decken muss.
Viele Unternehmen behandeln die Absicherung der Server stiefmütterlich: Da wird der Antivirenschutz gerne mal deinstalliert, weil die Anwender sich über eine schlechte Performance beschweren. Streng nach der alten Prämisse „never touch a running system“ werden Updates nicht zeitnah installiert, der anschließend notwendige Reboot wird aufs kommende Wochenende geschoben oder bleibt gleich ganz aus. Weil der Zugriff auf die Server zumeist über Fernzugriff erfolgt, bleibt der Administrator am System dauerhaft angemeldet und sperrt nach Gebrauch lediglich die Sitzung – was hier und da sogar noch unterbleibt, so dass eine Ransomware leichtes Spiel hat und maximalen Schaden anrichten kann.
Hier gilt es gegenzusteuern und sowohl interne Administratoren als auch externe Dienstleister zu sensibilisieren. Insbesondere darf das Management die IT-Fachkräfte nicht in eine Zwickmühle zwischen Sicherheit und Funktionalität manövrieren. Dazu bedarf es einer unzweideutigen Aussage seitens der Geschäftsleitung, dass für die Beseitigung von neu auftretenden Sicherheitsrisiken jederzeit Budget beantragt bzw. bewilligt werden kann. Im Extremfall kann man dieses Bekenntnis zur Gefahrenabwehr noch dadurch untermauern, dass faule Kompromisse zulasten der Sicherheit arbeitsrechtlich sanktioniert werden.
WLANs und VPN-Zugänge sind so abzusichern, dass sie auch bei einem jederzeit denkbaren Identitätsdiebstahl nicht kompromittiert werden können. Das kann z.B. durch eine Zwei-Faktor-Authentifizierung geschehen.
Einige Sicherheitsmaßnahmen wie etwa die „Härtung“ von Servern und Arbeitsstationen durch eine restriktive Vergabe von Benutzerrechten sind fallweise zu prüfen. Manche Maßnahmen, wie z.B. die Ausführung von EXE-Dateien und JavaScripts in temporären Systemordnern mittels Gruppenrichtlinien zu unterbinden, schützen nur vor einem geringen Teil von Ransomware; besonders die neueste Generation von Cryptolockern ist gegen Vorkehrungen dieser Art immun.
Unersetzliche Komponente in einem wirksamen Schutzkonzept ist die penible Umsetzung eines hierarchischen Datensicherungsplans. Zur Abwehr von Ransomware darf nicht vergessen werden, den Zugriff auf die gesicherten Daten auf ein dediziertes Dienstkonto zu beschränken. Idealerweise ist selbst dem Netzwerkadministrator-Konto der Zugriff auf die meist auf einem Netzwerkspeicher (NAS) abgelegte Datensicherung verwehrt. Neben der lokalen Sicherung, falls vorhanden in einen anderen Brandabschnitt, muss immer auch eine Sicherung räumlich getrennt aufbewahrt werden. Früher hat der IT-Verantwortliche oder der Unternehmensinhaber die leicht zu transportierenden Datensicherungsbänder mit nach Hause genommen. Heute chauffiert man externe Festplatten von A nach B. Dieser manuelle, fehleranfällige und wegen oft fehlender Verschlüsselung unsichere Prozess kann mit zeitgemäßer Datensicherungs-Software vollautomatisiert werden. Die Daten lassen sich – verschlüsselt und hochgradig komprimiert – über das Internet zu einem anderen Unternehmensstandort replizieren oder in der Cloud speichern. Diese Praxis funktioniert selbst außerhalb von Ballungszentren und den dort vornehmlich anzutreffenden Internet-Anbindungen mit geringer Bandbreite.
Ebenso wichtig wie die Wahl und Absicherung des Datensicherungs-Speicherortes ist die Möglichkeit, verlorengegangene oder gekaperte Daten schnell wiederherstellen zu können. Um die passenden technischen Voraussetzungen zu schaffen, muss das Management den maximalen Zeitkorridor benennen, den das Unternehmen auf die Nutzung der IT-Systeme verzichten könnte. Außerdem ist festzuhalten, wie viele und welche Daten maximal verlorengehen dürften. Anschließend kann man entweder im eigenen Haus oder bei einem Rechenzentrums-Anbieter Server-Kapazität vorhalten, um im Notfall innerhalb der vorgegebenen Zeitspanne ausgefallene Systeme wieder hochzufahren. Es gibt Anbieter, die diesen „Disaster-Recovery-as-a-Service“ als kostenfreie Zusatzleistung erbringen, wenn man ohnehin schon den eigenen Datenbestand dorthin sichern lässt.
Eine essentielle Grundlage für rasche Reaktionsmöglichkeiten im Desasterfall stellt der Notfallplan dar, der beschreibt, in welchen Schritten bei einem unmittelbar drohenden oder tatsächlichen Datenverlust vorgegangen werden muss, um einerseits den Angriff schnellstens abzuwehren und andererseits die Daten vor Manipulation oder unautorisiertem Abfluss zu schützen und schlussendlich den alten Status Quo wiederherzustellen. Dieser Notfallplan verdient seinen Namen erst dann, wenn er – regelmäßig – auf seine Funktion hin getestet wird. In Zeiten der Cloud und virtualisierter Server-Landschaften darf es die Ausrede nicht mehr geben, dass für einen Live-Test die nötige Hardware fehlt, weil die Produktiv-Umgebung schließlich nicht abgeschaltet und verändert werden darf.
Schwierig gestaltet sich in der Praxis die organisatorische Umsetzung der aufgeführten Maßnahmen. Die Sensibilisierung und Schulung der Mitarbeiter mag noch reibungslos vonstattengehen; spätestens dann, wenn man den Angestellten (und dem Management) liebgewonnene Privilegien wie etwa das unbegrenzte Installieren von Apps auf ihren Systemen entzieht, droht Unmut und schlimmstenfalls die Torpedierung des gesamten Abwehrkonzepts. Auch die Durchsetzung von zu restriktiven Passwort-Richtlinien ohne entsprechende Sensibilisierung kann zu einer inneren Verweigerungshaltung führen, die jegliche Aufwendungen in technische Maßnahmen wirkungslos werden lässt, denn die Sicherheits-Kette ist nur so stark wie ihr schwächstes Glied.
Abschließend kann festgehalten werden, dass die aktuellen Entwicklungen im Bereich von Ransomware und anderer Schadsoftware die Unternehmensführung zu entschlossenem Handeln motivieren sollten. Natürlich ist ein wirksames Schutzkonzept nicht zum Nulltarif zu haben. Natürlich ist es auch richtig, dass das Unternehmen mit Investitionen in IT-Sicherheit in aller Regel keine zusätzlichen Erträge erzielt. Die neue Maschine, der zusätzliche Mitarbeiter bringen allemal mehr Produktivität und somit Wachstum im Unternehmen als ein IT-Sicherheitskonzept.
Die Frage muss daher lauten: Wie hoch ist der mögliche Schaden, den Ransomware und anderer digitaler Unrat im Unternehmen anrichten kann? Nicht selten endet ein schwerer Sicherheitsvorfall als Super-GAU: Ca. ein Drittel aller Unternehmen, die einen großen Datenverlust hinnehmen mussten, haben innerhalb von 24 Monaten Insolvenz angemeldet. Dieser Ausblick sollte Motivation genug sein, um sich bei der nächsten Strategieplanung mit dem Thema eingehend zu beschäftigen.