Es gibt drei Arten von Unternehmen: Jene, die bereits gehackt wurden, diejenigen, die als nächste dran sind und jene, die gar nicht wissen, dass sie bereits kompromittiert worden sind. Cybersicherheit im Krisenfall war Thema bei einem Publikumsgespräch des Report Verlages – Security muss in die DNA jedes Unternehmens integriert werden.
Ein aktueller Cyber Security Report von Deloitte bestätigt: Cyberkriminalität gehört mittlerweile zum Unternehmensalltag. Die Hälfte der Befragten bei einer Stichprobe von 450 Unternehmen erlebt regelmäßig Ransomware-Angriffe. Zwölf Prozent der Unternehmen geben an, dass fast täglich Angreifer*innen versuchen, von außen in das Unternehmens-Netzwerk einzudringen mit dem Ziel, Daten zu verschlüsseln. Bei fast einem Fünftel konnten Cyberkriminelle sensible Unternehmensdaten tatsächlich verschlüsseln. Die dadurch entstehenden Kosten sind substanziell. Neben Umsatzausfällen fallen Kosten für die Wiederherstellung und -beschaffung der verschlüsselten Daten an, Unternehmen verzeichnen Reputations- und Imageschäden. Die Imagefolgen und der Verlust wichtiger Informationen als Konsequenz eines Cyber-Angriffs stellen eine große Belastung dar. Um sich vor Attacken nachhaltig zu schützen, muss Daten- und Informationssicherheit als Top-Priorität auf die Agenden der heimischen Unternehmen gesetzt werden. Trotz steigender Cybersecurity-Awareness bieten Österreichs Unternehmen aber noch immer eine zu große Angriffsfläche, bei IT-Sicherheitskonzepten besteht dringender Aufholbedarf.
Attacke durchspielen
Mit der steigenden Anzahl an Cyberattacken stellt sich nicht die Frage, ob ein Unternehmen einen Ransomware-Angriff erlebt, sondern wann und mit welchen Folgen. Wenn der Ernstfall eintritt, hat derzeit nur etwa jedes fünfte Unternehmen einen Krisen- oder Notfallplan parat. Um bei einer Cyberattacke rasch und effizient handeln zu können, müssen Unternehmen aber über ein vorher entwickeltes IT-Sicherheitskonzept verfügen. Dieses muss einen zeitgemäßen Krisen- und Notfallplan enthalten, der nicht nur auf einem Server abgelegt ist, sondern auch physisch als Ausdruck rasch greifbar ist. Zudem ist es unbedingt erforderlich, die IT-Sicherheitsmaßnahmen des eigenen Unternehmens permanent weiterzuentwickeln und in regelmäßigen Abständen zu testen, um eine wirksame technische Barriere gegen Ransomware zu stärken. Policies und Schulungen sollten alle Mitarbeitenden für typische Gefahren und riskante Verhaltensweisen sensibilisieren. Die meisten der betroffenen Unternehmen konnten die Daten über eine Sicherung (Backup) wiederherstellen und zumindest zum Großteil wieder entschlüsseln.
Sicherheit ist eine entscheidende Säule für den Unternehmenserfolg, für Resilienz in der Wirtschaft und der Gesellschaft. Darüber haben bei einem Publikumsgespräch des Report Verlag in Zusammenarbeit mit Accenture, Bacher Systems, Bechtle, SBA Research und Veeam am 29. März Vertreter*innen von IT-Unternehmen und Forschung mit Moderator Martin Szelgrad gesprochen.
