Cybersicherheit Machen Sie es den Hackern schwer!

Autor Simone Käfer

Totale Sicherheit gibt es nicht. Kann es nicht geben. Schließlich entwickeln sich Technik und Mensch stets weiter. Doch mit einer guten Strategie kann sich auch ein KMU gegen Cyberangriffe wehren.

Firmen zum Thema

Auch KMU können sich gegen Hacker wehren
Auch KMU können sich gegen Hacker wehren
(Bild: ©Photocreo Bednarek - stock.adobe.com)
  • Sie müssen die Risiken kennen, analysieren und wissen, was Sie schützen wollen.
  • Trennen Sie die IT- von der OT-Ebene. Aber achten Sie darauf, dass man die abgesicherten Wege nicht umgehen kann.
  • Den Überblick über den Stand der IT-Sicherheit in Ihrem Unternehmen erhalten Sie über Gap- oder Penetrationstests.

Am Anfang steht der Mensch. Er ist das schwächste Glied in der Verteidigung Ihrer Produktion. Geködert wird er zumeist mit Phishing-Mails. Dem Mit­arbeiter folgen Schwachstellen in Prozessen und Technologie. „Meistens ist es eine Verkettung von Fehlern, die einen sogenannten Security Incident auslösen”, erklärt Stefan Vollmer, CTO der TÜV Süd Sec-IT. Deswegen reicht es auch nicht, sich mal ein bisschen um die digitale Sicherheit zu kümmern. „Der größte Fehler, den Sie machen können“, sagt Steffen Ullrich, Software-Ingenieur bei Genua, „ist, die eigenen Risiken nicht gründlich genug zu analysieren und zu verstehen.“ Denn aufbauend auf dem Wissen über die Gefahren und über seine eigenen Komponenten, sollte man seine Sicherheitsstrategie entwickeln. Aber „stattdessen werden auf dem Markt verfügbare Tools benutzt in der Hoffnung, dass mit genug Checkboxen – also Anti­virus, Firewall, IDS, VPN und so weiter – man schon irgendwie passend geschützt ist“, so Ullrich. Doch irgendwelche Sicherheitsprogramme zu kaufen, ist erst der Anfang des unverantwortlichen Umgangs mit dem Schutz vor Hackern. Denn wer, so die Erfahrung von Ullrich, nicht wirklich versteht, was genau zu schützen ist und wie die eingesetzten Tools dabei vorgehen, schaltet Sicherheitsfunktionen ab oder umgeht sie. Besonders, wenn man den Eindruck hat, dass sie den Betrieb stören. So werden nur manche Stellen geschützt. „Dazu kommt eine blinde und quasi alternativ­lose Hoffnung in die Zuverlässigkeit der eingesetzten Maßnahmen, weil eine höhere Sicherheit scheinbar nur mit noch teureren Tools und mehr Störungen beim Betrieb einhergehen würden.“

Hier gewähren Sie Einlass

Am häufigsten kommen Fremde über Zugangsdaten in Ihre Systeme, die sie sich über Tricks er­schli­chen haben. So beginnen die meisten Cyberangriffe mit einer Phi­shing-­Mail. Angeblich gesperrte E-Mail-Konten, zu bezahlende Rechnungen, das Angebot für günstige Betriebsmittel, die Anfrage nach einem Ihrer Produkte – die Versuche, an Ihre Zugangs­daten zu gelangen, werden gezielter und besser. Hat ein Angreifer diese Daten, gelangt er über die E-Mails seines Opfers an weitere Informationen. Hängen an solchen Phishing-Mails Dokumente, ist der Weg für den Angreifer fast noch einfacher. Denn öffnet der unbedarfte Mitarbeiter einen solchen mit Maleware infizierten Anhang, öffnet er damit auch dem Hacker den Weg ins Unternehmensnetzwerk. Von Phishing, Erpressersoftware (Ransomware) und Social Engineering – also einen Menschen so zu beeinflussen, dass er einem beispielsweise freiwillig und auch noch gerne Informationen zuspielt – sind nach Erfahrungen des TÜV Rheinland kleinere und mittelständische Unternehmen eher betroffen als Großunternehmen.

Irgendwelche Sicherheitsprogramme zu kaufen, ist der Anfang des unverantwortlichen Umgangs mit Ihrer IT-Sicherheit.

