Präventiver IT-Schutz
Im Gespräch mit Uwe Lührig, Vorsitzender des neuen Vereins „Cyber-Sicherheit Niedersachsen“Mein Münden: Herr Lührig, Sie geben kleinen und mittelständischen Unternehmen Tipps zu vorbeugenden Maßnahmen zum Schutz vor Cyberangriffen. Was sind die drei wichtigsten Schritte, um das eigene Unternehmen „cybersicher“ zu machen?
Uwe Lührig: Die Beschäftigten und insbesondere das Management sind zum Thema „Cybersicherheit“ zu sensibilisieren. Informationssicherheit sollte eine strategische Aufgabe sein und damit in der Verantwortung der Unternehmensleitung liegen. Nur wer um die Bedrohung weiß und sich dessen bewusst ist, kann sich auch entsprechend verhalten/schützen. Die Unternehmensleitung sollte analysieren und definieren, welche Daten des Unternehmens besonders schützenswert und für den Unternehmenserfolg entscheidend sind. Diese Daten müssen dann einem besonderen Schutz unterliegen; der Zugriff auf diese Daten ist über ein klar definiertes Berechtigungskonzept zu regeln. Es sind regelmäßig Sicherungskopien, sogenannte Backups, anzulegen. Diese gesicherten Daten sind abgeschottet aufzubewahren. Bei den Backups sind fortlaufend der Restore der Backups und die Funktionalität, Konsistenz und Aktualität zu überprüfen.
Mein Münden: Wie muss man sich einen Cyberangriff in der Realität vorstellen: Was passiert im Hintergrund auf den Computern eines Unternehmens und worauf haben es die Täter in den meisten Fällen abgesehen?
Uwe Lührig: Zunächst geht es den Tätern darum, an digitale Identitäten heranzukommen, um damit weitere Straftaten (z.B. Betrugs- oder Erpressungshandlungen) begehen zu können. Um an die digitalen Identitäten zu gelangen, setzen Cyberkriminelle auch im Jahr 2021 auf altbekannte Maleware, allen voran Spam-Mail-Kampagnen und professionelle Phishing-Mails mit maliziösen Office-Anhängen. Die sogenannte Ransomware gehört zu den häufigsten und gefährlichsten Typen von Schadsoftware.
Der Spamversand kann über zuvor kompromittierte oder aber kommerziell angemietete Serverkapazitäten sowie im Darknet erworbene gestohlene legitime E-Mail-Accounts stattfinden. Ist es den Tätern gelungen, mittels einer infizierten E-Mail in das System einzudringen, werden zunächst die Opfersysteme ausgespäht, um an weitere Firmeninformationen bzw. Identitäten zu gelangen bzw. den Opfern mit einer möglichen Veröffentlichung von Daten zu drohen. Anschließend erfolgt die Verschlüsselung der Systeme mit gleichzeitiger Erpressung.
Eine Infektion mit Ransomware und eine damit zusammenhängende Verschlüsselung des Systems kann für jede Art von Unternehmen zu massiven und existenzbedrohenden Geschäfts- bzw. Funktionsunterbrechungen führen.
Mein Münden: Was geschieht mit empfindlichen Daten, wenn ein Unternehmen Opfer eines Cyberangriffes geworden ist und Unternehmens- bzw. Kundendaten entwendet wurden?
Uwe Lührig: Während eines Angriffs scannt z.B. Ransomware nach wichtigen Dateien und verschlüsselt diese. Die Verschlüsselung kann i.d.R. durch die Opfer nicht rückgängig gemacht werden. Somit sind die Daten für die Opfer unbrauchbar. Die Angreifer drohen anschließend, die Daten zu löschen, zu verkaufen oder zu veröffentlichen, wenn kein Lösegeld bezahlt wird.
Mein Münden: Bislang galt die weitläufige Meinung, dass Cyberangriffe überwiegend große, finanzstarke Unternehmen betreffen. Das hat sich mittlerweile geändert. Warum sind inzwischen auch zahlreiche kleine und mittelständische Unternehmen betroffen?
Uwe Lührig: Mittlerweile ist für einen Cyberangriff kein Spezialwissen mehr erforderlich. Im sogenannten Darknet können Spezialisten eingekauft werden. Ransomware-Akteure handeln heute organisiert und arbeitsteilig, sodass sich innerhalb der Cybercrime-Organisation das Ransomware-as-a-Service Modell etabliert hat. Dabei programmiert eine Gruppe von Kriminellen eine Ransomware und heuert weitere Operatoren an, die wiederum die Software auf die Zielsysteme laden. Während sich die organisierte Kriminalität auf Großunternehmen konzentriert hat, können sich nunmehr auch Kleinkriminelle auf diesem Gebiet betätigen. Diese werden sich zukünftig mehr auf kleine und mittelständische Unternehmen konzentrieren, weil eben gerade dort aktuell auch der Schutz der Daten deutlich geringer ist.
