Täglich attackieren Cyberkriminelle Unternehmen und Institutionen, legen IT-Systeme lahm und stehlen Daten. Schäden können immens sein. Die Cybersicherheitsagentur Baden-Württemberg hilft, Risiken zu erkennen, vorzubeugen und auf Angriffe zu reagieren.
Vor Cyberattacken ist niemand sicher – es kann jeden treffen. Und je digitaler das Leben wird, desto größer werden die Angriffsflächen. „Wir müssen wachsam sein“, sagt Claudia Warken, Vizepräsidentin der Cybersicherheitsagentur Baden-Württemberg (CSBW). „Allein an den zentralen Gateways der IT-Dienstleister der staatlichen und öffentlichen Einrichtungen im Land werden täglich Tausende mit Schadcode versehene E-Mails automatisiert detektiert und blockiert.“ Die Zahl der Angriffe steige seit Jahren, die Bedrohungslage sei hoch.
Doch es gibt Mittel und Wege, sich zu schützen. „Unsere Forensik-Fachleute berichten, dass die Angriffe in sehr hoher Zahl durch teilweise lange bekannte Schwachstellen zum Erfolg führen. Grund sind vor allem nicht gepatchte Systeme“, sagt Björn Schemberger, Abteilungsleiter Detektion und Reaktion der CSBW. Ein Einfallstor sei zudem häufig die klassische Phishing-Mail. „Diese existiert inzwischen in vielfachen Varianten und kommt oft sehr professionell daher“, sagt Schemberger. „Hier ist die Schwachstelle nicht technischer Art, sondern der Mensch vor dem Bildschirm. Daher ist Sensibilisierung so wichtig, denn das beste technische System hilft womöglich nichts, wenn das Passwort ,12345‘ lautet und ein unbedachter Klick auf einen E-Mail-Link die Büchse der Pandora öffnet.“
IT-Grundschutz etablieren
Die CSBW empfiehlt, die Grundvoraussetzungen für den Notfall zu schaffen. Dabei seien die Standards des Bundesamts für Informationsicherheit (BSI) hilfreich, der sogenannte IT-Grundschutz. „Im Hinblick auf die Technik ist ganz wichtig, die Systeme stetig zu aktualisieren und verfügbare Updates zeitnah einzuspielen. Der ,Stand der Technik‘ muss eingehalten werden. Weil bei einem erfolgreichen Cyberangriff oft auch die Backups kompromittiert werden und eine Wiederherstellung der IT-Systeme dann deutlich erschwert ist, müssen sinnvolle Backup-Strategien umgesetzt werden. In organisatorischer Hinsicht sind Notfallpläne für den Fall der Fälle unverzichtbar – das sind die Basics,“ erklärt Claudia Warken.
Cybersicherheitsagentur BW
Aufgabe der Cybersicherheitsagentur BadenWürttemberg (CSBW) als Landesoberbehörde ist, die Cybersicherheit im Land zu fördern. Sie fungiert als zentrale Koordinierungs und Meldestelle, die im ständigen Austausch mit allen relevanten Sicherheitsbehörden sowie weiteren Akteuren steht. Diese Vernetzung soll die Bekämpfung und Abwehr von Sicherheitsbedrohungen im digitalen Raum effektiver und effizientere machen. Das Team der CSBW hat die Schwerpunkte Prävention, Detektion und Reaktion.
Mitarbeitende schulen
Des Weiteren sollten alle Mitarbeitenden auf allen Hierarchieebenen kontinuierlich sensibilisiert und geschult werden, am besten auch mit konkreten Handlungstrainings. Die Bandbreite der Themen ist hierbei groß: Wie sieht ein sicheres Passwort aus? Welche Betrugswellen gibt es gerade? Wie erkenne ich Phishing-Mails? Wie gehe ich mit mobilen Datenträgern um? Was ist bei der Arbeit im Homeoffice zu beachten? Was ist bei einem Cybernotfall zu tun? Die CSBW veröffentlicht zu diesen Themen kompakte Informationen. Die Reihe dieser Factsheets werde nach und nach ausgebaut.
Auf Notfall vorbereiten
Wesentliches Element einer guten Cybersicherheitsstrategie ist laut CSBW ein Notfallmanagement – oder auch Business Continuity Management. „Wichtig ist, bei einem Cyberangriff zunächst Ruhe zu bewahren“, sagt Warken. „Wenn möglich sollte man die Arbeit am betroffenen Gerät oder System einstellen.“ Danach sollten Meldungen an Fachleute erfolgen und in diesem Zuge weitere Meldeverpflichtungen, zum Beispiel an den Landesbeauftragten für Datenschutz und
Informationsfreiheit (LfDI), geprüft werden. Darüber hinaus ist in der Regel auch ein Einschalten des eigenen IT-Dienstleisters sinnvoll – sowie zur Ermöglichung der Strafverfolgung auch eine Anzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts geboten.
Ohne unnötigen Zeitverlust sollten die Fachleute mit der Analyse des Angriffs beginnen: Wann hat der Angriff begonnen? Durch welche Sicherheitslücke kamen die Angreifer ins System und welche Systeme sind betroffen? Diese Erkenntnisse sind für die weiteren Schritte und Entscheidungen essenziell:
Muss zum Beispiel die komplette IT-Infrastruktur neu aufgesetzt werden, was teilweise Wochen oder Monate dauern kann? Können Systeme oder Bestandteile davon aus nicht kompromittierten Backups wiederhergestellt werden?
„Wichtig ist vor allem, nicht überhastet vorzugehen. Eine schnellstmögliche Arbeitsfähigkeit ist natürlich wünschenswert – die Sicherheit der Systeme sollte aber immer vorgehen“, rät Björn Schemberger. „Denn kompromittierte Backups oder ein erneuter erfolgreicher Angriff stellen eine große Gefahr dar und bringen nur noch höhere Kosten oder Ausfallzeiten mit sich. Eine genaue Analyse des Schadens kann dem vorbeugen.“
Nicht erpressen lassen
Die CSBW rät dringend davon ab, auf eventuelle Lösegeldforderungen einzugehen. „Verbrecherisches Handeln zu unterstützen und dieser Art der organisierten Kriminalität damit Vorschub zu leisten, ist der falsche Weg“, sagt Ralf Rosanowski, der Präsident der CSBW. Aus ihrer Erfahrung wisse seine Behörde, dass es auch bei der Zahlung von Lösegeld keine Garantie gebe, dass die Daten tatsächlich wiederhergestellt oder nicht trotzdem veröffentlicht werden. „Bei Verschlüsselungsangriffen handelt es sich um organisierte Kriminalität, deren Handeln ausschließlich auf Gewinnmaximierung ausgerichtet ist“, sagt Rosanowski.
Dirk Täuber