Das 1x1 der IT-Sicherheit
Für Unternehmen ist Arbeitsmittel Nummer eins der Computer: Vom Schriftverkehr über die Produktionsplanung, Konstruktion, Kundendaten bis hin zur Maschinensteuerung und Buchhaltung ist er das „Schweizer Taschenmesser“ des Büroalltags.
Den Zustand, wenn die IT nicht funktioniert, ist bekannt: Es läuft im Unternehmen nur schleppend oder gar nicht. Das moderne Unternehmen ist vom Computer abhängig.
Die Technologie eröffnet nicht nur den Unternehmen neue Möglichkeiten, sondern auch Kriminellen. Diese lassen sich grob in drei Gruppen einteilen:
- „Hacktivisten“, die politisch motivierte Straftaten begehen, in dem sie Kundenlisten von Unternehmen oder die interne Unternehmenskommunikation öffentlich verfügbar machen. Ziel dieser Gruppe ist es, dem öffentlichen Ansehen des Unternehmens zu schaden. Sie haben keine finanziellen Interessen.
- „Hacker & Hackergruppen“, welche sich auf die Entwicklung von Schadsoftware und das Ausspähen von Informationen spezialisiert haben. Diese arbeiten im Verborgenen, werden von Auftraggebern auf spezifische Ziele angesetzt und verfügen über eine gute technische und finanzielle Ausstattung.
- Den Großteil machen jedoch die „Cyberkriminellen“ aus. Diese Gruppe hat mit ihren Taten zum Ziel, Kapital für ihren Lebensunterhalt zu erwirtschaften. Die Täter sind durch das Internet in Foren organisiert, es gibt Programmierer, welche Schadsoftware entwickeln, Adress- und Datenhändler, Personen, die digitale Zahlungsmittel in Geld umtauschen und sonstige, dem für die Begehung von IT- Straftaten notwendigen Dienstleistungen anbieten.
Der Schutz vor diesen Gruppen ist abhängig vom eingesetzten Kapital. Der finanzielle Aufwand, welcher zum Schutz vor Hacktivisten und Hackergruppen geleistet werden müsste, übersteigt in vielen Fällen den Nutzen, den die Sicherheitsmaßnahmen bringen. Diese Gruppen studieren ihre Ziele, sammeln alle vorhandenen Informationen zum Unternehmen und entwickeln spezielle, auf das Ziel abgestimmte Schadsoftware. Eine Erkennung der Aktivitäten im eigenen IT Netzwerk ist sehr schwer möglich. Oftmals fällt ein Angriff erst nach sehr langer Zeit auf, zum Beispiel auf einer Messe, wenn der Wettbewerber die eigene Entwicklung präsentiert oder die Kundendaten im Internet zur Verfügung gestellt werden. Diese Angriffe sind jedoch selten, da der finanzielle Aufwand für einen Auftraggeber sehr hoch ist.
Cyberkriminelle agieren großflächig: Spam- Emails und Homepages mit Schadcode sind die meistgenutzten Angriffswege. Daher sind Cyberkriminelle die für Unternehmen gefährlichste Gruppe: Die Vielzahl der Angriffe richtet sich grundsätzlich gegen Privatpersonen, aber auch immer mehr gegen Unternehmen: Emails von Paypal, Amazon, Banken sollen den Empfänger dazu verleiten, seine Kontodaten oder sein Zugang zu bestätigen. Dabei ist die Qualität der gefälschten Emails mit den Jahren kontinuierlich gestiegen, eine Fälschung ist mitunter nicht mehr zu erkennen. Im günstigsten Fall ist der Kontozugang ab nun nicht mehr unter der eigenen Kontrolle und es werden Buchungen oder Bestellungen durchgeführt. Ungünstig ist, wenn zusätzlich Schadsoftware über eine Sicherheitslücke unbemerkt installiert wird. Ab diesem Zeitpunkt ist der Computer für Angreifer offen.
Dabei greifen die Kriminellen gerne auf sogenannte Exploit-Kits zurück: Dies sind für Laien bedienbare Softwaresysteme, die das gesamte Management für den Anwender übernehmen: Die Installation von Hintertüren, Tastaturrecorder, Programme zur Manipulation von Bank- oder Bezahldienstleisterportalen und Verschlüsselungsprogrammen.
Grundsätzlich ist der Cyberkriminelle bemüht, mit möglichst wenig Aufwand seinen Gewinn zu maximieren. Die in der Vergangenheit stark ausgebaute Technik der Übernahme fremder Bankkonten nimmt kontinuierlich ab - zu groß ist der Aufwand geworden um die Sicherheitsmaßnahmen der Banken, so zum Beispiel das SMS-TAN Verfahren, zu überlisten, gleichwohl es am Markt entsprechende Software gibt.
Ein aktuell (Ende 2015) wachsender Markt ist die Erpressung: Die Unternehmensdaten werden mit einem aktuell nicht entschlüsselbaren Verfahren verschlüsselt und der Anwender danach darüber informiert. Erst nach Zahlung eines Lösegeldes wird dem Opfer ein Programm sowie ein Schlüssel zur Verfügung gestellt.