Mein Münden: Wenn Arbeitgeber ihre Mitarbeiter für das Thema „Cyberkriminalität“ sensibilisieren wollen, was raten Sie Ihnen und woran erkennt jeder Einzelne frühzeitig, dass er Opfer eines Angriffs geworden ist?
Uwe Lührig: Zunächst muss das Führungspersonal mit gutem Beispiel vorangehen und sich an die ausgearbeiteten Sicherheitsregeln halten. Dann sollte das Thema regelmäßig mit den Beschäftigten besprochen und Kontrollen durchgeführt werden. Die Beschäftigten sollten ein gesundes Misstrauen in der digitalen Welt entwickeln und nicht jede E-Mail, jeden E-Mail-Anhang und jede Verlinkung anklicken. Wenn die Computerprogramme plötzlich langsamer als normal laufen, mit Verzögerungen reagieren oder es zu kurzen Unterbrechungen des Ablaufs kommt, könnte das System befallen sein. Bei einem Befall mit einem Verschlüsselungstrojaner ist äußerste Vorsicht geboten. Schadsoftware infiziert ein Endgerät oder das Netzwerk weiter, wenn andere Programme angewendet werden. Besonders kritisch ist die Eingabe von Passwörtern. Zu Unterlassen sind definitiv u.a. die Anweisung einer Zahlung per Online-Banking. Bei einer tatsächlichen Infektion heißt das oberste Gebot: keine Panik. Zunächst sollten die zuständigen Behörden informiert werden: Ansprechpartner sind hier die Zentralen Ansprechstellen Cybercrime der Polizei – erreichbar über jede Polizeidienststelle oder das LKA Niedersachsen. Sollte aus bestimmten Gründen keine Polizei eingeschaltet werden, können sich die Opfer auch an den „Verein für Cyber-Sicherheit Niedersachsen e.V.“ wenden, der dann die weitere Beratung durchführt. Besteht im Unternehmen keine IT-Abteilung, ist vermutlich ein spezialisiertes IT-Unternehmen hinzuzuziehen. Im weiteren Schritt sollte der Umfang des Problems identifiziert werden: Die Verzeichnisse sind auf infizierte Files zu untersuchen. Ungewöhnliche Dateiendungen sind ein Anzeichen dafür. Im nächsten Schritt geht es darum, den Erpresser-Schädling wieder loszuwerden. Spätestens hier müssen IT-Spezialisten eingesetzt werden.
Wenn allerdings regelmäßig ein umfassendes Backup angelegt wurde (siehe Frage 1), müssen unter Umständen "nur" die Rechner zurückgesetzt, Apps und Programme neu installiert und die Daten wiederhergestellt werden.
Mein Münden: Auch als Privatpersonen hinterlassen wir täglich „Spuren“ im Internet: Beim Online-Shopping, bei Streaming-Anbietern oder einer Newsletter-Anmeldung. Können Sie Tipps geben, wie wir unsere persönlichen Daten vor ungewolltem Zugriff schützen?
Uwe Lührig: Hundertprozentige Sicherheit gibt es im Netz auch dann nicht, wenn Sie all unsere Tipps beherzigen. In der heutigen Zeit ist es kaum möglich, die persönlichen Daten 100%-tig zu schützen. Wir müssen fast überall unsere E-Mail-Adresse angeben oder mit Kreditkarte bezahlen. Hier gilt es auch auf das berühmte Bauchgefühl zu hören. Es ist immer zu prüfen, mit wem kommuniziert wird. Hat man ein ungutes Gefühl, sollten keine personenbezogenen Daten bzw. Daten der Kreditkarte hinterlassen werden. Zur Not muss auf ein vermeintliches „Schnäppchen“ verzichtet werden.
Die wichtigste Regel: Klicken Sie nicht auf Links in Mails, wenn Sie nicht absolut sicher sein können, dass der Absender der ist, der er zu sein vorgibt. Solche Links führen oft zu gefälschten Seiten, die aussehen wie bekannte Internetportale. Dort werden Sie aufgefordert, Ihre Anmeldedaten einzugeben, damit die Phisher sie abgreifen können. Außerdem sollten Sie nicht auf Mails antworten, die nach Ihren Passwörtern oder Zahlungsdaten verlangen. Seriöse Firmen würden so sensible Daten nicht über E-Mails abfragen. Dann sollten in regelmäßigen Abständen die Passwörter geändert werden, insbesondere beim E-Mail-Postfach. Für jedes Online-Portal ist ein anderes Passwort festzulegen.
