Wie kann man sich als KMU vor Cyberattacken schützen?

Wie können sich KMUs vor Cyberattacken schützen?

Sie beraten ja KMUs bei Fragen der Cybersicherheit. Da muss ich fragen: Wurden Sie selbst schon mal gehackt?

Ich selbst persönlich, nein.

Das heißt: Sie können Cyberattacken effektiv verhindern.

Für Attacken bin ich eher zu klein. Ich weiß aber, dass selbst meine rudimentäre Webseite ständig befeuert wird, je nachdem, wo die Adresse mal auftaucht. Das sehe ich schon.

Ob ein Unternehmen attackiert wird, hängt also mit seiner Größe, seiner wirtschaftlichen Bedeutung zusammen?

Ich glaube, so kann einfach kann man das nicht sagen.

Die Frage ist vielmehr: Ist man bei der Target Group der Cyberkriminellen dabei? Und was für einen Footprint hinterlässt man möglicherweise im Internet, mit dem man Aufmerksamkeit auf sich zieht?

Bei Hacking-Attacken sucht man auch nach Schwachstellen, nach der Devise: „Wenn jetzt einer schwach ist, dann gehe ich da rein.“ Gerade bei staatlichen Einrichtungen kann das eine Attacke motivieren.

Aber die Schlussfolgerung „Ich bin ein kleines Unternehmen, mich wird es nie treffen“ ist schlicht falsch. Das sehe ich an meiner Webseite. Die wird befeuert, obwohl da nichts ist, was mir wehtun würde, wenn es durch eine Cyberattacke verloren ginge.

"Das ist nur noch zerstörerische Qualität"

Wie schätzen Sie denn die aktuelle Bedrohungslage ein? Hat die Zahl der Cyber-Angriffe zugenommen?

Ja, die haben massiv zugenommen.  

Das hat natürlich auch mit dem 24. Februar zu tun, dem Kriegsbeginn in der Ukraine. Seitdem haben die Cyberangriffe nochmals eine andere Qualität bekommen und sicherlich nochmals zugelegt. Das zeigt auch die Cybersicherheitsagenda des BMI für die 20. Legislaturperiode.

Dabei sind es nicht mehr die Art von Attacken, die man schon kannte. Im Sinne von: Wir machen mal einen „lustigen Streich“. Oder auch: Wir verschlüsseln die Daten des Opfers und erpressen Lösegeld.

Die Zeit ist vorbei, damit hält man sich nicht mehr auf.

Cyberattacken sehen inzwischen so aus: Wir stehlen Daten und löschen direkt. Das ist nur noch zerstörerische Qualität.

Und wer da nicht vorbereitet ist, der hat dann am Ende gar nichts mehr.

Aber die Betroffenen halten sich eher bedeckt.

Da ist man leider sehr schüchtern an der Stelle, dass man nicht öffentlich kommuniziert: Wir sind gehackt worden.

Dabei sind die betroffenen Unternehmen nicht die einzigen, denen das passiert, sondern „in guter Gesellschaft“ – auch weil das Thema immer komplexer wird. Und dementsprechend kann dann schon mal etwas durchrutschen.

Vor allem in kleineren Unternehmen befasst sich oft kein Spezialist mit der Cyber-Security – und dann auch noch in Teilzeit. Salopp gesagt: Der Mitarbeiter macht dann Security ein bisschen nebenher. Aber das gibt es auch bei Unternehmen einer mittleren Größenordnung.

Und dann rutscht leicht etwas durch: Ein System wurde nicht aktualisiert und das war dann leider das Einfallstor.

"Die eigentliche Frage lautet: Ist der Zwischenfall noch zu managen?"

Wie gut sind deutsche Unternehmen auf Cyber-Angriffe vorbereitet?

Schwer zu sagen.

Wenn man der Fachpresse trauen darf: schlecht. Schaut man aber ein bisschen näher hin, ergibt sich ein differenzierteres Bild. Ich glaube schon, dass vieles im Guten ist.

Andererseits: Wenn mancherorts noch vorchristliche Systeme betrieben werden, die keine Sicherheitspatches erfahren – oft aus vermeintlichen Kostengründen – dann ist das problematisch.

