Überwachung durch Technik - 23. September 2021

Angriffe überstehen

Eine neue Managementdisziplin ist geboren. Im Steuerungskanon der Unternehmensleitung ist zunehmend die Fähigkeit gefordert, mit Verletzungen der Informationssicherheit und insbesondere Cyberangriffen umzugehen. Prävention lautet das Stichwort, um Attacken zu überstehen.

Damit eines von Beginn an klar ist: Jedes Unternehmen ist entweder schon Opfer eines Angriffs geworden, ist gerade in diesem Moment Opfer oder wird es in Zukunft sein. Zu den­ken, dass es das eigene Unternehmen wahrscheinlich nicht treffen wird und wenn, dass die Auswirkungen dann nur mini­mal sein werden, ist in zweifacher Hinsicht falsch. Selbst bei erster in Augenscheinnahme vermeintlich kleiner oder unbe­deutender Angriffe in vielleicht entlegene Bereiche des Unter­nehmens (kleiner Standort mit für den Kernbetrieb unwesent­lichen Anwendungen) können sich diese rasant zu einer enor­men Sicherheitsbedrohung auswachsen. Fast jeder Vorfall ist ein Datenschutzvorfall, der, falsch oder unzureichend beach­tet, Vermögens- und Reputationsschäden, empfindliche Buß­gelder oder Schadenersatzansprüche nach sich ziehen kann.

Gefährdungspotenziale

Die einzelnen IT-Systeme und mit ihren die gesamte IT haben sich über die letzten Jahre zu einer Komplexität enormen Aus­maßes entwickelt. Diese erfordert eine Kompetenzbreite und Kapazität im eigenen Unternehmen oder auch bei den Dienst­leisterinnen und Dienstleistern, die zuneh­mend nicht gegeben sind. Derzeit ist nicht erkennbar, dass sich durch die zunehmen­de Digitalisierung diese Komplexität verrin­gern wird. Das Gegenteil ist der Fall. Durch die zunehmende Auslagerung und Kollabo­ration mit Geschäftspartnern, Dienstleis­tern und Kooperationspartnern holt man sich deren Sicherheitslücken noch in den eigenen Verantwortungsbereich. IT-Syste­me stehen zudem seit Jahren unter einem Preiskampf, der zulasten der Sicherheit geht. Das Mantra, dass IT-Kosten gesenkt werden müssen, beförderte unreife Soft­ware, billige Hardware mit fehlenden Sicherheitsfunktionen oder -Updates und in Fortfolge chronisch unterbesetzte IT-Ab­teilungen. Außerdem hat sich das organisierte Verbrechen in den letzten Jahren gleichermaßen digitalisiert und betreibt hoch professionelle Modelle der Zusammenarbeit. Heute kann man sich über Plattformen Schadsoftware zur Datenverschlüs­selung (Ransomware) mieten und teilt sich partnerschaftlich den Erpressungserlös unter allen Beteiligten, und das nahezu risikolos. Im Darknet werden – ständig wachsend – umfassen­de Datenbestände gesammelt und gut aufbereitet zum Verkauf angeboten. Darunter sind Firmen-Accounts zur Anmeldung, persönliche Informationen zum Profil einer Person (Personal­ausweisdaten, gewöhnliche Standorte, Arbeitszeiten oder Sozialversicherungsdaten), persönliche Logins in diversen Shop-Systemen bis hin zu Bank-Accounts. Diese Datenbestän­de sind ideal, um organisatorische oder technische Sicher­heitssysteme auszuhebeln. Daher lässt sich festhalten, dass das Management eines Unternehmens zunehmend Kompe­tenz in der Steuerung und Überwachung von IT insgesamt und besonders in der damit zusammenhängenden Informationssi­cherheit sowie im Datenschutz benötigt. Leider gibt es hier ebenso Handlungsbedarf wie aufseiten der IT. Wie so oft liegt die Lösung dann in der Prävention, also einer guten Vorberei­tung auf einen entsprechenden Vorfall. Damit die Ausführun­gen nicht zu trocken ausfallen, werden die Bestandteile prä­ventiver Maßnahmen und deren Nutzen an dem typischen Ver­lauf eines Angriffs aufgezeigt.