Mein Münden: Wir sprechen häufig davon, dass uns das Internet zum „Gläsernen Menschen“ gemacht hat. Wie ist ihre persönliche Einschätzung dazu?
Uwe Lührig: Ich habe von einem Bericht über ein Video des britischen „Guardian“ gelesen, in dem das Leben eines Mitarbeiters auf Grundlage von frei verfügbaren Daten aus sozialen Netzwerken wie u.a. Facebook ausspioniert wurde. Von Facebook-Nutzern gepostete Fotos enthalten oft die Breiten- und Längengrade ihres Entstehungsorts, bis auf den Meter genau - geliefert hat sie das Smartphone des Fotografen.
„Wir werden jetzt einen unserer Angestellten aufspüren“, berichtet der Reporter des Guardians im Video, und innerhalb von ein paar Minuten und ein paar Klicks breitet er das gesamte Leben von Mitarbeiter „Nick“ auf dem Bildschirm aus (aber mit dessen Zustimmung): Wie Nick aussieht, wer seine Freunde sind, wo er sich wann aufhält – und wo er sich wann mit großer Wahrscheinlichkeit in Zukunft aufhalten wird: „Wollen Sie Nick erwischen, oder wollen Sie seinen Laptop in die Finger bekommen, dann sollten Sie an einem Montagabend um 18 Uhr Nicks Fitnessstudio einen Besuch abstatten“.
Wie offen jeder Mensch ist, der im Internet surft oder auf bestimmten Portalen einkauft, erkennt man daran, dass geschmackssichere Kaufvorschläge per E-Mail zugesandt oder für bestimmte Orte Hotelzimmer angeboten werden. Insofern, ja, das Internet macht uns zum „gläsernen Menschen“, je mehr wir im Internet surfen und Informationen von uns preisgeben, desto ungeschützter werden wir als Person.
Deshalb sollte jeder Internetuser stets im Blick haben, welche Daten im Internet bekanntgegeben werden. Das Internet vergisst niemals und nichts. Bilder, Videos, Aussagen bleiben erhalten und können Jahre später noch, z.B. bei einer Bewerbung, angesehen werden.
Behörden unterliegen bei der Datensammlung einer gesetzlich vorgegebenen Löschungsfrist. Diese Frist gibt es im Internet nicht.
Aufsehenerregende Cyberangriffe 2021
Im August des vergangenen Jahres haben beispielsweise unbekannte Hacker eine Schwachstelle in der Fernzugriffs- und Wartungssoftware VSA des US-amerikanischen Unternehmens Kaseya ausgenutzt, um bei deren Kunden die VSA-Server mit Ransomware zu befallen. Kaseya hatte zu diesem Zeitpunkt etwa 36.000 Kunden. Darunter waren auch einige Dienstleister, weshalb es zu einem Dominoeffekt kam und auch deren Kunden teilweise von diesem Cyberangriff betroffen waren. Letztlich wurden so 800–1500 Unternehmen aus etwa 17 Ländern Opfer der Cyberattacke.
Die Landkreisverwaltung Anhalt-Bitterfeld hat den Katastrophenfall ausgerufen, nachdem ihr Netzwerk durch den Befall von Ransomware zum Großteil lahmgelegt wurde. Nach dem Angriff wurden alle kritischen Systeme vom Netz getrennt, um einen weiteren Datenabfluss zu verhindern. Die Landkreisverwaltung war damit größtenteils nicht arbeitsfähig. Der Katastrophenfall wurde ausgerufen, weil viele finanzielle Belangen von Bürgern betroffen waren. Darunter fallen etwa die Auszahlung der Sozialhilfe oder die Jugendhilfe. Die Angreifer haben Lösegeld gefordert.
Durch menschliches Versagen wurden die Daten von 13.000 Bürgern der Stadt Essen, die sich für eine Corona-Schutzimpfung angemeldet hatten, per E-Mail an 700 Empfänger versendet. Der Landesdatenschutz wurde daraufhin informiert und die 700 Empfänger wurden gebeten, den Irrläufer zu löschen. Eigentlich sollten die 700 Empfänger lediglich darüber informiert werden, dass sie aufgrund verkürzter Öffnungszeiten einen anderen Termin wahrnehmen sollen.
Die Empfänger-Liste wurde aus einer Excel-Datei generiert, allerdings wurden die Daten aus dieser Datei vor dem Absenden der E-Mail nicht wieder entfernt. So wurden Namen, Anschrift und Geburtsdatum, vielfach auch Telefonnummer und E-Mail-Adresse sowie der Impfstatus zahlreicher Bürger weitergegeben.