„Investitionen, die sich lohnen“

Die IHK-Organisation ist nur eine von etlichen Institutionen, die bereits Opfer einer Cyberattacke wurden. Wie sich Unternehmen am besten davor schützen können, erklärt IT-Sicherheitsexperte Jan-Niklas Puls.
Jeden Tag gibt es geschätzt rund 4.000 Hackerangriffe auf deutsche Unternehmen und Institutionen. Nur ein Bruchteil wird aufgeklärt. Warum ist das so?
Ein großer Teil der Angriffe wird erst gar nicht gemeldet. Häufig weiß man nicht, wer die Angreifenden waren und wo der Angriff herkam. Das kann beispielsweise eine Phishing-Mail sein, auf die Mitarbeitende versehentlich klicken. Dann graben sich Schadprogramme sehr schnell immer tiefer, sodass nachher teilweise nicht feststellbar ist, was der Ursprung des Angriffs war. Es gibt zwar sogenannte Artefakte, also Überbleibsel und Spuren im System. Diese dann aber richtig zuzuordnen, ist nicht immer möglich. Und gerade bei kleineren Unternehmen wird das teilweise gar nicht gemacht, weil es teuer und aufwändig ist und man sich oft lieber schnell auf die Datensicherung, sofern vorhanden, fokussiert. Bei sogenannten Verschlüsselungstrojanern zahlen manche Unternehmen zudem lieber schnell Lösegeld in der Hoffnung, schnell wieder an ihre Daten zu kommen.
Angreifende erhoffen sich Lösegeld.
Die Dunkelziffer an nicht gemeldeten Cyber-Angriffen dürfte also um einiges höher sein?
Ja, das denke ich.
Jan Niklas Puls im Porträt.
Jan-Niklas Puls ist IT-Sicherheitsexperte beim Mittelstand-Digital Zentrum Hannover, das unter www.digitalzentrum-hannover.de kostenlose Angebote für Unternehmen bereitstellt. © Mittelstand-Digital Zentrum Hannover

Was wollen die Angreifenden überhaupt von kleinen und mittelständischen Unternehmen?
Angreifende erhoffen sich Lösegeld. Angriffsvektor ist hier meistens die Phishing-Mail. Bei größeren Organisationen geht es meist um Lösegeld oder um Wirtschaftsspionage. In Bereichen der kritischen Infrastruktur – Wasserversorgung, Stromversorgung, Krankenhäuser – geht es teilweise einfach nur darum, diese lahmzulegen und gegebenenfalls einem ganzen Land oder einer Region zu schaden. Nach einem Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt musste deswegen erstmals der Katastrophenfall ausgerufen werden. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar.
Wie lassen sich wichtige Daten am besten schützen?
Regelmäßige Datensicherungen sollten in jedem Unternehmen durchgeführt werden. Am besten nach dem 3-2-1-Prinzip: mindestens drei Datensicherungen auf zwei verschiedenen Medien, beispielsweise einer Festplatte von Hersteller A und einer von Hersteller B. Festplatten können theoretisch kaputtgehen, Hardware hat eine gewisse Halbwertszeit. Um das Risiko zu minimieren, dass beide gleichzeitig ausfallen, nimmt man unterschiedliche Hersteller. Schlussendlich sollten sie an unterschiedlichen Orten gelagert werden, z. B. in anderen Brandabschnitten, damit im Fall der Fälle nicht beide Festplatten zeitgleich verbrennen. Wichtig ist auch, dass sie in abgeschlossenen Räumen gelagert werden, zu denen nur autorisiertes Personal Zutritt hat. Bei kleinen Unternehmen könnte zum Beispiel die Geschäftsführung abends die Daten verschlüsselt auf einer Festplatte mit nach Hause nehmen. Wichtig sind außerdem Schulungen der Mitarbeitenden. Gerade bei kleinen Unternehmen sind Phishing-Nachrichten ein Haupt-Einfallstor für Schadsoftware. Wichtig ist eine Anti-Malware für alle Geräte, die Zugriff auf das Firmennetzwerk haben.
Was ist mit Cloud-Lösungen?
Auch das ist eine Möglichkeit. Es ist aber wichtig, dass Daten auch in der Cloud nur verschlüsselt abgelegt werden.
Sollte neben digitalen Lösungen auch eine physische Datensicherung gemacht werden, also etwa in Karteiordnern?
Nein, das halte ich für übertrieben. Bei wichtigen Daten, ohne die nichts funktionieren würde, könnte man natürlich da­rüber nachdenken. Aber in der Regel reicht die Datensicherung digital, wenn man sie streut. Pläne, Dokumente und Listen, die zur Wiederaufnahme des Geschäfts nach einem Angriff wichtig sind, sollten allerdings offline zur Verfügung stehen.
Es sind vor allem organisatorische Kosten, Datensicherung ist mit Arbeitsaufwand verbunden.
Das klingt alles recht aufwändig. Was kostet das?
Es sind vor allem organisatorische Kosten, denn die Datensicherung ist mit Arbeitsaufwand verbunden. Kleinere Unternehmen können mit einmalig rund 2.000 Euro plus regelmäßige Lizenzgebühren und alle paar Jahre neue Festplatten rechnen. Auch die Schulung der Mitarbeitenden sollte regelmäßig wiederholt und aktualisiert werden. Das sind letztendlich aber Investitionen, die sich lohnen.
Kaum jemand spricht offen über Cyberattacken – wie beurteilen Sie das?
Viele Unternehmen sprechen aus Scham nicht über solche Angriffe, sie befürchten einen Imageschaden. Dabei wäre es wichtig, dass mehr darüber gesprochen wird. Unternehmen der kritischen Infrastruktur haben tatsächlich eine Meldepflicht an das Bundesamt für Sicherheit in der Informationstechnik. Es gibt keinen Grund, sich dafür zu schämen, angegriffen worden zu sein. Das passiert kleinen und sehr großen Unternehmen und sogar staatlichen Institutionen. Es kann jeden treffen. Sich darüber auszutauschen und voneinander zu lernen, bringt nur Gutes. Unternehmen können auf der Basis anderer Angriffe Notfallpläne entwickeln und mögliche Angriffsvektoren besser schützen. Anne Klesse
IHK Lüneburg-Wolfsburg
Am Sande 1 | 21335 Lüneburg
Tel. 04131 742-0
Mail: service@ihklw.de