Mit Statements von:
- Nicolai Czink, Leiter Strategie und Transformation bei Bacher Systems EDV GmbH
- Univ.-Prof. Maria Leitner, Fakultät für Informatik Universität Wien
- Stefan Panholzer, Chief Information Officer, Mitglied der Geschäftsleitung Bechtle IT-Systemhaus Österreich
- Günther Roat, Leiter Information Security Management Team SBA Research
- Mario Zimmermann, Regional Director Austria Veeam Software
Ein Kurzvideo mit den besten Statements: www.youtube.com/watch?v=QIBjG8tpT54
Nicolai Czink, Leiter Strategie und Transformation bei Bacher Systems EDV GmbH
„Erstellen Sie ein Notfallhandbuch, legen Sie dieses in ausgedruckter Form ab und notieren Sie darin die Telefonnummer des IT-Partners Ihres Vertrauens.“ (Foto Georg Wilke)
Angesichts steigender Cyberattacken muss umfassende IT-Sicherheit im Zentrum jedes Unternehmens stehen. „Als IT-Systemhaus und IT-Dienstleister starten wir bei der Erstberatung und Konzeption von IT-Sicherheitslösungen, implementieren diese und bieten dafür auch Managed Services“, informiert Nicolai Czink, Leiter Strategie und Transformation bei Bacher Systems EDV. „Wir unterstützen unsere Kunden bei der Digitalisierung mit sicheren, zuverlässigen Infrastrukturen in der Cloud und im Datacenter. Dabei denken wir IT-Security immer ganzheitlich mit“.
Durch die Pandemie und die Ukrainekrise sind Cyberangriffe um ein Vielfaches angestiegen. Nun ist das Managen des IT-Sicherheitsrisikos Aufgabe der Geschäftsführung. Diese braucht aber Orientierung, um Entscheidungen zu Investitionen treffen zu können. Dabei sind zwei Aspekte zu betrachten: Einerseits das Risiko eines Angriffs auf ein System, und andererseits die Kritikalität, also die finanzielle Auswirkung eines Ausfalls dieses Systems. Während ein Unternehmen einen Ausfall der Website vielleicht länger verkraftet, kann ein Ausfall der Produktionssysteme schnell zur Insolvenz führen. Durch diese pragmatische Risikobetrachtung lässt sich ein leistbares Investitionsvolumen für den IT-Schutz rasch bestimmen. Ein effektiver IT-Schutz braucht dann immer die drei Elemente: Menschen, Prozesse, und Technologien.
Prozesse und Technologien helfen dabei, das Unwissen bzw. die Unachtsamkeiten der Menschen zu kompensieren und einen guten Basisschutz zu gewährleisten. Der Mindestschutz besteht aus einer Absicherung des Netzwerks, der Endpoints, der Identitäten sowie einem guten Desaster-Recovery Konzept. Regelmäßiges Training ist dabei unerlässlich. Insbesondere das Erkennen von Phishing Mails, also gefälschte E-Mails, die nach Passwörtern fischen, lässt sich gut im gesamten Unternehmen trainieren. Zusätzlich zum Mindestschutz braucht es je nach Risikobewertung zusätzliche Maßnahmen. Derzeit sehen wir eine starke Nachfrage in drei Bereichen: Privileged Access Management zum Schutz von Admin-Zugängen und kritischen Accounts. Damit wird es Angreifern weitaus schwerer gemacht, Firmennetzwerke einzunehmen. Dann bei Managed Detection und Response, also die Unterstützung durch Partner beim Überwachen, automatisierten Erkennen und Antworten auf Sicherheitsvorfälle. Außerdem gibt es die Nachfrage nach der Auswertung möglichst vieler Datenpunkte durch Security Analytics, um frühzeitig mögliche Sicherheitsvorfälle zu erkennen und eine umfassende Absicherung sicherzustellen.
„Für den Ernstfall erstellen Sie einen Notfallplan, der Zuständigkeiten, Kontakte und andere essenzielle Informationen umfasst, um die wichtigsten Services möglichst rasch wieder online zu bekommen.“ Eine gute Vorlage dafür stellt das BSI, das Deutsche Bundesamt für Sicherheit in der Informationstechnik, zur Verfügung. Jedes Unternehmen muss dies an die eigenen Bedürfnisse anpassen. Dieser Notfallplan muss physisch als Ausdruck dort abgelegt werden, wo man ihn schnell wiederfindet. Das beste Dokument hilft nicht, wenn dieses verschlüsselt am Storage liegt. Und im Falle des Notfalles: Holen Sie sich Hilfe von vertrauten, kompetenten Partnern, die diese Situationen kennen und Sie gut unterstützen.
