CyberCrime So schützen Sie Ihr Firmennetzwerk

Zugehörige Themenseiten:
Digitalisierung

Cyberattacken und Datenverluste avancieren 2017 zu den größten Bedrohungen für Unternehmen, sagt das „Risk-Barometer“ der Allianz-Versicherung. Wie Sie Ihre Daten vor Kriminellen schützen.

Anton Schober in Germering hat sich durch den Klick auf eine Bewerbung eine Schadsoftware eingefangen: »Wir sollten 4.000 Euro für die Wiederherstellung unserer Daten über das Darknet bezahlen.« - © Günther Reger

Die Bewerbung wirkte absolut seriös. „Der Absender der E-Mail sprach uns Geschäftsführer namentlich an und nahm Bezug auf eine Stellenanzeige, die wir vor einiger Zeit auf dem Portal der Arbeitsagentur geschaltet hatten“, berichtet Anton Schober. Der Hinweis auf die anhängenden Qualifikationsnachweise und den Lebenslauf war, wie die gesamte Mail, in gutem Deutsch verfasst.

Doch mit dem Klick auf den Dateianhang aktivierte Schober unter den Augen seines Mitgesellschafters Thomas Nigl an jenem Freitagnachmittag, ohne es zunächst zu bemerken, eine Schadsoftware. Diese begann in der Nacht darauf, wichtige Daten im Computernetzwerk ihrer Firma Autozubehör Germering (nahe München) zu verschlüsseln.

Schadstoffsoftware legt Firmennetzwerk lahm

Am folgenden Vormittag prangte eine Nachricht mit einer russischen E-Mail-Adresse auf den Bildschirmen. „Wir sollten über das Darknet, den anonymen Teil des World Wide Web, rund 4.000 Euro in der virtuellen Internetwährung Bitcoins für die Wiederherstellung unserer Daten zahlen“, empörte sich Schober. Statt den Anweisungen der Erpresser Folge zu leisten, riefen die Bayern ihren IT-Dienstleister an.

Am darauffolgenden Montag war das Firmennetzwerk nahezu komplett lahmgelegt, alle Versuche des Softwarespezialisten, den Virus zu entfernen, scheiterten. Die Werkstattbetreiber erstatteten Anzeige bei der Polizei. Die Beamten bestärkten die Unternehmer darin, das Lösegeld nicht zu bezahlen. Viel Hoffnung, die Verbrecher zu fassen, machten sie ihnen aber nicht – und sollten damit bis heute Recht behalten.

Ausfall von IT-Infrastruktur und Datenverlust

Wer bei diesem Horrorszenario an einen Einzelfall denkt, irrt gewaltig. „Erpresser-Viren sind seit Februar 2016 zu einer Massenerscheinung geworden“, warnt Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Allein im ersten Halbjahr 2016 war einer Umfrage des BSI zufolge ein Drittel (!) aller befragten 600 Unternehmen von Ransomware, wie die Erpresser-Programme in Fachkreisen genannt werden, betroffen. „In jedem fünften Fall führte die Infektion zu einem erheblichen Ausfall der IT-Infrastruktur, in mehr als jedem zehnten zum Verlust wichtiger Daten“, zitiert der Behördensprecher aus dem jüngsten „Bericht zur Lage der IT-Sicherheit in Deutschland“.

Dabei ist die Erpressung von „Lösegeldern“ nur eine von unzähligen Gefahren, die im Netz lauern. „Cyberkriminelle haben es ebenso auf Kreditkarten- und Kundendaten oder Firmengeheimnisse abgesehen, kapern fremde Identitäten, Computer oder Handys, um sie für ihre Zwecke zu nutzen, oder versuchen, vernetzte Geräte wie Internetrouter, Tele­fonanlagen oder Schließsysteme unter ihre Kontrolle zu bringen“, nennt Jürgen Schüler vom Kompetenzzentrum für ­IT-Sicherheit (KOMZET) der Handwerkskammer Rheinhessen weitere typische Angriffsziele. „Mit zunehmender Vernetzung selbst von Alltagsgegenständen steigen die Möglichkeiten der Hacker rasant“, warnt der Berater, „und damit die Gefahren für Unternehmen.“

Cybercrime ist Risiko Nummer 1 für Firmen

Dieser Trend spiegelt sich unter anderem im Allianz Risk-Barometer wider – einer jährlichen Untersuchung des Münchner Versicherers zu den wichtigsten Gefahren für Firmen. Lagen Cybervorfälle bei der ersten Erhebung vor sechs Jahren lediglich auf Rang 15 der welt­weiten Top-Risiken, so rangieren sie 2017 an dritter Stelle, in Deutschland und Großbritannien sogar auf Platz eins – weit vor den Brexit-Folgen, die Platz fünf belegen. Vor allem fürchten Unternehmen nach Cybervorfällen Betriebsunterbrechungen, Reputationsverlust und Haftungsansprüche .

