Phishing, Ransomware und DDoS-Angriffe

Notfallkoffer für IT-Sicherheit

Seite: 2/2

Anbieter zum Thema

ISMS aufstellen

Bereits im Jahr 2021 galt Ransomware als größte Bedrohung für die IT-Sicherheit von Unternehmen
Bereits im Jahr 2021 galt Ransomware als größte Bedrohung für die IT-Sicherheit von Unternehmen
(© Bitkom)

Natürlich sind weder Behörden noch kommunale Verwaltungen oder kritische Infrastrukturen entsprechenden Angriffen einfach ausgesetzt. Mit ausreichend Sicherheitsvorkehrungen kann das Risiko Opfer einer Cyberattacke zu werden deutlich reduziert werden.

So sollte ein Information Security Management System (ISMS) aufgestellt werden, innerhalb dessen Regeln, Prozesse und Tools definiert sind, mit denen die Informationssicherheit dauerhaft gesteuert, kontrolliert, sicherstellt und optimiert werden kann. Für den öffentlichen Sektor bietet sich hier der IT-Grundschutz des BSI an. Dieser setzt sich aus den BSI-Standards und dem IT-Grundschutzkompendium zusammen und erläutert neben technischen Aspekten auch solche, die Infrastruktur, Organisationen und Personal betreffen.

„Anwender können sich gezielt die IT-Grundschutz-Bausteine heraussuchen, die für ihre Sicherheitsfragen relevant sind“, so das BSI. Eine detaillierte Risikoanalyse ist dabei nicht von Nöten, denn es wird pauschal von einer Gefährdung ausgegangen. Stattdessen gibt es drei Schutzbedarfskategorien auf deren Basis entsprechende personelle, technische, organisatorische und infrastrukturelle Sicherheitsmaßnahmen auf dem IT-Grundschutz-Katalog ausgewählt werden. Bei erfolgreicher Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informations­sicherheits­management­systems (ISMS) erhalten Institutionen vom BSI das Zertifikat ISO/IEC 27001. Die Stufen 1 und 2 basieren dabei auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten Auditor.

Immer aufmerksam bleiben

Nicht außer Acht gelassen werden sollte jedoch auch der Risikofaktor Mensch. „Man kann so viel Awarness haben wie man möchte, irgendjemand wird auf den Link klicken. Vor allem bei gut gemachtem Social Engineering“, so Atug. Beim Social Engineering nutzen die Täter tief sitzende menschliche Dispositionen und Bedürfnisse – etwa den Wunsch zu helfen – aus. Im Fall des Spear-Phishings geht dem eMail-Versand meist sogar eine Recherche voraus, um die Kampagne auf die Zielgruppe zuzuschneiden.

„Beim CEO Fraud (CEO-Betrug) schließlich versuchen kriminelle Täter, Entscheidungsträger beziehungsweise für Zahlungsvorgänge befugte Mitarbeiter oder Mitarbeiterinnen in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen“, so das BSI. Daher ist die regelmäßige Schulung aller Mitarbeiter essentiell, um sie hinsichtlich der Bedrohungsszenarien auf den aktuellsten Stand zu bringen und die Wachsamkeit zu erhöhen. Hyperlinks und Anhänge sollten beispielsweise niemals vorschnell geöffnet und ungewöhnliche Anweisungen mit Skepsis betrachtet werden. Entsprechende Schulungen sollten dabei auch immer dokumentiert werden, so dass der IT-Beauftragte jederzeit weiß, welche und wie viele Mitarbeitenden diese im vergangenen Jahr absolviert haben.

Den Angreifern zuvorkommen

Darüber hinaus kann die Anfälligkeit eines Systems schon dadurch minimiert werden, dass Geräte, Betriebssysteme und Software immer auf dem aktuellen Stand sind und Sicherheitsupdates zügig eingespielt werden. Immerhin treten hier regelmäßig Schwachstellen auf. Mit einem durchgehenden Patch-Management ist sichergestellt, dass diese Lücken nicht lange bestehen und die Gerätesicherheit gewährleistet ist.

