IT-Sicherheit: Mit Probealarm gegen Hacker rüsten

10.11.2016 10:05

IT-Sicherheit: Mit Probealarm gegen Hacker rüsten

Attacken durch sogenannte Ransomware werden für immer mehr Unternehmen zum Sicherheitsrisiko. Erpressertrojaner verschlüsseln Unternehmensdaten und behaupten, sie nach Lösegeldzahlungen wieder freizugeben. Mit simulierten Angriffen lässt sich die IT-Sicherheit von Unternehmen überprüfen.

Es war ein Februarmorgen dieses Jahres, als die Angestellten eines Krankenhauses in Los Angeles zurück in die Vergangenheit katapultiert wurden: Wichtige medizinische Geräte funktionierten plötzlich nicht mehr, die elektronische Kommunikation war tot, Patientendaten aus der Datenbank nicht mehr lesbar. Was war passiert? Hacker hatten das Krankenhaus-Netzwerk mit einer sogenannten Ransomware infiziert. Das sind Krypto- oder Erpressungstrojaner, die zentrale Daten und Anwendungen verschlüsseln oder stehlen. „Zahlt oder Ihr seht Eure Daten nie wieder“, drohten die Erpresser.

Und während die Angestellten des Krankenhauses Patientendaten wieder mit Stift und Papier anlegen mussten und Patienten ihre Befunde nicht mehr per Mail zugestellt werden konnten, hat das FBI nur eine allgemeine Empfehlung: Zahlt. Ende vom Lied: Die Verschlüsselung war zu gut, das Krankenhaus zahlte und bekam seine Daten zurück. Alles weit weg? Keineswegs. Nach einer Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus diesem Jahr schätzen hierzulande 60 Prozent der befragten Institutionen, dass Lösegeld-Trojaner eine wachsende Bedrohung für sie ist. Ein Drittel der Befragten räumte ein, in den vergangenen sechs Monaten Opfer einer Attacke geworden zu sein.

Cyber-Attacken immer zielgerichteter

Anders als in den USA raten deutsche Behörden zwar davon ab, den Forderungen der Erpresser nachzukommen – an der Ausgangslage ändert das aber nichts. Und die Angreifer lernen dazu: Waren bis vor einigen Jahren „elektronische Flächenbombardements“ mit entsprechend großen Streuverlusten noch der Regelfall, wie der BSI-Präsident Arne Schönbohm vor wenigen Tagen sagte, so seien Cyber-Attacken heute wesentlich genauer und damit auch erfolgreicher.

„Für die Unternehmen bedeutet das, dass am Anfang einer individuellen Abwehrstrategie immer die Frage nach dem Wert der eigenen Daten stehen sollte“, sagt Hans-Peter Fischer, Partner bei KPMG Deutschland. Dabei sei die Annahme, dass es das eigene Unternehmen schon nicht erwischen werde, leider oftmals eine trügerische Hoffnung. „Man muss nicht Branchenführer sein, um ins Visier zu geraten. Auch das Gegenteil kann eintreten: Je zielgerichteter Angreifer vorgehen, umso besser wissen sie häufig um die Schwachstellen ihrer Opfer. Und Kleinere waren schon immer die leichteren Opfer, da sie nicht dieselben Möglichkeiten wie die Großen haben, ihre Schwächen zu beheben.“

Was also tun? „Mehr Aufmerksamkeit“ ist in vielen Unternehmen das Wort der Stunde. Knapp 450 der vom BSI Befragten teilten mit, dass sie mehr Aufwand in Mitarbeiterschulungen investieren würden. In anderen Häusern setzt man auf rein technische Abwehrmaßnahmen, verbessert Virenschutzprogramme, beauftragt Dienstleister oder stampft ganze operative Einheiten neu aus dem Boden.

Andere Experten sehen einen Zusammenhang zwischen den ansteigenden Erpressungs-Attacken mit dem Boom digitaler Kryptowährungen wie Bitcoin. Der Grund ist klar: Anders als bei klassischen Geldübergaben sind diese Überweisungen viel leichter zu anonymisieren. Sollten also Unternehmen einen Vorrat an Bitcoin und Co. anlegen? „Natürlich nicht“, sagt Fischer. „In den Abteilungen für Informationssicherheit muss man wegkommen vom ‚Was-wäre-wenn-Denken‘. Die wirklich wichtigen Erkenntnisse erfährt man leider erst im Falle eines Angriffes. Wie gut greifen die Maßnahmen ineinander, wie reagiert das Team, was passiert wirklich?“

Mehr Sicherheit durch simulierte Angriffe

Für diese Erkenntnisse empfiehlt Fischer einen Mechanismus, wie er aus der Finanzwelt bekannt ist: einen Stresstest. Ein solcher Cybersecurity-Stresstest ist ein simulierter Angriff auf die IT-Struktur eines Unternehmens, „die echte Übung für den Ernstfall, quasi“, sagt Fischer. Dabei werden die Teilnehmer mit einer Attacke konfrontiert, die sie mit den tatsächlich zur Verfügung stehenden Mitteln abzuwehren haben. Maßgeblich sei, so Fischer, die Risikoanalyse des Unternehmens; die Einschätzung, welche Bereiche besonders gefährdet sind – und folglich einmal im Test überprüft werden sollen.

„Die Erfahrung zeigt, dass insbesondere bei der Aufgabenverteilung und Verantwortungsübernahme innerhalb des Teams deutliche Messwerte abzuleiten sind. Außerdem lässt sich die Qualität der dokumentierten Prozesse erkennen, potentielle Schwachstellen werden aufgedeckt“, sagt Fischer.

Auf dieser Grundlage wiederum könnten dann, so Fischer, Empfehlungen zu weiteren Maßnahmen gegeben werden, die einen tatsächlichen Angriff in einem gleichen oder ähnlichen Szenario verhindert oder wenigstens abgeschwächt hätten.

„Absolute Gewissheit gibt es zwar nie. Aber Gewissheiten sind immer auch Annäherungen an Situationen, die sich aus in der Vergangenheit gemachten Erfahrungen speisen“, sagt Fischer. Und zu den zentralen Erfahrungen gehört auch diese: Was in den USA möglich ist, ist in den meisten Fällen etwas später auch in Deutschland möglich. Und manchmal sogar gleichzeitig: Als in Los Angeles im Februar die IT-Struktur des Krankenhauses zusammenbrach, passierte in einigen Krankenhäusern in Nordrhein-Westfalen dasselbe.

 

Angebote Consulting bei KPMG