Einfallstore und Schutzmechanismen

Ein Angreifer hat sich über das Internet Zugang zu einem End­gerät im Unternehmensnetzwerk verschafft. Die Endgeräte, beispielsweise ein Server oder eine Videoüberwachungskame­ra, sind unzureichend abgesichert und wurden bislang kaum gewartet. Schon dieser erste erfolgreiche Schritt des Angrei­fers offenbart eine Vielzahl von Schwächen und somit Hand­lungsbedarf im Unternehmen. Zum einen fehlt möglicherwei­se der Überblick über die Systeme, die aus dem Internet aus erreichbar sind. Das ist häufig dann der Fall, wenn Systeme unzureichend verwaltet werden und aus dem Blick der Verant­wortlichen verschwinden. Ebenso kann dies der Fall sein, wenn es keine definierten und nachvollziehbaren Prozesse für War­tung oder Änderungen im Netzwerk gibt und Alt- oder Testsysteme im Unterneh­mensnetz aktiv bleiben, obwohl sie längst abgeschaltet sein sollten. Gerade der Wartungs- oder Änderungsprozess kann das Schutzniveau im Unternehmen erheblich beeinflussen und daher braucht es hierfür feste Regeln. Unter anderem haben sich so­genannte Informationssicherheitsmanagementsysteme, wie etwa DIN EN ISO/IEC 27001 oder ISIS12, entwickelt. Inner­halb dieser Managementsysteme werden beispielsweise das Führen der Assets und die Prozesse zur Wartung und Ände­rung festgelegt. Auch wenn man nicht vorhat, das Unterneh­men für ein solches System zertifizieren zu lassen, so ist eine analoge Anwendung im eigenen Unternehmen immer ratsam. Zudem entlastet sich das Management rechtlich und daher sind diese Systeme zusätzlich wertvoll. Fehlt in Unternehmen ein regelmäßiger und systematischer Schwachstellentest, also das Erkennen fehlender Updates oder unsicherer Einrichtun­gen beziehungsweise unsicherer Funktionen, ist das ein weite­res Einfallstor. Am Markt sind verschiedene Vulnerability-Scanner verfügbar, die den kompletten IT-Bestand nach Schwachstellen absuchen können. Dies kostet natürlich Geld und erfordert zur Bedienung und Auswertung Kapazitäten. Da maschinell nicht alles getestet werden kann und der menschli­che Angriff immer auch variiert, sind ergänzende manuelle Analysen von Systemen nach aktuellen Angriffsmustern, soge­nannte Penetrationstests, sinnvoll. Auch diese sind oft kosten- und in jedem Fall zeitintensiv. Sollten sich Systeme teilweise in der Betreuung von Dritten befinden oder sind Teile ganz aus­gelagert, stellt sich die Frage, wie das Sicherheitsniveau der Dritten und deren Fähigkeit, Sicherheit zu gewährleisten, zu beurteilen ist. Hier empfiehlt sich ganz klar der Einsatz von Cy­bersecurity-Rating-Systemen.

Sicherheitshinweise ernst nehmen

Der oben skizzierte Angreifer hat seinen Zugang über das Darknet verkauft. Ein weiterer Angreifer, der Käufer, nutzt diesen, loggt sich in das Unternehmensnetzwerk ein, bewegt sich weiter innerhalb des Netzwerks und installiert weitere Schadsoftware und dies an unternehmenssensiblen Stellen. Beispiele sind der Admin-Rechner oder Rechner der Unter­nehmensleitung, die, auch ohne eingeloggt zu sein, die Steu­erung der infizierten Systeme ermöglichen. Zudem lädt der Angreifer wichtige Unternehmensinformationen herunter. Ein spezialisierter Dienstleister hätte gegebenenfalls die Ver­fügbarkeit von Daten im Darknet bemerkt und das Unterneh­men informiert. Ebenso hätten unter Umständen die Log-Systeme die Aktivitäten des ersten Angreifers schon erken­nen können. Aber spätestens bei den Aktivitäten des zweiten Akteurs hätten installierte Schutzinstrumente Alarm schla­gen müssen. Oft wird einem Alarm aber aus Kapazitätseng­pässen oder fehlender Kompetenz heraus nicht weiter nach­gegangen. Gerade die Beurteilung, ob ein Angriff definitiv vorliegt oder es sich um einen Fehlalarm handelt, fällt unge­übten IT-Mitarbeitern häufig schwer. Hier geht wertvolle Zeit verloren, da bisher womöglich noch kein tatsächlicher, ech­ter Schaden entstanden ist. Daher sollte bei jedem Alarm ge­prüft werden, ob es Spuren von Angreifern gibt und wie diese einzuschätzen sind. Es gibt in den Reihen der Sicherheitsinstrumente zwischenzeitlich entsprechende Komponenten, um erfolgreiche Angriffsmuster automatisiert erkennen zu kön­nen. Sogenannte IoC-Scanner (Indicators of Compromise) verhelfen, die Sachlage schnell zu beurteilen.