Univ.-Prof. Maria Leitner, Fakultät für Informatik Universität Wien
„Mit Planspielen können Organisationen Krisenfälle simulieren und sich somit effektiv auf den Ernstfall vorbereiten.“ (Foto: Johannes Zimmer/AIT)
In Zeiten von mehr Homeoffice wird Cybersicherheit ein zunehmend wichtigeres Thema. Notfallpläne sind ein wesentlicher Bestandteil des Cyberschutzes. Maria Leitner, Professorin an der Fakultät für Informatik der Universität Wien und Mitarbeiterin am AIT Austrian Institute of Technology, verweist darüber hinaus auf die entscheidende Bedeutung von Planspielen. „Die Vorbereitung in der Cybersicherheit ist essenziell, durch die Vielfalt und Breite des Themenfeldes fällt der Einstieg oftmals schwer und Unterstützung kann den Start erleichtern.“ Es gibt etablierte Rahmenwerke und Standards, an denen man sich orientieren kann und die einen ersten Input liefern können.
„Grundsätzlich ist es wichtig, Informationen zu teilen. Je mehr wir wissen, umso besser können wir uns für künftige Vorfälle vorbereiten und anderen Organisationen helfen, sich zu schützen.“ Zahlreiche Organisationen beschäftigen sich mit Informationssicherheit, zum Beispiel das Österreichische nationale Computer Emergency Response Team, CERT.at. Es ist ein zentraler Ansprechpartner für IT-Sicherheit und gibt auch Warnungen und Tipps für KMU heraus, zum Beispiel wenn Schwachstellen oder großflächige Angriffe erkannt wurden. Bei diesen Stellen können Informationen auch aktiv geteilt und somit der gemeinsame Schutz erhöht werden. Somit hilft dieses Vorgehen der Gemeinschaft. Für den individuellen Krisenfall entscheidend sind Planspiele und Cybersicherheits-Übungen. Dabei werden kritische Situationen durchgespielt, alle relevanten Abteilungen miteinbezogen, auch jene, die weniger IT-nahe sind. Ziel muss es dabei sein, im Ernstfall ruhiger und professionell vorbereitet sein zu können. Erfahrungsbasiertes Lernen ist eindrücklicher und damit oftmals für die Bewältigung von Krisensituationen effektiver als theoretisches Wissen aus Büchern.
Leitner erwähnt in diesem Zusammenhang die Cyber Range des AIT, die als virtuelle Umgebung für die flexible Simulation kritischer digitaler IT-Systeme genutzt werden kann. Organisationen können damit ihre Sicherheitsmaßnahmen testen und validieren, die Resilienz unterschiedlicher IT-Architekturen überprüfen und betriebliche Sicherheitsprozesse sowie Incident Response Prozesse bei Cybervorfällen in realistischen Anwendungsszenarien trainieren. Die AIT Cyber Range unterstützt damit die praktische Umsetzung resilienter IT-Systeme und gewährleistet einen sicheren Betrieb nach höchsten Standards der Cybersicherheit. Die Schulungen und Übungen sind individuell auf verschiedene Zielgruppen zugeschnitten, um den bestmöglichen Lernerfolg gewährleisten zu können.
Stefan Panholzer, Chief Information Officer, Mitglied der Geschäftsleitung, Bechtle IT-Systemhaus Österreich
„Das Thema Risikobetrachtung kommt im österreichischen Mittelstand noch zu kurz.“ (Foto: Bechtle)
Das Risiko, Opfer hochprofessioneller Cyberkrimineller zu werden, ist in den vergangenen Jahren deutlich gestiegen. „In Unternehmen gibt es eigentlich keinen Bereich, der nicht sicherheitsrelevant ist. Das muss uns allen bewusst sein“, betont Stefan Panholzer, Chief Information Officer und Mitglied der Geschäftsleitung im Bechtle IT-Systemhaus Österreich. Angreifer attackieren nicht bestimmte Branchen, sondern suchen übergreifend gezielt nach Schwachstellen. Motive sind dabei Wirtschaftsspionage, Erpressung oder Sabotage - mit dem Ziel, Geschäftsgeheimnisse wie Konstruktions- oder Kundendaten zu erbeuten oder Unternehmen gezielt zu schaden. Damit sind das Testen und Validieren von IT-Sicherheitsmaßnahmen unerlässlich geworden.