Offizielle Stellen, wie das Bundesamt für Informationssicherheit, das Bundeskriminalamt oder der Verfassungsschutz empfehlen nicht zu zahlen. Anhand der Vielzahl der neuen Versionen und der Portierung der Programme für andere Betriebssysteme ist jedoch davon auszugehen, dass viele Geschädigte das Lösegeld bezahlen. Die Unternehmensdaten sind in der digitalen Welt die neuen „Kronjuwelen“.
Wer bezahlt macht sich angreifbar: Die Kriminellen wissen nun, dass das Opfer bereit ist, zu zahlen: Es passiert immer häufiger, dass das Lösegeld steigt oder dass nach der Zahlung kurz darauf wieder verschlüsselt werden.
Es gibt keinen 100 prozentigen Schutz. Jedes komplexe System, ob nun Automobil oder eben IT System ist angreifbar. Einzig der Aufwand, den ein Cyberkrimineller auf sich nehmen muss, um ein System erfolgreich zu kompromittieren, ist entscheidend über den Erfolg oder Misserfolg seiner Attacke. Ein aktuelles System, ein Virenschutzprogramm und ein paar kleine Anpassungen erhöhen den Schutz des IT Systems und erhöhen erheblich den Aufwand für die Angreifer.
Tipps:
- Beim Erhalt einer E-Mail eines Anbieters (Online Shop, Bank etc.) nicht auf den in der Mail enthaltenen Link klicken - Öffnen Sie die Homepage des Anbieters und loggen Sie sich dort ein.
- Richten Sie sich für jeden Zugang ein eigenes E-Mail Konto ein: Der Erhalt einer zum Beispiel Sparkassen- Mail auf der Mailadresse der Volksbank führt grundsätzlich zu Ihrer Aufmerksamkeit - und zur Erkennung von falschen E-Mails.
Beispiele:
- bankname@firmendomain.de: Die „einfachste“ Variante, könnte jedoch von Email- Adressgeneratoren erzeugt werden.
- banknameXX@firmendomain.de: Die Wahrscheinlichkeit, dass ein Adressgenerator eine Mailadresse mit zusätzlichen Zeichen, gekennzeichnet im Beispiel „XX“, erzeugt, ist sehr gering. - Nutzen Sie die Zugangs- Email Adressen nur zur Kommunikation mit ihrem Anbieter. Solange niemand die Mailadresse kennt, kann sie auch nicht angeschrieben werden.
- Spielen Sie Updates für das Betriebssystem und die Anwendungsprogramme (Office, Acrobat und Systemprogramme (Flash, Silverlight) ein, so können verwundbare Stellen abgesichert werden.
- Erstellen Sie regelmäßig eine Sicherungskopie Ihrer Unternehmensdaten: Jeden Tag der Woche, wöchentlich und monatlich. So können Sie den Datenverlust minimieren. Schadsoftware „lebt“ davon, nicht erkannt zu werden. In der Regel wird eine neue Schadsoftware von einem Anti-Viren Programm innerhalb von zwei Tagen erkannt.
- Trennen Sie die Sicherungskopie- Laufwerke physisch von Ihrem IT System. Eine Sicherungskopie nutzt Ihnen nichts, wenn diese auch verschlüsselt oder anderweitig beschädigt wird.
- Wenn Sie eine Mail erhalten haben, bei der Sie sich nicht sicher sind, ob der Anhang vertrauenswürdig ist, nutzen Sie eine Sandbox, zum Beispiel: http://www.sandboxie.com/
- Installieren und konfigurieren Sie eine Firewall: Ein Schadprogramm, welches „nach hause telefonieren“ möchte, um weitere Instruktionen zu erhalten, und das nicht kann, verhindert weitere Schäden.
- Rechtemanagement: Wenn jeder auf alle Daten zugreifen kann, können auch alle die Daten verändern. Kann der PC der Buchhaltung nur auf die Buchhaltungsdaten zugreifen, sind im Schadensfall die Daten der Konstruktion nicht betroffen.
- Deinstallieren Sie ungenutzte oder vorinstallierte Programme, die Sie nicht benötigen. Damit reduzieren Sie die möglichen Angriffswege.
- Richten Sie auf den Computern Anwender-Profile (Benutzer) ein. Ein Computer, welcher im Administrator- Profil genutzt wird, darf alles mit den darauf gespeicherten Daten tun. Ein Benutzer- Profil nicht.
- Passwörter: Aktuell (Stand Ende 2015) sind mindestens 10 Zeichen, gemischt aus Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Auch die regelmäßige Änderung, alle 6- 12 Wochen ist Pflicht.
- Für jedes Programm und jeden (online-) Zugang ein eigenes Passwort. Überall das gleiche Passwort öffnet viele „Türen“.
- Ein Passwort- Manager (z.B. KeePass, Empfehlung des BSI) erleichtert das Verwalten von vielen sicheren Passwörtern. Sie müssen sich nur noch ein Passwort merken.