IT-Sicherheit

IT-Sicherheit: Tipps und Tricks

Das rasante Wachstum der digitalen Wertschöpfung stellt Unternehmen und ihre Kunden vor immer größere Herausforderungen. Fast wöchentlich liest man von neuen Cyberangriffen – laut einer repräsentativen Studie des Digitalverbands Bitkom wurden 53 Prozent der deutschen Unternehmen bereits aus dem Internet angegriffen. Wie können sich Unternehmen schützen? Welche Angriffsformen gibt es? Welche Präventionsmaßnahmen sind nötig? Wie kann die Polizei unterstützen? In welchen Fällen ist eine Cyberversicherung sinnvoll?

ENISA Threat Landscape Report – Die wichtigsten Empfehlungen

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat ihren zehnten Bericht zum Stand der Bedrohungslandschaft im Bereich der Cybersicherheit für den Zeitraum Juli 2021 bis Juli 2022 veröffentlicht. Die wichtigsten Hauptgefahren sind alte Bekannte. Wie das BSI schätzt auch ENISA Ransomware als die größte Gefahr ein, ebenso Malware, die über sogenannte Zero-Day-Schwachstellen eingespielt wird.
Der ENISA Bericht zeigt nicht nur die massgeblichen Bedrohungen auf. Er gibt auch konkrete Empfehlungen für die wichtigsten Bereiche, u. a. für Social Engineering:
  1. Überprüfen und aktualisieren Sie Ihre Reaktionspläne auf Zwischenfälle zur Anpassung an die neuen Trends bei Social-Engineering-Angriffen.
  2. Verschaffen Sie sich einen Überblick über den digitalen Fussabdruck Ihrer Organisation und aktualisieren Sie diese Informationen regelmässig. Im Idealfall erfolgt diese Aktualisierung automatisch, und Änderungen im digitalen Fussabdruck lösen eine Warnung für weitere Ermittlungen aus.
  3. Ernennen Sie eine Person innerhalb Ihrer Organisation, die regelmässig OSINT-Recherchen über Ihre Organisation durchführt (in der Rolle eines „Aussenstehenden“).
  4. Registrieren Sie präventiv Domains, die dem Namen Ihrer Organisation ähneln, einschliesslich alternativer TLDs. Überprüfen Sie die Domäneneinstellungen der Organisation regelmässig, um Anti-Spoofing- und Authentifizierungsmechanismen zum Filtern von E-Mails zu unterstützen.
  5. Passen Sie Ihre Sensibilisierungsschulungen an die neuen Social-Engineering-Trends an. Erwägen Sie massgeschneiderte Schulungen, die sich auf die Personal-, Vertriebs- und Finanzabteilungen konzentrieren. Ziehen Sie auch spezielle Schulungen für IT- und Sicherheitspersonal in Betracht.
  6. Stellen Sie sicher, dass die Infrastruktur Ihrer Organisation, in der Social-Engineering-Angriffe entdeckt werden können, „forensisch bereit“ ist, d. h., dass die relevanten Protokolle mit ausreichenden Details gesammelt werden, um Untersuchungen zur Reaktion auf Vorfälle zu unterstützen. Die Protokolle sollten vollständig, zuverlässig, genau und konsistent sein.
  7. Erweitern Sie die Anwendungsfälle für die Überwachung über die Grenzen Ihres Netzwerks hinaus und schliessen Sie die Überwachung von Domänen und Zertifikaten ein, die den „Assets“ der Organisation ähneln. Nehmen Sie in diese Überwachungsanwendungsfälle auch die Erkennung von Anzeichen für Datenverstösse, die für Ihr Unternehmen relevant sind, dazu.
  8. Nutzen Sie Bedrohungsdaten zur Erkennung von Social-Engineering-Operationen und wenden Sie diese Informationen automatisch für die Verhinderung von Eindringlingen in das Netzwerk, den Internetzugang und die E-Mail-Filterung an.
  9. Abonnieren Sie einen Feed mit ausgestellten Zertifikaten (Zertifikatstransparenz-Feed) und schlagen Sie bei Namen Alarm, die dem Namen oder den Werten Ihrer Organisation ähneln. Überwachen Sie neu ausgestellte Domains auf Namen, die dem Namen Ihrer Organisation oder Ihrer Vermögenswerte ähneln. Abonnieren Sie Warnungen von Websites zur Überwachung von Datenschutzverletzungen. Abonnieren Sie Warnungen, wenn Vermögenswerte Ihrer Organisation in kriminellen Foren veröffentlicht werden. Erwägen Sie den Einsatz des AIL-Frameworks.
  10. Setzen Sie Erkennungsregeln ein, die beim Vorhandensein (oder Öffnen) von Disk-Image-Dateien auf Systemen warnen, auf denen diese Dateitypen üblicherweise nicht vorhanden sind.
  11. Erzwingen Sie Einstellungen für die Benutzerzustimmung, damit Benutzer nicht zustimmen können, den Zugriff von Drittanbieteranwendungen zu erlauben. Erlauben Sie nur Anwendungen von verifizierten Anbietern oder für bestimmte, risikoarme Berechtigungen.
  12. Führen Sie routinemässige Überprüfungen der Mailserver-Konfigurationen, der Mail-Einstellungen der Mitarbeitenden und der Verbindungsprotokolle durch. Konzentrieren Sie Ihre Bemühungen auf die Identifizierung der Mail-Weiterleitungsregeln der Mitarbeitenden und die Erkennung anormaler Verbindungen zu Mail-Servern.
  13. Verwenden Sie E-Mail-Sicherheitsfunktionen, die einen Benutzer benachrichtigen, wenn eine E-Mail von einem Benutzer gesendet wird, mit dem er zuvor nicht interagiert hat.