„Wir fokussieren uns seit Jahren auf das Thema Security, arbeiten sehr erfolgreich mit den Marktführern zusammen. Das technologische Herzstück aller Maßnahmen ist ein Cyber Defense Center, CDC. „Wir haben es geschafft, sehr viele Routineaufgaben zu automatisieren. Dadurch können wir effizienter handeln und komplizierte Sicherheitsvorfälle tiefer analysieren.“ KMU empfiehlt Panholzer Monitoringsysteme. „Das Thema Risikobetrachtung kommt im österreichischen Mittelstand noch zu kurz.“
Enterprise-Kunden sind laut Panholzer mit eigenen Mitarbeitenden meist sehr gut aufgestellt. Im Mittelstand fehlt es dagegen oft an spezialisierten Fachkräften mit notwendigem Blick für den gesamten Businessprozess. Es gilt, die Abhängigkeiten der Abteilungen zu erkennen, die für den Geschäftserfolg entscheidend sind und die, durch eine Cyberattacke, schnell aus dem Lot geraten können.
Verantwortliche müssen sich bewusst sein, dass Cyberattacken vielfach durch perfekt organisierte Gruppen erfolgen, die Firmenstrukturen kennen und Angriffe mit einer langen Vorlaufzeit planen. Es ist heute kein Einzelfall mehr, dass Angreifende die Unternehmen monatelang auskundschaften. Um für Notfalleinsätze bestens gerüstet zu sein, rät Stefan Panholzer den Unternehmen zu einem Vertrag mit einem IT-Security-Partner. „Unsere erfahrenen Spezialisten und Spezialistinnen unterstützen bei der schnellen Wiederherstellung attackierter Systeme und bei der Realisierung von Wiederanlaufkonzepten für IT-Infrastrukturen.“
Günther Roat, Leiter Information Security Management Team SBA Research
„Nach einem Cyberangriff können Daten teilweise nicht wiederhergestellt werden, weil die Prozesse nicht erprobt wurden und Systemabhängigkeiten oft unklar sind.“ (Foto: Marcel Lehner)
Günther Roat, Leiter Information Security Management Team SBA Research, spricht in der Diskussionsrunde die Häufung unterschiedlicher Spielarten von Cybercrime an. Abseits von Ransomware sind das etwa auch Erpressungen unter Androhungen von DDoS-Angriffen an (Anm. Distributed-Denial-of-Service). Um sich vor Attacken nachhaltig zu schützen, muss Informationssicherheit bei der Geschäftsführung auf die Agenda gesetzt werden, denn auch bei KMU sollte eine grundlegende Informationssicherheitsorganisation etabliert sein. Idealerweise berichten Informationssicherheitsverantwortliche direkt an die Geschäftsführung.
Als ersten Schritt des Selbstschutzes gelte es, die breite Unternehmensbelegschaft hinsichtlich Security-Awareness zu schulen sowie zielgerichtet und fachspezifisch Security-Champions aufzubauen, um der Personalknappheit im Bereich Informationssicherheit zu begegnen. Bedrohungsanalysen – Threat Modeling – sind ein weiteres wichtiges Werkzeug, um die eigene Risikolandschaft und somit Sicherheitsprobleme systematisch aufzudecken. Dabei wird modelliert, wie Angreifer in das Unternehmen eindringen können, welche Sicherheitslücken vorherrschen und welche Maßnahmen sich ableiten lassen. „Solche Analysen werden aktuell noch primär bei großen Unternehmen wie Banken und bei kritischer Infrastruktur durchgeführt.“ Für KMU bietet SBA einen Kurs „Threat Modeling Fundamentals“ an oder begleitet sie im Rahmen von Workshops.
