Kanzlei Nickert //images.kanzleinickert.de/nickert-logo-fb.jpg KANZLEI NICKERT | Rechtsanwälte und Steuerberater, Offenburg, kompetent in Rechts-, Steuerberatung, Finanz-, Lohnbuchhaltung, spezialisiert auf Branchen Bau, Handel und Industrie. info@kanzlei-nickert.de
Rammersweierstraße 120 77654 Offenburg

kanzlei nickert logo

Donnerstag, 14 April 2022 09:19

Vorbeugende Maßnahmen gegen Cyberangriffe

Täglich kommt es zu tausenden von Cyberangriffen. Die Frage ist längst nicht mehr ob, sondern wann ein Unternehmen getroffen wird. Im Idealfall ist man so gut vorbereitet, dass der Angriff geblockt werden kann und potenzielle Schäden überschaubar bleiben.

Hier spielen die Resilienz, also die Widerstandskraft gegen Angriffe sowie ein vertrauenswürdiger Partner für den Ernstfall eine wichtige Rolle.

Basismaßnahmen

Auf technischer Seite lassen sich neben typischen Basismaßnahmen folgende Aspekte nennen.

Updates

Lassen Sie Updates zeitnah einspielen, auch auf unscheinbaren Geräten wie Netzwerkdruckern. Bekommen Sie mit, wenn die Hersteller Ihrer eingesetzten Hard- und Software kritische Sicherheitsupdates veröffentlichen? Häufig gibt es hier Informationskanäle, zu welchen man sich nur registrieren muss. Einige etablierte Fachredaktionen bieten kostenlose Informationsdienste an, beispielsweise heise security.

Zugriffsrechte

Die Minimierung der Zugriffsrechte ist kein Misstrauen gegen Mitarbeiter, sondern ein effektiver Schutz. Ein falscher Klick und ein Schadprogramm hat Zugriff auf alles, auf das auch der betreffende Benutzer Zugriff hat.

Backup

Bei einem Befall von Schadsoftware muss es ein Backup geben, das nicht in Mitleidenschaft gezogen werden kann und schnell zur Verfügung steht. Das kann die klassische Wechsel-Festplatte oder das Band sein. Viele Cloud-Anbieter stellen mittlerweile gute Online-Alternativen zum klassischen Offline-Backup zur Verfügung.

Sensibilisierung der Beteiligten

Der mit Abstand am häufigsten erfolgreiche Angriffsvektor, setzt auf menschliche Schwächen. Diese können nie ganz ausgeräumt werden, aber eine Sensibilisierung der Beteiligten senkt das Risiko deutlich. Auf Grund der zunehmenden Medienberichterstattung hat sich zwar die Awareness der Bevölkerung erhöht, dies ersetzt jedoch keine Sensibilisierung durch den Arbeitgeber.

Alle 18 Monate ein langes Training, ist hierbei eher kontraproduktiv. Kurze Einheiten (5 Minuten) alle 3 Monate schulen nicht nur den Umgang mit verschiedenen Gefahren, sie halten auch das Thema im Bewusstsein. Hier gibt es verschiedene, einfache Plattformen, wie Layer8, welche dies automatisiert übernehmen. Durch simulierte Phishing E-Mails, lässt sich darüber hinaus die Anfälligkeit des eigenen Unternehmens gegenüber derartigen Angriffen aufzeigen und der Nutzen der Sensibilisierung messen.

Prävention

Eine gute Prävention senkt das Risiko, eliminiert es jedoch nicht. Daher ist es wichtig, auf den Ernstfall vorbereitet zu sein. Spielen Sie einmal jährlich einen Cyberangriff durch. Das muss keine umfassende Notfallübung sein. Schon als Gedankenexperiment unterschiedlicher fiktiver Angriffe, lassen sich Vorgehensweisen und Optionen verdeutlichen. Das hilft der operativ handelnden IT genauso, wie der Geschäftsführung, die im Ernstfall Entscheidungen treffen und die Konsequenzen dieser Entscheidungen kennen muss.