Wie werden Unternehmen zum Ziel von Cyberangriffen?

Zu unterscheiden sind gezielte und ungezielte Angriffe gegen Unternehmen.
  • Bei gezielten Angriffen haben die Täter bestimmte Unternehmen als Angriffsziel ausgemacht und investieren häufig viel Aufwand und Know-how, um in genau diese Unternehmen eindringen zu können. Gegen solche Angriffe kann sich ein Unternehmen nur schwer schützen. Diese Art von Angriff ist allerdings deutlich seltener als ungezielte Angriffe.
  • Deutlich häufiger kommt es zu ungezielten Angriffen, gegen die sich Unternehmen mit einigen Sicherheitsvorkehrungen und Awareness-Schulungen für Mitarbeitende schützen können. KMUs sind eher von solchen “Streubomben” betroffen, also Massenangriffe, z.B. über E-Mails, die durch unbedachtes Anklicken von Links oder Herunterladen von Anhängen eine Schadsoftware installieren. Weitere Informationen und Schutzmaßnahmen zu einzelnen Angriffsformen finden Sie hier.

Wie können meine Mitarbeitenden zur IT-Sicherheit beitragen?

Neben technischen Möglichkeiten ist die Mitarbeitendensensibilisierung ein wichtiger Faktor für die IT-Sicherheit. Beispielsweise wurden in den letzten Jahren gerne Bewerbungsschreiben fingiert und mit Anhängen versandt, die Schadsoftware enthielten. Die Personalabteilung muss entsprechend behutsam mit solchen E-Mails umgehen bzw. Möglichkeiten haben, diese Mails in einem geschützten Bereich ohne Zugang zum gesamten Unternehmensnetzwerk zu prüfen. Eine regelmäßige Schulung aller Mitarbeitenden ist daher unerlässlich. Insbesondere, da die Täter immer neue Wege entwickeln, um authentisch wirkende E-Mails zu versenden.
Sie möchten eine kostenfreie Awareness-Schulung für Ihre Mitarbeitenden vereinbaren? Die Zentrale Ansprechstelle Cybercrime im LKA Hamburg bietet solche Vorträge für Hamburger Unternehmen an.

Wo kann ich als kleines Unternehmen anfangen?

Es gibt sehr umfangreiche Richtlinien wie zum Beispiel den IT-Grundschutz der Behörde für Sicherheit in der Informationstechnik (BSI).
Mit dem Sec-O-Mat Transferstelle IT-Sicherheit im Mittelstand (TISiM) können Sie kostenfrei prüfen, wo Sie und Ihr Unternehmen beim Thema IT-Sicherheit stehen. Im Anschluss an einen kurzen Fragebogen stehen Ihnen individuelle Aktionspläne, Checklisten und Hilfestellungen zur Verfügung, um Ihr Unternehmen gegen potenzielle Angriffe zu schützen.
Gerade für Unternehmen ohne eigene IT-Expertise kann es gegebenenfalls hilfreich sein, eine professionelle Beratung hinzuzuziehen. Die Förderprogramme “Hamburg Digital” und „go-digital“ subventioniert bei bestimmten Voraussetzungen (Anzahl der Mitarbeitenden und Umsatzhöhe) eine Beratung zum Thema „IT-Sicherheit“ mit 50% der Beratungskosten.
Oder kommen Sie gerne zu unseren individuellen Kurzberatungen zu IT-Sicherheit für eine kostenfreie Beratung mit einem Experten des Landeskriminalamts Hamburg (LKA)! Im (virtuellen) Einzelgespräch können Sie sich über gängige Angriffsformen und mögliche Präventivmaßnahmen für Ihr Unternehmen informieren lassen. Unser Experte gibt Ihnen auch Tipps dazu, wie im Fall eines erfolgreichen Cyberangriffs gegen Ihr Unternehmen unternommen werden kann. Die Kurzberatungen finden monatlich statt und können hier gebucht werden.