Richtig ist, dass das Ausmaß der Schäden bei deutschen Unternehmen extrem stark von der Qualität ihrer Vorbereitung abhängt: einmal wegen ihres relativ hohen Grades an Vernetzung, aber auch weil sie auf die eine oder andere Weise stark mit Hochtechnologie zu tun haben.

Aber die eigentliche Frage ist weniger, wie gut man einen Zwischenfall verhindern kann. Die eigentliche Frage lautet: Ist der Zwischenfall noch zu managen? Und da könnte es schwierig werden.

Was sollte man als erstes tun, wenn man gehackt wurde?

Wenn man gehackt wurde, ist das allererste, Anzeige bei der Polizei zu erstatten. Die wird dann zwar im Rahmen ihrer Ermittlungstätigkeit das System sperren, das heißt, ich dann das System für mindestens drei Tage nicht neu aufsetzen. Das ist sozusagen der Haken an der Sache. Aber da kommt man nicht umhin.

Dann den Datenschutzbeauftragten und ggf. weitere Regulierungsbehörden informieren. Ob letzteres nötig ist, hängt davon ab, was für eine Organisation ich bin. Verarbeite ich sehr viele personenbezogene Daten, wie z.B. Krankenhäuser, so werde ich mich relativ schnell beim Datenschutzbeauftragten meiner Region oder meines Bundeslandes melden müssen.

Des Weiteren ist die Cyber-Versicherung, wenn ich sie habe, zu informieren.

„Wie weit kann ich also den Zustand vor dem Angriff überhaupt wiederherstellen?“

Und schließlich das interne Playbook durchlaufen:

Den Krisenstab einberufen.

Dann herausfinden: Wie viel Datenverlust habe ich erlitten? Wie ist die Qualität der Daten, die ich jetzt noch habe? Wie steht es mit dem Backup? Wurde es – z.B. im Zuge einer Ransomware-Attacke – möglicherweise schon mitverschlüsselt? Wie weit kann ich also den Zustand vor dem Angriff überhaupt wiederherstellen? Das ist ja auch etwas, das man erstmal realisieren muss.

Sodann klären: Wo liegt das eigentliche Problem? Ist das, was ich sehe, schon alles? Oder gibt es noch weitere Probleme?

Vor allem aber sollte man das gleiche wie im Falle eines Brandes tun: Ruhe bewahren.

Sie erwähnten Cyber-Versicherungen. Sollte man eine abschließen?

Ich denke: ja.

Einige Schäden kann die Versicherung übernehmen. Und als Kunde habe ich über die Versicherung auch einen guten Zugang zu Dienstleistern und Experten – die ja auch teils hohe Stundensätze nehmen.

Aber das wird mich nicht gegen alles absichern. Der Betriebsausfall mag zum Teil ersetzt werden. Aber je nachdem, wie sich die Attacke auswirkt, sind es schnell mal einige Monate, bis man wieder Rechnungen schreibt. Das wird keine Versicherung völlig übernehmen.

Das A und O der Cybersicherheit ist also die Prävention?

Prävention, Prävention, Prävention – soweit das möglich ist. 100-prozentige Sicherheit gibt es einfach nicht.

Ein Teil davon ist die Aktualisierung von Systemen. Jeden zweiten Dienstag im Monat gibt es ja den „Patch-Tuesday“, wenn Microsoft seine Patches herausgibt, die Sicherheitslücken schließen.

Aber da muss man zusehen, dass man die wichtigen und als hoch gefährlich eingestuften Lücken so schnell wie möglich schließt.

Das muss man regeln. Wenn ich in meiner SLA, der Dienstleistungsgütevereinbarung, z.B. vereinbart habe: Spätestens zehn Tag danach möchte ich die kritischen Sicherheitslücken geschlossen haben, wird der Auftrag an meine IT oder den externen Service Provider zu spät rausgehen.

Außerdem wird meine IT oder der externe Service Provider wird sich ja in der Regel zuerst an die PC-Systeme machen. Lücken treten hier ja am häufigsten auf. Aber ich kann nicht versuchen, jeden PC immer zu 100 Prozent dicht zu halten.

Das gilt auch für die mobilen Systeme, die oft gar nicht neu gestartet werden, sondern immer nur schlafen gehen und morgens wieder gestartet werden. Dann kommen die, ohne zu booten, wieder hoch. Wenn der Patch einen Boot braucht, muss man dafür Sorge tragen, dass das passiert.

