Vielschichtiger geht es wohl kaum: Neben einer möglichst effektiven Abwehr von Angriffen gehört die Vorbereitung auf eine Reaktion zur Schadensbegrenzung und möglichst schnelle Wiederherstellung der Systeme nach einem Angriff zu den Kernelementen einer durchdachten Strategie in der Cybersicherheit. Darauf sind die Mitarbeiterinnen und Mitarbeiter des REMONDIS IT Services fokussiert und davon ist auch Stephan Dahlmann überzeugt. Der Verantwortliche für die IT-Infrastruktur von REMONDIS weiß allerdings sehr genau, dass es trotz aller Anstrengungen eine hundertprozentige Sicherheit nicht gibt.
Die Risiken kommen dabei aus ganz unterschiedlichen Richtungen. Professionelle Kriminelle, enttäuschte ehemalige Mitarbeiter oder der Angriff aus einem anderen Staat auf die kritische Infrastruktur. Alles ist denkbar – und alles hat es praktisch schon in Deutschland gegeben. Die Täter nehmen ein Unternehmen dabei aus verschiedenen Motiven ins Visier: Erpressung, Rache oder Sabotage können Treiber sein. Insgesamt war 2022 die Risikolage für Deutschlands Unternehmen nach Einschätzung des Bundesamt für Sicherheit in der Informationstechnik (BSI) „so hoch wie noch nie“ (Bericht zur Lage der IT-Sicherheit in Deutschland 2022).
Die Risiken kommen dabei aus ganz unterschiedlichen Richtungen. Professionelle Kriminelle, enttäuschte ehemalige Mitarbeiter oder der Angriff aus einem anderen Staat auf die kritische Infrastruktur.
Hinzu kommt, dass es zu keiner Zeit so leicht war, Angriffe auf die IT-Infrastruktur von Unternehmen auszuführen. Denn nicht nur Webseiten kann man heute mit Hilfe von Programmen quasi ohne detaillierte Kenntnisse erstellen. Auch für Schadprogramme gibt es heutzutage Softwarelösungen, die es in den dunklen Ecken des Internets zu kaufen gibt, sozusagen Komplettlösungen von professionell organisierten Gruppierungen, die man nur noch von der Leine lassen muss. Sogar Leistungen wie eine Hotline für Erpressungsopfer sind als Zusatzservice buchbar.
Bei einem Angriff auf IT-Systeme kommen verschiedene Arten von Schadsoftware zum Einsatz, überwiegend sogenannte „Trojaner“. Sie schmuggeln sich via E-Mail, Download oder USB-Stick in das System eines Unternehmens. Drei Ziele werden dabei – häufig gleichzeitig – verfolgt: Verschlüsselung der Daten auf den Unternehmensservern zur Erpressung von Lösegeldern, Diebstahl von Daten zwecks Veröffentlichung bzw. Verkauf und das Blockieren des Zugangs zu internen Anwendungen oder auf Internetsysteme wie Webshops oder Cloud.
Flexible Abwehr
Auch REMONDIS ist von solchen Angriffsversuchen nicht verschont geblieben. Doch bisher handelte es sich ausschließlich um isolierte Vorfälle, die rechtzeitig erkannt und bekämpft werden konnten. Längst ist dabei aus der altbekannten Firewall zur Abschottung gegenüber dem Internet und einer Software zum Schutz vor Viren und Trojanern ein komplexes, mehrschichtiges System geworden, das eingehende E-Mails nicht nur auf bekannte Viren scannt, sondern im Verdachtsfall Anwendungen und Inhalte in einem isolierten Umfeld ausführt, so Schadsoftware erkennt und löscht. Diese Prüfung erfolgt dabei in einer so hohen Geschwindigkeit, dass der Nutzer die Verzögerung bei der E-Mail-Zustellung in der Regel nicht wahrnimmt. Das ist schon deswegen wichtig, weil IT-Sicherheit ja nicht die Arbeitsabläufe im Unternehmen verzögern soll.
