Die Aushänge zum Verhalten im Brandfall kennt jeder: Ruhe bewahren, Feuerwehr anrufen und mitteilen, was wann und wo passiert ist. Aber auch in der IT kann es im übertragenen Sinn brennen: Ob Hardware-Defekt, Stromausfall oder externer Angriff – viele Unternehmen erleben jährlich IT-Ausfälle, die von einem kurzen Blackout zum Horrorszenario eines ausgewachsenen Cyber-Angriffs reichen können.
Wie stark die aktuelle Bedrohungslage ist, fragt das Bundesamt für Sicherheit und Informationstechnik (BSI) seit 2014 jährlich in der Cyber-Sicherheits-Umfrage ab. Für den Betrachtungszeitraum 2018 fand dafür zwischen dem 21. Februar und dem 7. März 2019 eine Online-Erhebung statt, zu der das BSI auf allen Kommunikationskanälen eingeladen hatte. Demnach gaben 43 Prozent der großen Unternehmen an, 2018 von Cyber-Sicherheits-Vorfällen betroffen gewesen zu sein. Bei den kleinen und mittelständischen Unternehmen lag der Wert bei 26 Prozent. In der Hälfte der Fälle waren die Angreifer erfolgreich. Das heißt, sie konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, deren Funktionsweise beeinflussen oder Internetauftritte von Firmen manipulieren.
In 53 Prozent der berichteten Angriffsfälle handelte es sich um Malware-Infektionen, bei denen Schadprogramme in betriebliche IT-Systeme eindrangen (DDoS-Attacke (Distributed-Denial-of-Service attack, Nichtverfügbarkeit eines Internetdienstes, der eigentlich verfügbar sein sollte) 18 Prozent, gezieltes Hacking zwölf Prozent). 90 Prozent der Schadprogramme wurden als Anhang oder Link in einer E-Mail verteilt. Immerhin: In der Hälfte der Fälle verhinderten technische Maßnahmen eine Infektion, in den übrigen Fällen war die Aufmerksamkeit der Beschäftigten der Erfolgsfaktor.
Trotzdem haben die Angriffe in vielen Fällen Auswirkungen auf die Betriebe: 87 Prozent der Betroffenen gaben an, dass es 2018 zu Betriebsstörungen oder -ausfällen kam. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme (bei
65 Prozent der Betroffenen) sowie Reputationsschäden (bei 22 Prozent der Betroffenen). Schwer zu beziffern ist der Diebstahl von Know-how durch das unberechtigte Einsehen und Kopieren von Daten, der möglicherweise erst viel später erkannt wird. Dieser führt zwar nicht zu einem unmittelbaren Geschäftsausfall, ist aber nicht minder schädlich.
Leitfaden gibt Hilfe
Unterstützung bei der Prävention von Cyber-Angriffen liefert der Leitfaden Cyber-Sicherheits-Check, den die Mitglieder von Isaca Germany Chapter in Kooperation mit dem BSI erarbeitet haben. Mithilfe des Checks können Unternehmen das in ihrer Institution aktuell umgesetzte Niveau der Cyber-Sicherheit bestimmen. Er wendet sich an alle Ebenen, also die Unternehmensleitung, IT-Sicherheitsbeauftragte, Corporate Security Manager, IT-Administratoren und IT-Revisoren bis hin zum Endanwender, der sich mit Cyber-Sicherheit befasst. Die Autoren betonen darin, dass sich der Leitfaden auch an kleine und mittlere Unternehmen richtet, die oft nicht wie große Konzerne die Mittel haben, ihre vernetzten Systeme und Anwendungen widerstandsfähiger gegen Cyber-Angriffe zu machen.
Der Leitfaden setzt auf das Konzept der drei Verteidigungslinien:
Erste Verteidigungslinie: Das operative Management muss ein grundlegendes Verständnis für die Notwendigkeit von Maßnahmen zur Cyber-Sicherheit, den Schutzbedarf der Geschäftsprozesse sowie deren Abhängigkeiten und Bedrohungen haben.
Zweite Verteidigungslinie: Innerhalb des Risiko- und Sicherheitsmanagements sollte es dann zu einer Analyse kommen, inwieweit sich Cyber-Sicherheitsrisiken auf die Institution und deren Prozesse auswirken und mit welchen Maßnahmen dies gegebenenfalls verhindert werden kann. Die finale Entscheidung über die Umsetzung von Sicherheitsmaßnahmen verbleibt bei der Unternehmensleitung.
Dritte Verteidigungslinie: Eigenes entsprechend qualifiziertes Personal oder ein kompetenter externer Dienstleister ermitteln mittels des Cyber-Sicherheits-Checks unabhängig und objektiv das vorhandene Sicherheitsniveau.
Bereits bei der Initiierung eines Cyber-Sicherheits-Checks muss beachtet werden, dass der laufende Betrieb in der Institution durch die Beurteilung nicht wesentlich gestört wird. Der Beurteiler greift niemals selbst aktiv in Systeme ein und erteilt auch keine Handlungsanweisungen zu Änderungen an IT-Systemen, Infrastrukturen, Dokumenten oder organisatorischen Abläufen. Er benötigt ausschließlich lesenden Zugriff – allerdings mit uneingeschränktem Informations- und Einsichtnahmerecht.
Die Vorgehensweise bei einem Cyber-Sicherheits-Check teilt der Leitfaden in sechs Schritte ein. Im ersten Schritt gibt das Management den Auftrag zur Durchführung. Das ist in jedem Umfeld und in jedem Stadium des Sicherheitsprozesses möglich. Anschließend führt der Beurteiler eine Risikoeinschätzung nach den Stufen normal, hoch, sehr hoch durch, bei der mittels Schadenshöhe und Eintrittswahrscheinlichkeit eine Risikokennzahl ermittelt wird. Darauf basierend lassen sich der zu erwartende Zeitaufwand, die Beurteilungstiefe sowie die Wahl der Stichproben bei der Durchführung des Cyber-Sicherheits-Checks risikoorientiert bestimmen.