Notfallkonzept

Spätestens an diesem Punkt ist es wichtig, dass das Unter­nehmen auf das Schlimmste vorbereitet ist. War der Angriff so erfolgreich, dass Notfallmaßnahmen eingeleitet werden müssen, um Schlimmeres zu verhindern? Wer entscheidet, ob ein Notfall vorliegt? Wer ist zu informieren? Wer entschei­det im Notfall und wer handelt konkret? Alles Fragen, die zwingend im Vorfeld geregelt sein sollten. Eine derartige Aufbau- und Ablauforganisation im Notfall regelt ein soge­nanntes Business-Continuity-Managementsystem (BCM) und darin ein explizites Notfallkonzept. Diese definierte Notfallor­ganisation muss regelmäßig an die Anforderungen im Unter­nehmen angepasst werden und deren Ablauf sollte Teil einer regelmäßigen Übung sein. Ansonsten geht bei einem konkre­ten Notfall wertvolle Zeit verloren.

Datenpannen

Zudem ist spätestens in diesem Stadium, wenn nicht schon die Erkenntnisse des ersten Angriffs dazu führen, definitiv von einer datenschutzrechtlich relevanten Panne auszuge­hen. Und das hat konkrete rechtliche Konsequenzen, da über Logfiles erkennbar ist, ob Daten und Informationen das Un­ternehmensnetzwerk verlassen haben. Durch die in der Da­tenschutz-Grundverordnung (DS-GVO) statuierte Frist von 72 Stunden haben die Verantwortlichen eine Meldung an die Aufsichtsbehörden abzugeben. Allein damit weitet sich der Angriff aus, indem die staatliche Aufsicht zwingend einge­bunden werden muss und diese naturgemäß unangenehme Fragen nach dem Einsatz beziehungsweise der Implementie­rung von technisch und organisatorisch notwendigen Maß­nahmen stellt. Dabei steckt in Bezug auf diese Meldung das Problem im Detail. Die Unternehmensleitung als Verantwort­liche im Sinne der DS-GVO muss sich mit dem aus dem An­griff erwachsenden Risiko für die Rechte und Freiheiten na­türlicher Personen auseinandersetzen, entsprechend han­deln und das Ergebnis dokumentieren.

Fazit

Die voranstehenden Ausführungen sollten einen kurzen Ein­blick geben, welche Steuerungsverantwortung im Hinblick auf Cybersicherheit, aber auch Informationssicherheit und Daten­schutz von der Geschäftsführung beziehungsweise Leitung ei­nes Unternehmens in heutiger Zeit gefordert ist.

Mehr dazu

Datenschutz aktuell 2021 – die Datenschutz-Grundverord­nung in der Praxis, Präsenzseminar, www.datev.de/shop/73105

Der zertifizierte Datenschutzbeauftragte in der Kanzlei (TÜV), Präsenzseminar, www.datev.de/shop/78075

Zu den Autoren

MW
Martin Wambach

Wirtschaftsprüfer, Steuerberater und IT-Auditor IDW. Er ist zudem Geschäftsführender Partner und Chief Digital Officer bei Rödl & Partner.

Weitere Artikel des Autors
HH
Hannes Hahn

Partner bei Rödl & Partner und Leiter des Teams „Digital GRC“ sowie Geschäftsführer der Rödl IT Security GmbH.

Weitere Artikel des Autors
FJ
Fabian Jeremias

Rechtsanwalt bei Rödl & Partner sowie zertifizierter Compliance Officer und zertifizierter Datenschutzbeauftragter durch den TÜV Rheinland.

Weitere Artikel des Autors