Doch welche Chancen haben insbesondere kleinere Firmen, sich gegen die rasant wachsenden Risiken zu wappnen? „Ziemlich gute“, beruhigt Timo Gehle, Leiter Consulting für IT-Strategie, IT-Sicherheit und Datenschutz bei der DATEV, „sofern die Betriebe ein individuell zu ihnen passendes Sicherheitskonzept erarbeiten und es konsequent umsetzen.“ Dabei gehe es keineswegs darum, sich mit der teuersten verfügbaren Technik digital einzubunkern. „Zum einen ist totale Sicherheit ebenso illusorisch wie unbezahlbar. Mit übertriebenen Sicherheitsvorkehrungen können Sie die Arbeit in einem Betrieb auch lahmlegen“, plädiert Gehle für Augenmaß. Realistischer sei die Zielsetzung, „einen Schutz aufzubauen, der es für Kriminelle uninteressant macht, einzudringen“.

Sicherheitsregeln sind im Firmennetzwerk Pflicht

Zum anderen sei ein Sicherheitskonzept, das nur auf technischen Mitteln beruhe, zum Scheitern verurteilt. „Es gibt nahezu keinen erfolgreichen Cyberangriff ohne die unbewusste oder absichtliche Mitwirkung eines Mitarbeiters im Inneren“, fasst er eine wichtige Erfahrung aus unzähligen Beratungsprojekten in kleinen und mittelständischen Firmen zusammen. „Klare Verantwortlichkeiten, angemessene Sicherheitsregeln und regelmäßige Schulungen“ seien deshalb ebenso wichtig wie angemessene technische Vorkehrungen, unterstreicht der IT-Sicherheitsexperte. „Das reicht vom verantwortungsbewussten Umgang mit USB-Sticks oder Passwörtern bis hin zur Sensibilisierung für Gefahren, die per E-Mail ins Haus kommen“.

„Bei uns hätten die Alarmglocken schrillen müssen, weil der Anhang der Bewerbungsmail eine Excel-Datei war“, ärgert sich Anton Schober im Nachhinein. Zumal sein Mitgesellschafter und er in Sachen Internet alles andere als unerfahren sind. Mit autoworld24.de betreiben sie seit vielen Jahren eine erfolgreiche Onlineplattform für Fahrzeugteile. „Eine Tabellenkalkulation ist für die Übermittlung von Lebenslauf oder Zeugnissen ein unsinniges Format“, weiß Schober. Beim Klick auf die Datei habe jedoch die nötige Aufmerksamkeit gefehlt an jenem Freitagnachmittag.

„Nach dem Vorfall haben wir auch unsere Mitarbeiter für den achtsamen Umgang mit E-Mails sensibilisiert.“ Die von den Kfz-Ersatzteil-Spezialisten installierte Virenerkennung ließ den Schädling leider unerkannt passieren. „Wir nutzen das im Netz frei verfügbare Programmpaket eines weltweit führenden Softwarekonzerns“, verrät Anton Schober.

Kostenlose Antivirenprogramme bieten nur begrenzt Schutz

Kostenlose Antivirenschutzprogramme bieten in der Regel einen ordentlichen Grundschutz und sind deutlich besser als keine Virenvorsorge“, sagt Andreas Marx von der Magdeburger AV-Test GmbH, einem weltweit führenden, unabhängigen Prüfinstitut für Antivirenprogramme. Dennoch gebe es gerade für Unternehmen gute Gründe, zu einem Kaufprogramm zu greifen. „In vielen Gratisversionen ist etwa die verhaltensbasierte Erkennung, die potenziell schädliche Programme aufgrund der im Hintergrund ablaufenden Aktionen identifiziert, nicht enthalten“, so der diplomierte Wirtschaftsinformatiker.