„Ich lade KMU zu einem initialen Reifegrad-Assessment ihrer Cybersecurity-Maßnahmen ein. Dabei wird eine Schwachstellenanalyse der aus dem Internet erreichbaren Dienste durchgeführt, die in einer Schwachstellenidentifikation innerhalb der internen Netzwerk-Infrastruktur mündet. Abschließend erfolgt ein kurzes gesamtheitliches Audit der Sicherheitsprozesse im Unternehmen“, erklärt Günther Roat. So werde schnell aber strukturiert ersichtlich, wo ein Angreifer leichtes Spiel haben könnte, um dem Unternehmen nachhaltig Schaden zuzufügen.
Gefördert werden Maßnahmen wie diese unter anderem durch den Digital Skills Scheck der FFG und im Rahmen des Austrian Wirtschaftsservice Programms „aws Digitalisierung“, bei dem KMUs Investitionszuschüsse zur Stärkung ihrer Cybersecurity von bis zu 40 % ihrer Kosten erhalten, gedeckelt mit 20.000 Euro. SBA Research ist als K1-Zentrum Teil des österreichischen Programms der COMET Exzellenzzentren
Mario Zimmermann, Regional Director Austria Veeam Software
„Backup als Rettungsanker muss gesichert sein.“ (Foto: Mario Zimmermann c Veeam/Anna Stöcher)
Cyber-Angriffe werden immer ausgefeilter und schwieriger zu verhindern. Laut Veeam Data Protection Trends Report 2022 gehen unabhängig von Sicherheitsvorkehrungen und Backup-Systemen bis zu ein Drittel der Daten verloren. „Man merkt erst, wie schmerzhaft es ist, wenn die Daten wirklich weg sind. Davor ist es vielleicht ein nicht so ernst genommenes Thema“, betont Mario Zimmermann, Regional Director Austria Veeam Software.
Mehr denn je werden Backups zum Ziel von Cyberattacken. Es gilt daher sicherzustellen, dass sie nicht verschlüsselt werden können. Angreifer attackieren zuerst die Backup-Umgebungen, versuchen diese zu verschlüsseln. Dann lohnt sich für sie der Angriff auf die Produktion. Daher braucht es ein sorgfältiges Design der Backup-Lösung, der Restores, der abgeschotteten Umgebungen. Eine einfache Installation hilft da nicht. Eine sichere Datenwiederherstellung garantiert etwa Secure Restore. (Wieder)Infektionen, die sich über Backup-Daten mit unerkannter, noch inaktiver Malware verbreiten können, lassen sich verhindern, indem über eine zum Patent angemeldete Schnittstelle zu vertrauenswürdigen Viren- und Malware-Schutzlösungen automatische Scans erfolgen. Wird Malware erkannt, bricht die Wiederherstellung ab oder wird eingeschränkt, inklusive Wiederherstellung in eine isolierte Umgebung zugunsten der Integrität des erweiterten Datensatzes.
Angesprochen auf die Sicherheit von Cloudservices empfiehlt Mario Zimmermann den hybriden Ansatz, die Daten sollten on prem gehalten werden. Viele Systemhäuser bieten Backup-as-a-Service und Desaster-Recovery-as-a-Service an. BaaS ermöglicht, Daten rasch und einfach via Internet auf Speichermedien im Data Center zu sichern. DRaaS erzeugt eine Spiegelung der vollständigen Infrastruktur im Fail Safe-Modus auf virtuellen Servern, einschließlich Networking-, Computing- und Storage-Funktionen. Unternehmen können Anwendungen weiterhin ausführen, sie werden aber in der Cloud- oder Hybrid Cloud-Umgebung des Serviceanbieters und nicht auf den vom Zwischenfall betroffenen physischen Servern ausgeführt.
Zimmermann erwartet, dass das Thema Cloud Exit Szenarien bald aufpoppen wird. Branchen wie Versicherungen und Finanzwesen sind extrem reguliert. Wenn eines dieser Unternehmen ein Cloud Service ausrollen möchte, muss es vorab aufzeigen, wie es wieder herauskommt. Das kann ein Exit-Szenario von einer Cloud in eine andere sein oder Exit-on-Prem. „Derzeit trifft es nur überregulierte Branchen, bald wird es auch andere treffen nach dem Motto: gestern physisch, heute on-prem, morgen Cloud, irgendwann ganz in Containertechnologien wie Kubernetes.“