Ein Cyberangriff ist für viele Unternehmen ein Horrorszenario. Die Folgen können für Betriebe – insbesondere für kleine und mittelständische – existenziell sein. Im Falle eines Angriffs müssen Unternehmen Kunden und Geschäftspartner informieren und beschwichtigen, sich mit Behörden auseinandersetzen und den IT-Sicherheitsvorfall mit IT-Dienstleistern und Cyberforensikern aufarbeiten.
Darüber hinaus gilt es den Geschäftsbetrieb schnell wiederherzustellen beziehungsweise aufrechtzuerhalten. Nicht zu vernachlässigen ist der finanzielle Schaden, der in Folge eines Cyberangriffs entsteht. Besonders dramatisch wird die Situation, wenn sich der Angriff auf andere Parteien ausbreitet oder wenn die betroffenen Unternehmen über Monate oder gar Jahre mit den Folgen des IT-Sicherheitsvorfalls zu kämpfen haben.
Der Hackerangriff auf das Unternehmen Solarwinds und die Folgen illustrieren dies sehr gut. Das amerikanische Technologieunternehmen geriet 2020 in die Schlagzeilen, als Kriminelle einen Trojaner in ein Update der von Solarwinds betriebenen Software Orion einschleusten, die für das Netzwerkmanagement verwendet wird. 18.000 Unternehmen weltweit – darunter auch deutsche Firmen – luden das Update herunter und galten als kompromittiert.
Zu den Opfern gehörten verschiedene amerikanische Behörden wie das Finanzministerium, das Handelsministerium, das Ministerium für Heimatschutz, das Außenministerium und Teile des Pentagon. Auch Unternehmen wie Deloitte und Microsoft waren von dem IT-Sicherheitsvorfall betroffen.
Für Solarwinds hat dieser Vorfall noch heute Auswirkungen. Vor kurzem wurde von der US-Börsenaufsichtsbehörde SEC eine Klage gegen das Unternehmen eingereicht. Der Vorwurf lautet, das Unternehmen habe seine Kunden nicht umfassend über den Vorfall und die daraus resultierenden Risiken informiert. Mit dieser Klage wird juristisches Neuland betreten.
Sollte sie erfolgreich sein, kann der Bereich IT-Sicherheit für Unternehmen noch einmal eine ganz neue Bedeutung bekommen. Unternehmen werden noch mehr in präventive Maßnahmen investieren, um Angriffe zu vermeiden und ihren Melde- und Sorgfaltspflichten im Fall eines Vorfalls noch akribischer nachkommen.
Cyberrisiko: Geschäftspartner
Solarwinds zeigt, dass es durch die Manipulation von Software möglich war, mit einer Aktion Tausende von Unternehmen weltweit anzugreifen. Durch das Herunterladen eines Updates konnte die Schadsoftware auf zahlreichen Computern platziert werden. Aufgrund der zunehmenden Vernetzung und daraus resultierenden Schnittstellen und Abhängigkeiten kann sich ein Angriff lawinenartig ausbreiten. Auch in Deutschland stellen Angriffe auf die Wertschöpfungskette ein hohes Risiko dar.
Nach Angaben des Verfassungsschutzes richten sich mittlerweile mehr als 60 Prozent der Angriffe gegen Lieferketten. Für Unternehmen entsteht dadurch ein schwer beherrschbarer Risikofaktor, da nicht mehr nur die eigene IT-Infrastruktur sicher sein muss, sondern auch die von Kooperationspartnern. Schon jetzt steht fest, dass der Faktor IT-Sicherheit immer wichtiger und wettbewerbsbestimmender wird. Ob Geschäftsbeziehungen aufgebaut oder Transaktionen durchgeführt werden, wird künftig immer mehr von der Cybersicherheitsstrategie eines Unternehmens abhängen.
Normen wie ISO 27001 oder deren Adaption TISAX für den Automobilbereich können eine größere Bedeutung erhalten, um nachzuweisen, dass ein Mindeststandard an IT-Sicherheit gewährleistet ist. Hierzu betreiben schon jetzt die meisten regulierten oder großen Unternehmen Risikomanagement-Abteilungen, die Lieferanten prüfen und regelmäßig auditieren. Nur so können die regulatorischen Vorgaben und Kundenanforderungen sicher erfüllt und nachgewiesen werden.
Software-Schwachstellen und Ransomwarerisiken
Schwachstellen in Software-Anwendungen werden zunehmend ausgenutzt, um Schadprogramme in Systeme einzuschleusen. Laut dem aktuellen Cyberlagebericht des BSI werden inzwischen jeden Tag fast 70 Schwachstellen in Softwareprodukten gemeldet. Besonders kritisch wird es für Unternehmen, wenn es sich um Zero-Day-Sicherheitsücken handelt, also um Schwachstellen, für die die Hersteller noch keine Sicherheitsupdates (Patches) bereitgestellt haben. Aber selbst wenn Patches bereitgestellt werden, ist das Risiko eines Angriffs nicht vollständig gebannt.