„Die technische Absicherung von Firmennetzwerken wird immer komplexer“, konstatiert Jürgen Schüler vom Kompetenzzentum für IT-Sicherheit im Handwerk, „denn die Zahl und Art der eingebundenen Geräte wächst.“ So müsse heute beim Datenschutz auch an Mobilgeräte wie Smartphones oder Tablets gedacht werden. Ebenso wichtig seien regelmäßige Firmware-Updates für Peripheriegeräte wie Drucker oder Kommunikationssysteme. „Ein Handwerker, der das bei seiner Telefonanlage versäumt hatte, zahlte dafür fast 20.000 Euro Lehrgeld“, erinnert sich Schüler an einen besonders drastischen Fall: „Hacker hatten in seiner Telefonanlage eine dauerhafte Rufumleitung über einen Bezahldienst in Afrika programmiert.“

Standardeinstellungen der Hersteller laden Cyberkriminelle ein

Wer neue Geräte wie beispielsweise eine Webcam in sein System integriert, „sollte Standardeinstellungen des Herstellers für den Online-Zugriff unbedingt gegen ein eigenes, sicheres Passwort austauschen“, rät der Technologie-Experte. Denn über spezielle Suchmaschinen wie www.shodan.io könne jedermann im Netz derartiges Equipment ausfindig machen und mit den Standard-Passwörtern die Regie übernehmen. Selbst Ampelanlagen oder Heizungssysteme seien so manipulierbar. „Ein namhafter Heizungshersteller zum Beispiel hatte zur Fernwartung all seiner Geräte, bis dies ruchbar wurde, eine einzige Benutzer-Kennwort-Kombination“, verdeutlicht Schüler die Brisanz des Themas, die mit dem Smart-Home-Trend weiter wachse.

Als unbedingtes Muss für alle Unternehmen bezeichnet Schüler eine „komplette Datensicherung“ aller wichtigen Laufwerke. Entscheidend sei dabei, „das aktuelle Backup vom Netzwerk getrennt aufzubewahren“, betont der studierte Mathematiker und Physiker: „Denn bleibt die Datensicherung an einem Rechner, kann sie von einem Verschlüsselungstrojaner einfach mit verschlüsselt und damit wertlos werden.“

„Uns hat genau so ein Backup vor größerem Schaden bewahrt“, resümiert Anton Schober von Autozubehör Germering. Nachdem der Versuch, den Virus aus dem Firmennetzwerk zu beseitigen, gescheitert war, habe der herbeigerufene IT-Fachmann das komplette System des Unternehmens mithilfe der Datensicherung neu aufgesetzt, wie Schober berichtet. „Nach drei Tagen waren wir dann wieder arbeitsfähig.“

Risikoanalyse: So entlarven Sie gefährliche E-Mails

Die E-Mail ist Hackers Liebling. In drei von vier Fällen nutzen Cyberkriminelle elektronische Nachrichten für ihre Angriffe. Timo Gehle, Leiter Consulting für IT-Sicherheit und IT-Strategie der DATEV in Nürnberg, erklärt, wie Sie gefährliche Nachrichten rechtzeitig erkennen.

  1. Absender: Kennen Sie den Versender? Stellt er Kontaktdaten zur Verfügung und sind diese verifizierbar? (Nicht auf Links klicken, siehe Punkt 3!) Erwarten Sie eine Nachricht von ihm und ist der Anlass plausibel? Selbst wenn alle Fragen mit Ja beantwortet werden können: Bleiben Sie misstrauisch. Denn Kriminelle tarnen sich gern mit bekannten Namen, etwa von Telefonanbietern oder Online-Shops. Sogar die Identität von Freunden oder Geschäftspartnern anzunehmen ist für sie mit ein paar Recherchen im Netz kein Problem.
  2. Inhalt: Passen Aussagen und Tatsachen zusammen? Wenn der Betreff zum Beispiel „Ihre Bestellung“ lautet, Sie bei dem vermeintlichen Absender aber lange Zeit nichts gekauft haben, ist Vorsicht angesagt. Ebenso wenn versucht wird, Druck aufzubauen, etwa mit relativ unbestimmten Formulierungen wie „Rechnung“ oder „Inkasso“ ohne Nennung einer für Sie nachprüfbaren Vorgangsnummer. Oder wenn Inhalt und Stil des Geschriebenen widersprüchlich erscheinen (ein vertrauter Geschäftspartner Sie zum Beispiel mit „Sehr geehrte Damen und Herren“ anspricht).
  3. Verlinkungen: Klicken Sie nie auf Links, deren Herkunft und Ziel Sie nicht hundertprozentig kennen! Links können zu anderen Adressen führen, als sie nach außen anzeigen. Das gilt auch für E-Mail-Adressen. Geben Sie Adressen deshalb besser von Hand ein (zum Beispiel in ihren Browser), statt auf Links zu klicken. Wenn Sie aufgefordert werden, Passwörter zu ändern, ohne dass Sie das selbst veranlasst haben, sollten Sie dem keinesfalls Folge leisten!
  4. Anhänge : In angehängten Dateien wird Schadsoftware besonders häufig versteckt. Größte Vorsicht ist geboten bei Anhängen mit den Endungen .exe, .vbs, .js, .com oder .bat. Aber selbst Word-Dokumente, Excel-Tabellen, PDFs oder Bilder (.jpg) können einen ausführbaren Code enthalten . Klicken Sie deshalb nur auf Anhänge, die Sie erwarten und deren Absender Sie sicher kennen! Stellen Sie Ihr Mailprogramm (zum Beispiel Outlook) so ein, dass Bilder und Anhänge nicht automatisch heruntergeladen werden.
Wichtig: Bleibt nach diesen Prüfschritten auch nur ansatzweise ein ungutes Gefühl, sollten Sie die Mail weder anklicken noch öffnen. Gelingt es nicht, Herkunft und Inhalt der Nachricht auf unabhängigem Weg (zum Beispiel über eine Telefonnummer) zu überprüfen, bleibt nur eines: löschen.

