.jpg)
Auch kleine Betriebe mit bis zu 25 Mitarbeitern, die im Schnitt rund 50 Geräte schützen müssen, bieten bereits eine beachtliche Angriffsfläche. Wie andere Unternehmen haben sie nichts weniger als ihre geschäftliche Existenz und ihr Unternehmenswissen zu verlieren. Wer die gängigen Angriffsmechanismen kennt und sich die ersten Maßnahmen für den Tag X im Vorfeld zurechtlegt, kann vieles verhindern und im Ernstfall schneller sowie richtig handeln. Im Folgenden finden sich grundlegende Tipps zum Vorgehen bei den wichtigsten Angriffsarten.
Phishing-Angriffe
Phishing ist unabhängig von der Anzahl der Mitarbeiter eine der häufigsten Angriffsformen – vor allem in kleinen Unternehmen mit oft nicht geschultem und wenig technikaffinem Personal. Hacker versenden im Namen des Vorgesetzten gefährliche Mails mit hoher Dringlichkeit, Handlungsaufforderungen und kompromittierten Links oder Daten. Mitarbeiter erhalten gefälschte Rechnungen oder Tech-Support-Anfragen, die Cyberkriminelle versendet haben. Massenmails finden in der Regel eine sich lohnende Anzahl an Opfern.
Dabei können in den allermeisten Fällen gut geschulte und wachsame Mitarbeiter solche Angriffe selbst blocken. Allerdings generieren Hacker mit Künstlicher Intelligenz immer bessere Fälschungen und überlisten so auch geübte Adressaten. Was ist dann zu tun:
Eine Überprüfung der E-Mail-Versandprotokolle identifiziert weitere Opfer. Ein externer Admin kann hierbei behilflich sein.
Unternehmen sollten alle kompromittierten Anmeldedaten sofort ändern. Die Verantwortlichen müssen sicherstellen, dass jeder einzelne über neue und eindeutige Zugangsdaten verfügt.
Kommunikation ist wichtig. Vorgesetzte sollten die Mitarbeiter über den Vorfall informieren, um weiteren Schaden zu vermeiden. Ganz wichtig ist der Austausch über den konkreten Vorfall. Denn auch hier gilt: Aus Fehlern kann man nur lernen.
Ransomware
Ransomware-Angriffe, die in der Regel mit Phishing starten, verschlüsseln nicht nur Daten oder blockieren Prozesse, bis das Opfer ein Lösegeld zahlt. Oft verkaufen die Angreifer auch sensible Informationen oder drohen mit deren Veröffentlichung. Folgende Maßnahmen sollten in Betracht gezogen werden:
Infizierte Systeme sind möglichst zu isolieren, damit die Ransomware nicht ihren weiteren Weg im Netz findet. Ganz banal nimmt man ein betroffenes Notebook erstmal vom Netz.
Externer Rat ist unverzichtbar: Polizei und Cybersicherheitsexperten sollten frühzeitig hinzugezogen werden. Letztere helfen festzustellen, welche Daten betroffen sind, und empfehlen weitere Vorgehensmaßnahmen.
Lösegeld ist keine Lösung. Es gibt keine Garantie dafür, dass die Angreifer die Schlüssel zum Entschlüsseln wirklich übergeben, dass diese funktionieren oder nicht noch weiteren Schaden anrichten. Der Zugriff ins Netz bleibt auch nach der Schlüsselübergabe für die Dateien bestehen und die nächste Attacke ist vorprogrammiert. Das Lösegeld lässt sich meistens einsparen, wenn Tools zur Entschlüsselung vorhanden sind. Diese Werkzeuge helfen in vielen Fällen, denn nicht jede Ransomware-Gruppe verwendet neueste Malware.
Daten sollten in sicheren und Malware-freien Backups gesichert sein. Ein Backup ist zudem nur dann funktionsfähig, wenn ein Administrator es testet und verwaltet. Der manuelle Freitag-Nachmittag-Backup per Knopfdruck auf eine Festplatte oder ein Band, das schlimmstenfalls bereits voll ist und nicht mehr sichert, entspricht dem nicht. Für eine solche Realität gibt es leider viele Beispiele. Auch der Ablauf, die Daten wieder herzustellen, ist zumindest gedanklich, besser aber in einer echten Übung, durchzuspielen.
Eine Cyberversicherung kann vor finanziellem Verlust bewahren.