Wenn diese Updates nicht sofort installiert werden oder wenn die Kriminellen bereits in die Systeme eingedrungen sind, bevor die Patches installiert wurden, können Unternehmen dennoch Opfer von Cyberkriminalität werden. Die größte Bedrohung für Unternehmen bleibt jedoch die Verbreitung von Ransomware. Dabei geraten außer kleinen und mittleren Unternehmen auch kommunale Unternehmen und Behörden immer mehr in den Fokus der Angreifer.
Neben Sicherheitslücken nutzen Angreifer Phishing-Angriffe oder manipulierte und bösartige Webseiten, um sich Zugang zu Systemen zu verschaffen. Einmal eingedrungen, breiten sich die Kriminellen nach und nach im gesamten Netzwerk aus und versuchen, ihre Zugriffsrechte zu erweitern, bis sie in der Lage sind, das gesamte System zu kontrollieren.
Oftmals finanziell motiviert, suchen die Angreifer gezielt nach Daten, die sie für Erpressungsversuche nutzen können. Diese Daten werden exfiltriert und verschlüsselt, sodass sie für den Anwender nicht mehr zugänglich sind. Was folgt, ist die Erpressung. Bedrohungsakteure geben sich jedoch nicht mehr mit einem einmaligen Versuch zufrieden. Unternehmen berichten zunehmend von doppelter oder dreifacher Erpressung. Bei der doppelten Erpressung (Double Extortion) stellen die Angreifer zunächst eine Geldforderung, um die Daten wieder zu entschlüsseln. Im zweiten Schritt erpressen sie eine weitere Summe, indem sie drohen, die zuvor gestohlenen Daten zu veröffentlichen.
Während eines dritten Versuchs (Triple Extortion) geraten oft Mitarbeitende des betroffenen Unternehmens direkt ins Visier. Auch sie werden mit den gestohlenen Daten erpresst. Cybersicherheitsunternehmen wie Perseus sehen insbesondere im Bereich der Zugangssicherheit Verbesserungspotenzial. Oftmals werden Zugänge in den Unternehmen nicht angemessen voneinander getrennt oder nicht ausreichend durch ein strenges Passwort-Management sowie Mehrfaktor-Authentifizierung geschützt. Nachholbedarf besteht auch im Bereich des Patch-Managements. Hier muss sichergestellt werden, dass Patches umgehend installiert werden. Entsprechende Zuständigkeiten und Prozesse müssen von den Verantwortlichen definiert werden. Gut aufgestellt sind Unternehmen, wenn Systeme mit Malware-Schutz gesichert oder Backups erstellt sind. Letzteres ist unerlässlich, um die Folgen eines Ransomware-Angriffs zu minimieren.
Ein Muss für alle Unternehmen: Der Cybernotfallplan
Unsere digitale Welt wird immer komplexer. Mit jeder neuen Soft- oder Hardware steigt die Anforderung an ein funktionierendes IT-Sicherheitskonzept. Ein Reaktionsplan für den Cybernotfall, der regelmäßig geprobt und bei Bedarf angepasst wird, muss daher zum Standard gehören. Im Ernstfall zählen Minuten, die darüber entscheiden, welches Ausmaß ein Angriff annimmt. Sind Ansprechpartner, Abläufe und Prozesse definiert, erprobt und eingespielt, ist eine schnelle und gezielte Reaktion möglich.
Laut einer Studie des Versicherungsunternehmens HDI reduziert sich die Betriebsunterbrechung um circa 20 Prozent von 4,7 Tagen auf 3,8 Tage, wenn sich Unternehmen präventiv auf einen Notfall vorbereitet haben, im Vergleich zu Unternehmen, die kein hohes Maß an Prävention vorweisen können. Zu den Präventionsmaßnahmen gehört neben der Schulung der Mitarbeitenden in IT-Sicherheit und Datenschutz vor allem das Vorhandensein eines Notfallplans. Neben der Reduzierung der Betriebsunterbrechung kann auch die Schadenssumme durch präventive Maßnahmen von durchschnittlich 67.000 Euro auf rund 50.000 Euro gemindert werden.
Die Absicherung gegen Cyberrisiken bleibt eine Herausforderung. Insbesondere die Dynamik, mit der Angriffsmethoden entstehen, sich ausbreiten und weiterentwickeln, fordert Unternehmen und zwingt sie dazu, eine nachhaltige Strategie für die Informationssicherheit zu entwickeln, deren Kernelement ein gut funktionierendes Notfallmanagementsystem ist.
Wenn Unternehmen diesen Aspekt bisher vernachlässigt haben, ist es jetzt an der Zeit, sich näher mit diesem Thema zu befassen. Generell stellt sich nicht mehr die Frage, ob ein Unternehmen Opfer von Cyberkriminalität wird, sondern wann und durch die Entwicklungen am Markt steigt die Wahrscheinlichkeit immer weiter.
Der Autor Michael Horchler ist Chief Cyber Security Officer des Cybersicherheitsunternehmens Perseus.