Checkliste: Wie Sie Ihre IT wirkungsvoll sichern

Jürgen Schüler, Leiter des Zentrums für IT- ­Sicherheit (KOMZET) in Mainz, berät seit vielen Jahren Handwerksbetriebe bei der Vorsorge gegen Cyberkriminalität. Die wichtigsten Eckpunkte für ein Sicherheitskonzept hat er in der folgenden Checkliste zusammengefasst.

  • Leitlinien: Sie regeln den sicheren Umgang mit der Informationstechnik im Unternehmen, wie zum Beispiel: Wer darf auf welche Programme, welche Geräte und Daten zugreifen? Unter welchen Voraussetzungen dürfen fremde Datenträger angeschlossen werden? Wie müssen Passwörter beschaffen sein? Die Leitlinien müssen regelmäßig angepasst und in Soft- und Hardware (zum Beispiel mit Zugangsberechtigungen) umgesetzt werden.
  • Sensibilisierung: Kommunizieren Sie die IT-Sicherheitsleitlinien aktiv. Zeigen Sie, dass leichtfertiger Umgang zum Beispiel mit E-Mails (siehe Kasten auf Seite 42) Arbeitsplätze und sogar die Existenz des gesamten Unternehmens gefährden kann. Verdeutlichen Sie Ihren Mitarbeitern den Wert von Passwörtern, von Informationen auf Firmenrechnern und Mobilgeräten! Gewinnen Sie die Mitarbeiter dafür, selbst Schwachstellen aufzudecken und zu beseitigen.
  • Bauliche Sicherheit: Der Server und andere wichtige Geräte des Firmennetzwerkes sollten in einem Raum untergebracht sein, der für Besucher unzugänglich und auch gegen Einbruch besonders gesichert ist. Sorgen Sie gegen Energieausfälle vor, zum Beispiel mit einer unabhängigen Stromversorgung. Achten Sie darauf, dass Router, Netzwerkleitungen und Schaltkästen nicht außerhalb der Firmenräume installiert wurden.
  • Updates: Die gesamte Software des Unternehmens, allen voran Betriebssysteme, E-Mail-Programme, Browser und Office-Pakete, müssen stets auf dem neuesten Stand gehalten werden. Benennen Sie Verantwortliche für Neuinstallationen und Updates namentlich.
  • Viren- und Malwareschutz: Eine stets aktuelle Antiviren-Software mit Malwareerkennung ist Grundvoraussetzung für sicheres Arbeiten im Netz. Beachten Sie, dass auch mobile Geräte wie Smartphones und Tablets mit abgesichert werden. Professionelle Vergleichstests zeigen, welche Schutzwirkung die verschiedenen Pakete in der Praxis haben und wie nutzerfreundlich sie sind.
  • Gerätesicherheit: Halten Sie die Firmware für Internetrouter, Telefonanlagen, Drucker und andere vernetzte Geräte stets auf aktuellem Stand. Entscheiden Sie sich bei Neuanschaffungen bevorzugt für Geräte von Herstellern, die aktive Produktpflege in Form von Updates betreiben. Ersetzen Sie vom Hersteller voreingestellte Codes oder Passwörter durch eigene. Nutzen Sie für Tablets und Smartphones Mobile-Device-Management-Systeme (MDM), mit denen deren Sicherheitsfunktionen und Updates zentral gesteuert werden können.
  • Backup: Sorgen Sie für regelmäßige Datensicherungen aller wichtigen Laufwerke. Achten Sie darauf, dass mindestens ein vollständiges und möglichst aktuelles Backup vom Firmennetz getrennt aufbewahrt wird, um eine Verschlüsselung durch eingedrungene Schadprogramme zu verhindern. Testen Sie regelmäßig, ob die Backups auch funktionstüchtig sind. Denn Fehler kommen bei Datensicherungen häufiger vor, als die meisten Anwender vermuten.