Dennoch, bei Systemen, die regelmäßig erweitert und ausgebaut werden, können immer wieder neue Schwachstellen und Sicherheitslücken entstehen, die nicht sofort erkannt oder durch Updates behoben werden können. Daher bietet sich der Einsatz von Schwachstellenscannern an, die Anwendungen und Netzwerke automatisiert überprüfen. Da diese bei komplexen Sicherheitslücken jedoch an ihre Grenzen stoßen, ist darüber hinaus auch die Zusammenarbeit mit sogenannten Penetration Testern möglich. Diese versuchen, äquivalent zu den Hackern, in die Systeme einzudringen. Gelingt dies, können die Angriffswege gezielt abgesichert werden. Wichtig ist dabei allerdings, dass entsprechende Tests regelmäßig wiederholt werden, denn Cyber-Sicherheit ist ein Prozess, der im Endeffekt niemals abgeschlossen ist.

Resilienz erhöhen

Doch es gibt noch einiges mehr, dass Behörden und Institutionen machen können, um allgemein widerstandsfähiger zu werden: Das beginnt bereits bei der Passwortvergabe. Passwörter sollten Buchstaben, Zahlen und Sonderzeichen kombinieren und nicht für mehrere Zugänge genutzt werden. Um dennoch den Überblick über diese zu behalten, bietet sich ein Passwort-Manager an – der Zettel in der Schreibtischschublade ist nicht sicher! Noch besser ist natürlich eine Zwei- oder Multifaktor-Authentifizierung.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Darüber hinaus sollten den Mitarbeitenden nur die nötigsten Zugangsrechte gewährt werden, die sie für ihre Arbeit benötigen. So haben sie zu möglichst wenigen sensiblen Teilen des Unternehmensnetzwerks Zugriff – und damit auch der Cyberkriminelle, falls er beispielsweise an die Passwörter gelangt. Gleichzeitig sollten die Endgeräte, die auf das Netzwerk zugreifen wollen, kontrolliert werden. Dadurch kann nicht nur sichergestellt werden, dass diese auch wirklich die benötigten Berechtigungen haben, sondern gleichzeitig auch, dass sie nicht kompromittiert wurden.

Durch regelmäßige Analyse der Log-Daten können zudem Muster aufgedeckt werden, die früh auf Sicherheitsverletzungen hinweisen. So können die Lücken geschlossen werden bevor der Ernstfall eintritt.

Den Notfall planen

Falls es doch zu einem Sicherheitsvorfall kommt, sollte unverzüglich Strafanzeige bei der Polizei erstattet werden. „Das BKA und die Länderpolizeien haben hierfür zentrale Ansprechstellen, sogenannte ZACs, eingerichtet, die Betroffenen vor und im Schadensfall schnell und kompetent weiterhelfen“, erklärt Meywirth. „Für Angriffe auf Bundeseinrichtungen und Kritische Infrastrukturen haben wir beim BKA darüber hinaus eine Quick-Reaction-Force eingerichtet. Hier steht rund um die Uhr ein Team von IT-Spezialistinnen und Spezialisten sowie Polizeikräfte bereit, um im Schadensfall direkt die Strafverfolgung aufzunehmen und zu beraten.“

Dieses Vorgehen sollte auch in einem Cyber Incident Response Plan festgehalten werden, einem Leitfaden, der für den Fall des Angriffs, die Maßnahmen zur Begrenzung des Schadens definiert. Daneben sollen in diesem Notfallplan auch die notwendigen technischen Schritte, die eingeleitet werden müssen, definiert, sowie die Kontaktdaten relevanter Ansprechpersonen im Unternehmen festgehalten werden. Auch rechtliche Aspekte wie Meldepflichten bei Datenschutzverletzungen müssen berücksichtigt werden. Des Weiteren gehört eine vorbereitete Krisenkommunikation dazu, um Kunden, Partner, Bürger schnellstmöglich zu informieren. Greifen diese Notfallmaßnahmen richtig ineinandergreifen, gewinnen Behörden bei der Abwehr eines Angriffs wertvolle Zeit und können den drohenden Schaden deutlich eingrenzen. Damit dies im Ernstfall auch klappt, ist es jedoch wichtig, den Notfallplan auch regelmäßig zu üben, die Übungen zu dokumentieren und auszuwerten.

Im Falle eines Ransomware-Angriffs sind zudem Backups unerlässlich. Dadurch sind Daten, die von Angreifern verschlüsselt oder gelöscht werden nicht unwiderruflich verloren. Entscheidend ist dabei jedoch, dass die Backup-Daten an einem separaten Standort archiviert werden, zu dem die Netzwerk-Verbindung nach der Übertragung wieder gekappt werden kann.

(ID:48105479)