Denial-of-Service (DoS) oder Distributed Denial-of-Service (DDoS) Angriffe
Mit Dos- oder DDoS-Attacken wollen Angreifer ein System oder Netzwerk mit übermäßigem Datenverkehr überlasten und es für die Außenwelt unerreichbar machen. Die Situation, dass Kunden weder Bestellungen aufgeben, Rechnungen erhalten oder mit dem Unternehmen kommunizieren können, ist fast genauso schädigend wie ein Ransomware-Angriff.
Wichtig sind Lösungen, die den Datenverkehr auf Anomalien überwachen, um DDoS-Angriffe durch ungewöhnliches Verhalten an den Endpunkten wie Server oder Notebook frühzeitig zu erkennen.
Unternehmen sollten immer ihre technischen Ansprechpartner etwa beim Internet Service Provider kennen, um bei Bedarf bösartigen Datenverkehr zu blockieren.
Unternehmen, die Online-Dienste mit Kundenkontakt nutzen, sollten IT-Lösungen zur DDoS-Abwehr einsetzen, um den Schaden zu analysieren und gegebenenfalls zu beheben.
Einmal angegriffen gilt es, die Serverkonfigurationen zu überprüfen, um zukünftige Überlastungen zu verhindern.
Verstöße gegen den Datenschutz und Insider-Risiken
Nicht nur menschliche Fehler können sensible Informationen Dritter öffentlich machen, sondern auch Online-Dienste und falsch konfigurierte Server. Ebenso gefährlich sind Insider, die böswillige Absichten gegen das eigene Unternehmen hegen oder Fehler begehen und dem Unternehmen schaden können.
Für jedes dieser Szenarien gibt es – abgesehen von der IT-Technologie – einige erforderliche Schritte:
Die handelnden Personen verlieren im ersten Schritt die Zugriffsrechte, bevor weitere Maßnahmen getroffen werden.
Die Unternehmen müssen die betroffenen Beteiligten im Einklang mit den Regeln der DSGVO umgehend benachrichtigen.
An einer Zusammenarbeit mit dem hoffentlich vorhandenen Datenschutzbeauftragten oder spezialisierten Rechtsanwälten führt kein Weg vorbei. Auch hier sollte man die Ansprechpartner schon im Voraus kennen.
Angriffe auf die Supply Chain
Jedes Unternehmen ist Teil einer Lieferkette und hat zahlreiche Außenkontakte zu Kunden, Geschäftspartnern oder auch IT-Dienstleistern. Kleine Unternehmen ignorieren oft die Risiken, über eine Software von Dritten, über ihre Mail-Korrespondenz oder über ein Tool zur Wartung der PC-Systeme zum Opfer zu werden. Diese Angriffe sind meist so konzipiert, dass sie unter dem Radar agieren und erst später bemerkt werden.
In diesem Fall sind folgende Schritte obligatorisch:
Ein Unternehmen muss den Anbieter der Software und andere Kunden sofort benachrichtigen.
Alle Systeme sind zu überprüfen, um weitere Hintertüren zu beseitigen. Dies geht nicht ohne die Hilfe eines Anbieters von IT-Sicherheitsdiensten.
Die Beziehung zu dem Unternehmen sind zu überprüfen und neu zu bewerten.
Fazit
Grundsätzliche IT-Sicherheitslösungen sind hoffentlich eine Selbstverständlichkeit – aber sie schließen den Tag X des erfolgreichen Angriffs nicht aus. Sich proaktiv gegen Cyberangriffe zu wappnen, um im Ernstfall richtig reagieren zu können, ist entscheidend, um keine Fehler zu machen oder Zeit zu verlieren. Auch kleine Unternehmen sollten Notfallpläne entwickeln, regelmäßig Mitarbeiter schulen und für den Ernstfall wissen, wer ihnen konkret helfen kann. Zudem sollten sie ihre Sicherheitsmaßnahmen kontinuierlich überprüfen und anpassen, um zukünftige Angriffe zu verhindern.
Letztlich ist eine enge Zusammenarbeit mit Cybersicherheitsexperten eines Managed-Security-Services-Dienstleisters unverzichtbar. Denn keiner der kleineren Betriebe dürfte die Ressourcen und Skills haben, das inzwischen erforderliche Mindestmaß an IT-Sicherheit in einer immer komplexeren digitalen Welt zu verwirklichen.