Externen Partner

Suchen Sie sich einen externen Partner, den Sie bei Bedarf zu Rate ziehen können. Hierbei kann es sich um staatliche Organisationen oder Security-Dienstleister handeln. Halten Sie Telefonnummern bereit. Im Ernstfall sind Sie froh, wenn Sie nicht erst den Markt sondieren und einen Dienstleister auswählen müssen. Bei dem aktuellen Bedarf an IT-Security Fachkräften ist es fraglich, ob man im Ernstfall überhaupt einen kompetenten Dienstleister findet, der ad-hoc ausreichend Ressourcen hat, um sofort unterstützen zu können. Denn Security-Dienstleister bevorzugen ihre Bestandskunden.

Cyberversicherung

Zur Verlagerung eines potenziellen Schadens bietet sich eine Cyberversicherung an. In den letzten zwei Jahren hat sich das Geschäft mit den Cyberversicherungen von einem Kunden- zu einem Anbietermarkt verändert. Versicherungsgesellschaften lehnen Kunden ab, die ihre Hausaufgaben zur Risikoreduktion nicht gemacht haben. Noch vor zwei Jahren hat dies nur zu höheren Beiträgen geführt.

Staatliche Organisationen

Nehmen Sie die Hilfe von staatliche Stellen in Anspruch. Die Bundesländer bauen Organisationen zur Unterstützung der Unternehmen auf. So gibt es in Baden-Württemberg die Cybersicherheitsagentur, als zentrale Koordinierungs- und Meldestelle im Bereich Cybersicherheit. Im Ernstfall ist nicht auszuschließen, dass diese bereits Erfahrungen mit dem Angreifer sammeln konnte und ein Programm zur Entschlüsselung zur Verfügung stellt.

Auch wenn es im Einzelfall ökonomisch sinnvoll sein kann Forderungen von Kriminellen nachzukommen, rate ich explizit davon ab. Für die Gesellschaft erhöht sich das Problem von Cyberangriffen, wenn diese stetig lukrativer werden.

Zahlung von Lösegeld vs. Geldwäschegesetz

Die Zahlung von Lösegeldzahlung kann juristisch kollidieren mit der Pflicht zur Identifikation des Empfängers (Geldwäschegesetz, BaFin) und des Verbotes der Terrorismusfinanzierung (Strafgesetzbuch § 89c). Es kann durch das Opfer eines Cyberangriffes nicht ausgeschlossen werden, dass der Hacker zu einer terroristischen Vereinigung gehört, welche durch das Lösegeld terroristische Anschläge finanziert.

Fazit

Die Gefahren und vor allem die Auswirkungen eines Cyberangriffes sind nicht zu unterschätzen. Basismaßnahmen zur Abwehr eines solchen Angriffs sind deshalb unerlässlich.

Autoreninformation:

Anselm Rohrer leitet die Bereiche Security-Beratung, Security-Awareness und Incident Response bei der Allgeier CyRis GmbH, einem internationalen Anbieter von Sicherheitslösungen. Als Chief Information Security Officer verantwortet er die Informationssicherheit im gesamten Allgeier Konzern.

Wir verwenden zum Teilen der Inhalte sogenannte "Shariff"-Schaltflächen. Mit Shariff können Sie Social Media nutzen, ohne Ihre Privatsphäre unnötig aufs Spiel zu setzen. Das c't-Projekt Shariff ersetzt die üblichen Share-Buttons der Social Networks und schützt Ihr Surf-Verhalten vor neugierigen Blicken. Weitere Informationen zu Shariff finden Sie unter https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html.

HINWEIS

Falls Sie über den Beitrag hinausgehende Fragen haben, stehen wir Ihnen gerne zur Verfügung. Allerdings weisen wir Sie darauf hin, dass wir diese individuelle Leistung nach dem Rechtsdienstleistungsgesetz auch abrechnen.

Alle Angaben sind sorgfältig geprüft. Durch Gesetzgebung, Rechtsprechung und Verordnungen sowie Zeitablauf ergeben sich zwangsläufig Änderungen. Bitte haben Sie Verständnis dafür, dass wir für die Richtigkeit und Vollständigkeit des Inhalts keine Haftung übernehmen.

Diese Webseite verwendet Cookies. Indem Sie unsere Webseite nutzen, stimmen Sie der Verwendung von Cookies zu. Mehr erfahren ...