Um einen Überblick über die Aufgaben, die Organisation und die IT-Infrastrukturen des Unternehmens zu gewinnen, erfolgt die Dokumentensichtung, die durch Gespräche ergänzt werden kann. Die anschließende Vor-Ort-Beurteilung wird nun mittels eines Ablaufplans unter Einbeziehung der Cyber-Sicherheits-Risikoeinschätzung vorbereitet. Dieser gibt an, welche Inhalte wann beurteilt werden sollen und welche Ansprechpartner hierzu erforderlich sind. Der Ablaufplan ist der betreffenden Institution vorab zu übersenden.
In Schritt 5 folgt die Vor-Ort-Beurteilung. Sie startet mit dem Eröffnungsgespräch, in dem die Vorgehensweise und Zielrichtung des Cyber-Sicherheits-Checks erläutert werden. Anschließend werden Interviews geführt, IT-Systeme in Augenschein genommen und gegebenenfalls weitere Dokumente gesichtet. Zu Unterstützung sollten die für die jeweiligen Themen zu befragenden Verantwortlichen zur Verfügung stehen. Alle Informationen dokumentiert der Beurteiler ausreichend und stellt diese im Abschlussgespräch – in Anwesenheit der Unternehmensführung – vor. Dabei gibt er eine erste allgemeine Einschätzung zum Niveau der Cyber-Sicherheit und zeigt schwerwiegende Sicherheitsmängel auf. Diese werden zudem in einem Beurteilungsbericht zusammengefasst, der nicht nur die Mängel auflistet, sondern Handlungsempfehlungen aufzeigt.
Im Ernstfall zählt jede Minute
Egal, wie gut die Präventionsmaßnahmen sind: Es kann trotzdem immer etwas passieren. Und wenn das IT-System zusammenbricht, zählt jede Minute: Je besser Mitarbeiter und Unternehmens-IT also vorbereitet sind, desto eher wird es ihnen gelingen, ein IT-Desaster zu vermeiden. Welche „Erste-Hilfe-Maßnahmen“ von wem im Ernstfall anzuwenden sind, sollte jedes Unternehmen für sich akribisch festlegen. Die Cyber-Sicherheits-Umfrage allerdings zeigt, dass hier noch Handlungsbedarf besteht: Im Jahr 2018 lag der Anteil der Befragten, die ein Notfallmanagement einschließlich regelmäßiger Übungen betreiben, um bei einem Cyber-Vorfall schnell handlungsfähig zu sein, nur bei 43 Prozent. Mit 49 Prozent war der Anteil der Betreiber eines solchen Systems unter den großen Unternehmen deutlich höher als unter den kleinen und mittelständischen Unternehmen mit 38 Prozent.
Unterstützung für Unternehmen bietet ein BSI-Maßnahmenkatalog zum IT-Notfallmanagement, der neben grundlegenden technischen Schutzmaßnahmen für die IT-Infrastruktur viel Organisatorisches enthält. Die Grundlage einer ganzheitlichen Cyber-Sicherheitsstrategie ist demnach die Etablierung eines Informations-Sicherheits-Management-Systems (ISMS), das mit einem Notfallmanagement oder Business Continuity Management (BCM, Betriebskontinuitätsmanagement) Hand in Hand geht.
Die für die IT-Sicherheit und das Notfallmanagement beauftragten Personen sollten nach Möglichkeit nicht in Personalunion ernannt werden und bei IT-Ausfällen eng zusammenarbeiten. Alarmierungs- und Meldewege müssen dabei klar sein. Wer mit externen IT-Dienstleistern arbeitet, sollte abklären, für welche IT-Vorfälle überhaupt Unterstützung gewährt werden kann, Absprachen bezüglich Erreichbarkeit, Verfügbarkeit oder Service-Level-Agreement treffen und eine Liste mit allen Ansprechpartnern erstellen.
Notfallkarte informiert Anwender
Wie bei anderen Notfallsituationen auch – man denke an Brandschutzübungen – sollten IT-Notfallszenarien regelmäßig geübt beziehungsweise die IT-Infrastruktur auf Angreifbarkeit geprüft werden. Wichtig: Nicht nur die IT-Mitarbeiter müssen zum Verhalten im IT-Notfall geschult werden, sondern das gesamte Personal. Sehr hilfreich für die Erhöhung der Security Awareness ist dabei ein neues Hinweisschild: die IT-Notfallkarte. Sie wird analog zu den bekannten „Verhaltensregeln im Brandfall“- oder „Fluchtweg“-Aushängen im Büro oder in der Produktions- oder Lagerhalle angebracht.
Die IT-Notfallkarte stellt das BSI als PDF kostenlos zum Download zur Verfügung. In ein editierbares Textfeld wird die individuelle Rufnummer eingetragen, die im Ernstfall die Kontaktstelle für die Belegschaft ist. Dabei kann es sich um den internen IT-Support oder um einen externen Dienstleister handeln, mit dem zuvor entsprechende Absprachen getroffen wurden. An IT-Verantwortliche richtet sich zudem eine ebenfalls beim BSI online verfügbare Checkliste mit den Top-12-Maßnahmen bei Cyber-Angriffen.
(Autorinnen: Annika Beyer, Mareike Haus; Der Artikel erschien in Sprit+ Ausgabe 3/2020.)