Dazu kommen noch die Server. Auch die brauchen von Zeit zu Zeit eine Down Time, um sie zu aktualisieren.

Dieses Thema erstreckt sich also auf alle Systeme, vom Mobiltelefon bis zum Server. Und die Frage lautet: Wie kriege ich das in der Organisation hin?

"Die beste Firewall sind die eigenen Mitarbeiter"

Das zweite große Thema ist die Mitarbeiter-Awareness.

Es gibt den schönen Satz: Die beste Firewall sind die eigenen Mitarbeiter. Ich sollte also meine Mitarbeiter kontinuierlich schulen.

Themen solcher Schulungen könnten z.B. Phishing-Mails sein: Wie erkenne ich eine Phishing-Mail? Stammt die Mail mit der fehlerhaften Grammatik wirklich von der Sparkasse? Oder der CEO-Fraud: Würde der CEO meiner Organisation mich wirklich darum bitten diesen hohen Betrag auf ein unbekanntes Konto zu überweisen.

Das kann man verhältnismäßig leicht vermitteln – übrigens auch mit Dienstleistern, die das übernehmen.

Und damit kann man viel erreichen: E-Mail-Anhänge sind das wichtigste Transportmittel für Malware und Passwörter werden vor allem dann bekannt, wenn ein Mitarbeiter sie gutgläubig herausgibt.

Seine Mitarbeiter zu schulen, ist schon die halbe Miete.

Hat Cybersicherheit also eher etwas mit den Abläufen in einer Organisation zu tun als mit technischen Fragen?

Ja, die Technik ist ja im Zweifelsfall sogar noch leichter zu beherrschen, weil sie sich gegen Abläufe, wenn man so will, nicht sperrt. Den Patch kann man ja aufspielen, das ist keine technische Frage. Der Rest ist die Organisation, das ist sicherlich so.

Aber selbst man hier alles richtig macht: Eine 100-prozentige Cybersicherheit gibt es nicht.

Am wichtigsten ist daher immer die Vorbereitung des Krisenmanagements.

Was wäre bei der Vorbereitung eines Krisenmanagements Ihr wichtigster Rat?

Ein Krisenhandbuch zu erstellen und die Business Continuity zu planen.

Im Krisenhandbuch schreibe ich Prozesse aus, um eine Checkliste zu haben, die man dann einfach durchlaufen kann. Dazu gehören Themen wie:

Welche Leute brauche ich jetzt? Wer ist Teil meines Krisenstabes? Und wo treffen wir uns?

Außerdem muss ich meine Mitarbeiter informieren. Cyberattacken laufen leider meistens nachts oder am Wochenende. Am Montag hängen dann alle ahnungslos ihre Rechner ins Netz, wie bisher, und zwar auch solche, die vielleicht sauber waren. Das muss man verhindern.

Ferner: Welche Stellen kontaktiere ich als Erstes? Wie vorhin erwähnt muss ich ja verschiedene Stellen informieren: die Polizei, meinen Versicherer, vielleicht einen Anwalt, ggf. auch den Datenschutzbeauftragten.

Das sind Themen, die in ein Krisenhandbuch reingehören, damit ich im Ernstfall nach einem Drehbuch vorgehen kann.

Sehr wichtig sind auch Ersatzprozesse: Was kann ich noch tun, wenn ich keinen Rechner mehr habe? Das müsste für jeden Prozess geklärt werden, um den Betriebsausfall zu begrenzen.

Und schließlich: Was tue ich, wenn alle Daten weg sind, auch die Kontaktdaten von Kunden und anderen Externen?

Diese Sachen müssen alle geplant werden. Das kann man im Vorfeld gar nicht genug durchdenken.

Haben Sie vielen Dank für Ihre Zeit!

Gerne!

Die nächsten Schritte

Möchten Sie die Wirksamkeit Ihrer Sicherheitsmaßnahmen prüfen lassen? Oder brauchen Sie Unterstützung bei der Erstellung eines Krisenhandbuchs? Unser Experte steht Ihnen für diese und andere Fragen als Berater und Interim Manager zur Verfügung. Mehr Informationen zu seiner Person finden Sie auf seinem Managerprofil.