In der Vergangenheit waren sogenannte Phishing-Mails zum Diebstahl von Zugangsdaten meist schon an ihren sprachlichen und grafischen Fehlern zu identifizieren. Das ist heute leider häufig anders. Da muss man schon zweimal hinsehen, um zu erkennen, dass etwa die Absenderadresse der E-Mail nicht zum vermeintlich seriösen Absender passt. Und auch der Aufwand für die professionelle Anmutung einer Nachricht steigt ständig. Einzelne Angriffe beruhen sogar auf echten Recherchen zu einzelnen Personen und ihrem Arbeitsumfeld, um die „Schwachstelle Mensch“ zielgenau auszunutzen. Hier spricht man von Social Engineering, um so glaubwürdig Zugangsdaten zu generieren und Schadsoftware einzuschleusen.
Die technische Seite ist deshalb aus Sicht von Dahlmann nur einer der Eckpfeiler einer erfolgreichen Strategie. Er sieht die Mitarbeiter eines Unternehmens in einer zentralen Rolle: „Es gibt hochprofessionelle Angriffe, die auch die beste technische Abwehr nicht erkennt. Am Ende sind es die Aufmerksamkeit und das Misstrauen der Mitarbeiter im Umgang insbesondere mit E-Mails, die entscheidend sind.“ Dahlmann betont deshalb, dass bei REMONDIS allen Mitarbeitern – teils verpflichtend – Schulungen etwa zum sicheren Umgang mit E-Mails angeboten werden. Schließlich sollte sich jedes Unternehmen auch auf den schlimmsten Fall vorbereiten. Das betrifft einerseits eine Sicherungsstrategie, die einen komplett unabhängigen Zugriff auf geschäftsrelevante Daten genauso ermöglicht wie eine schnelle Wiederherstellung betroffener IT-Systeme. Die Strategie ist in einem Notfallhandbuch dokumentiert und definiert zum Beispiel die Reihenfolge bei der systematischen Wiederherstellung der IT-Systeme. Wer sich erst im Schadensfall mit Prioritäten auseinandersetzt, verliert wertvolle Zeit und übersieht wohlmöglich auch aus technischer Sicht wichtige Bausteine.
Insgesamt sorgt REMONDIS IT Services damit für ein möglichst hohes Maß an Sicherheit. Kein System, das betont Dahlmann, ist dabei hundertprozentig sicher. Dazu verändern sich Vorgehen und technische Möglichkeiten der Angreifer viel zu schnell. Schritt halten können hier nur Unternehmen, die sich fortlaufend anpassen. Am Ende sind es eigentlich immer die Mitarbeiter, die den Unterschied machen: bei REMONDIS wie in jedem anderen Unternehmen.
Drei Ratschläge für Anwenderinnen und Anwender:
- Seien Sie misstrauisch: Erwarte ich aktuell eine Rechnung an meine Firmen-E-Mail-Adresse und ist der Absender wirklich der, der er vorgibt zu sein? Falls Sie in der Hektik des Alltags aus Versehen den Anhang einer verdächtigen E-Mail geöffnet oder auf einen Link geklickt haben: informieren Sie schnellstmöglich Ihren IT-Ansprechpartner.
- Vermeiden Sie die Nutzung externer Speichermedien (z. B. fremder USB-Sticks oder Cloud-Speicher) auf Firmenrechnern.
- Insbesondere für Führungskräfte sowie Mitarbeiter von IT- und Finanzbuchhaltung gilt: Denken Sie daran, dass Informationen auf Business-Plattformen wie LinkedIn Sie zum potenziellen Ziel machen. Überlegen Sie also genau, wer welchen Informationen sehen darf.
Weitere hilfreiche Hinweise finden man z. B. auf den Seiten zum „Digitalen Verbraucherschutz“ beim Bundesamt für Informationssicherheit (BSI).
Bildnachweis: Bild 1: Adobe Stock: immimagery