Was tun, wenn mein Unternehmen Opfer eines Angriffes geworden ist?

Die Allianz für Cybersicherheit hat Informationen zur ersten Hilfe bei einem IT-Sicherheitsvorfall zusammengestellt.
Außerdem können Sie sich von der Zentralen Ansprechstelle Cybercrime im LKA Hamburg beraten lassen. Eine Beratung beim LKA verpflichtet Sie nicht dazu, eine Anzeige zu stellen oder Ihren Vorfall publik zu machen. Die Handelskammer organisiert in Kooperation mit dem LKA Hamburg regelmäßig 1-zu-1-Kurzberatungen. Hier können Sie Ihre individuellen IT-Sicherheitsfragen (z.B. sicheres Home Office, Backups, Mitarbeiter-Awareness) mit einem Experten aus der Zentralen Ansprechstelle Cybercrime im LKA besprechen. Die Kurzberatungstermine dauern 20 Minuten und finden virtuell statt. Buchen Sie hier Ihren Beratungstermin!

Welche Leistungen kann ein Unternehmen über eine Cyberversicherung in Anspruch nehmen?

Anders als bei einer Vertrauensschadenversicherung, bei der ein Missbrauch vorliegen und ein Schaden nachweisbar eingetreten sein muss, reicht bei einer Cyberversicherung bereits der Verdacht eines Schadens aus. Häufig berät eine Krisenhotline im Falle eines Angriffs 48 h lang kostenfrei und klärt mit den Unternehmen, was zu tun ist, um den Angriff abzuwehren bzw. Systeme wiederherzustellen. Je nach abgeschlossener Versicherung unterstützt ein IT-Forensiker bei der Schadenserhebung und -begrenzung und unterstützt beim weiteren Vorgehen.
Die Überlegung, eine Cyberversicherung abzuschließen, sollte fester Bestandteil des Risikomanagements eines Unternehmens sein - eine Prävention kann aber auch der Abschluss einer Versicherung nicht ersetzen. Zunächst sollte eine Bestandsanalyse im Unternehmen durchgeführt werden, die bestehenden Risiken aufdeckt und diese mit dem Ziel bewertet werden, sie zu minimieren. Absolute Sicherheit gibt es jedoch nicht. Sicherheit ist kein statischer Zustand, sondern muss als ein Prozess verstanden werden. Beim weiter bestehenden Restrisiko muss ein Unternehmen entscheiden, ob es dieses selbst tragen kann oder der Eintritt das Unternehmen überfordern könnte und dafür eine Versicherungslösung sinnvoll ist.
Für die Versicherungswirtschaft ist der Bereich der Cyberversicherungen ein neues Betätigungsfeld und daher fehlen derzeit sowohl viele wichtige statistische Daten als auch einschlägige Urteile in Streitfällen. Insbesondere Fragestellungen zu den Obliegenheiten des Versicherungsnehmers sollten daher sehr genau erörtert werden.

Soll ich eine Straftat zur Anzeige bringen?

Betroffene Unternehmen sollten auf jeden Fall Kontakt mit der Polizei, im Idealfall mit der zuständigen Fachdienststelle, aufnehmen und den Vorfall schildern. Da die Ermittlungen im Bereich Cybercrime aus verschiedenen Gründen oftmals sehr schwierig sind, rät die Polizei dringend, sich im Vorfeld bestmöglich zu schützen. Neben der Strafverfolgung kann die Polizei betroffene Unternehmen unterstützen, einen aktuellen Angriff einzuschätzen und bspw. versuchen, die Herkunft oder den Infektionsweg zu identifizieren. Im Vorfeld berät die „Zentrale Ansprechstelle Cybercrime“ Unternehmen unabhängig und kostenfrei zu Präventionsmaßnahmen.
LKA 543
Zentrale Ansprechstelle Cybercrime
Bruno – Georges – Platz 1
22297 Hamburg
Telefon: 040 4286 754 55
E-Mail: zac@polizei.hamburg.de

Soll ich auf Lösegeldforderungen eingehen?

Eine allgemeingültige Antwort zu geben, ist schwer. Wenn der Datenverlust verschmerzbar ist, weil es z.B. ein aktuelles Backup gibt, sollten Unternehmen nicht auf die Forderungen eingehen. Falls der Datenverlust zu hohen Schäden wie Betriebsausfällen führt, muss ein Unternehmen abwägen, ob es auf die Lösegeldforderung eingeht. Lösegelder werden oft in Bitcoins gefordert. Es ist ratsam, dass sich Unternehmen im Vorfeld informieren, wie und wo sie im Notfall Bitcoins erhalten. Häufig erhöhen sich die Lösegeldforderungen mit der Zeit, so dass im Bedarfsfall schnelles Handeln erforderlich ist. Selbstverständlich gibt es keine Garantie, dass die Täter nach der Zahlung auch einen Entschlüsselungsschlüssel übersenden, aber aus den bisherigen Erfahrungen stehen die Chancen gut. Auch hier kann die Kontaktaufnahme zur Zentralen Ansprechstelle Cybercrime im LKA Hamburg lohnen, da der Dienststelle einige Tätergruppen und deren Verhalten bei Zahlung von Lösegeldern bekannt ist.

Bürger-CERT bietet Online-Sicherheit für Bürger und kleine Unternehmen

Das Bürger-CERT unterrichtet zeitnah über Sicherheitslücken und andere Gefahren aus dem Internet, beispielsweise über einen kostenfreien Newsletter. CERTs (Computer Emergency Response Teams) befassen sich mit IT-Sicherheit, geben Warnmeldungen und Sicherheitsinformationen heraus und bieten konkrete Hilfestellungen und Unterstützung bei IT-Sicherheitsvorfällen.

Netzwerke und Links

  • Transferstelle IT-Sicherheit im Mittelstand (TISiM) (Link: https://www.tisim.de)
    TISiM – die Transferstelle IT-Sicherheit im Mittelstand bündelt, bereitet praxisnah auf und vermittelt Angebote zum Thema IT-Sicherheit.
  • Allianz für Cybersicherheit (Link: https://www.allianz-fuer-cybersicherheit.de/)
    Die Allianz für Cyber-Sicherheit hat das Ziel, aktuelle und valide Informationen zu Gefährdungen im Cyber-Raum bereitzustellen.
  • Zentrale Ansprechstelle Cybercrime (ZAC) (Link: https://www.polizei.hamburg/cybercrime/6714092/zentrale-ansprechstelle-cybercrime/)
    Die ZAC bietet kostenlos Einschätzungen zu vermuteten Cyberattacken auf Ihr Unternehmen sowie ein umfangreiches Beratungsangebot zu Präventionsmöglichkeiten an.
  • Bundesamt für Sicherheit in der Informationstechnik (Link: https://www.bsi.bund.de/DE/Home/home_node.html)
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt auf seiner Website Informationen u.a. über aktuelle Cyber-Sicherheitswarnungen sowie Empfehlungen bereit.
  • Deutschland sicher im Netz (Link: https://www.sicher-im-netz.de/fuer-unternehmen)
    Informationen zu wirksamen Schutz für Unternehmen mit überschaubarem Aufwand mit dem speziellen Fokus auf Schutzmaßnahmen für kleine und mittlere Unternehmen.
  • Netzwerk für Standortsicherheit Hamburg (Link: http://www.netzwerkstandortsicherheithamburg.de/)
    Das von Experten aus Sicherheitsbehörden und Wirtschaft entwickelte Netzwerk für Standortsicherheit Hamburg bündelt Aktivitäten auf verschiedenen Themenfeldern, unter anderem  IT-Sicherheit und Cybercrime.
  • Initiative Wirtschaftsschutz (Link: https://www.wirtschaftsschutz.info/DE/Home/home_node.html)
    Informationen von Bundessicherheitsbehörden und Wirtschafts- und Sicherheitsverbänden über Gefahrenszenarien sowie praxisnahe Handlungsempfehlungen, um diesen Gefahren entgegen zu wirken.