Der Corona-Lockdown hat allerdings noch eine weitere günstige Zugriffsstelle für Hacker geöffnet: schlecht abgesicherte Systeme, die über das Internet erreichbar sind. Natürlich gab es diese auch schon vorher, doch nahmen sie durch den zu schnell steigenden Bedarf an Homeoffice und Fernzugriffen zu. Remote-Desktop-Systeme mit schwachen Passwörtern und ungepatchte VPN-Zugänge mit Sicherheitslücken in dem ein oder anderen Sicherheitsprodukt sind wie eine Einladung.

So kommt niemand in Ihr Netz

Wie schützt man sich nun vor Angriffen, vor Sabotage und Spionage? „Am besten sorgt man dafür, dass Angreifer nicht an die Systeme kommen“, rät Ullrich. Ein guter Tipp. Aber wie macht man das? „Zum Beispiel, indem Ihre Industrienetze erst gar nicht mit weniger sensitiven Netzen gekoppelt sind oder nur eine klar definierte Kommunikation möglich ist“, rät Ullrich. Für diese Trennung von IT- und OT-Ebene empfiehlt der Sicherheitsexperte von Genua Protokoll-Gateways oder Datendioden, die einen Datentransfer nur in eine Richtung erlauben. Das hilft allerdings nur, solange man diese abgesicherten Wege nicht umgehen kann. Sie können noch so gute Gateways und Dioden einbauen, wenn Mitarbeiter, Maschinen oder Angreifer über andere, ungesicherte Wege Daten austauschen, sind sie nutzlos. „Dazu gehören insbesondere Datenträger wie USB-Sticks, die für Software- oder Konfigurationsupdates genutzt werden“, mahnt Ullrich.

Eine weitere Sicherheitslücke, an die Sie denken müssen, ist die Fernwartung. Egal, wie lange Sie mit dem Unternehmen, das die Maschine wartet, schon zusammenarbeiten oder wie gut Sie den Fernwarter kennen, eine absolute Sicherheit sollten Sie von seiner Seite aus nicht erwarten. Üblicherweise gelangt der Fernwarter über einen VPN-Zugang nicht nur auf die ausgewählte Maschine, sondern auf Ihr komplettes Netzwerk. „Eine solche Netzkopplung erlaubt auch Malware auf dem Zugangsrechner den Zugriff auf Ihr Netzwerk“, gibt Ullrich zu bedenken. „Restriktivere Zugänge wie Re­mote-­Desktop oder SSH bieten hier eine stärkere Trennung und sogar die Möglichkeit, dem Fernwarter über die Schulter zu sehen und notfalls einzugreifen. Einige Lösungen bieten sogar eine Aufzeichnung für Audits.“

Minimieren Sie die Risiken!

Es gibt viele Ratschläge, wie man sich gegen Cyberangriffe schützen kann. Die grundlegendsten sind:

  • Tools: Setzen Sie Sicherheitsprodukte zielgerichtet ein, schalten Sie keine Funktionen aus Unwissenheit ab.
  • Organisatorische Veränderungen: Trennen Sie kritische Daten und Systeme in getrennte Netze und geben Sie nur ausgewählten Mitarbeitern darauf Zugriff.
  • Kontrolle: Auditieren Sie Zugriffe auf Daten. Dadurch lässt sich bei einem Angriff der Schaden klarer beurteilen.
  • Kopien: Back-ups sollten nicht überschreibbar sein. So sichern Sie sich eine erfolgreiche Wiederherstellung der Daten.

Kennen Sie Ihre Risiken!

Stopp! Rennen Sie jetzt nicht los und kaufen Sie nicht Equipment und Software für Ihre IT-Sicherheit ein – zumindest nicht planlos. „Beachten Sie eine mangelhafte IT-Sicherheit als ein Geschäftsrisiko, das es zu reduzieren gilt“, empfiehlt Ullrich. Natürlich rät er dazu, einen externen Berater heranzuziehen. Verschließen Sie sich nicht gleich vor der Idee! Denn Unwissen oder schlechte Beratung kann Sie im Fall eines Hackerangriffs wesentlich mehr kosten als ein Sachkundiger. So sollte der Sicherheitsexperte sich nicht nur mit dem Schutz von IT auskennen, sondern auch Ihren Betrieb und die zu schützenden Werte verstehen. „Zusammen können dann die Geschäftsrisiken aus Sicht der IT-Sicherheit verstanden und gemeinsam Maßnahmen entwickelt werden, die auch vom Kostenrahmen her in einem sinnvollen Verhältnis zu den Risiken stehen“, so Ullrich. Üblich ist ein Vorgehen in mehreren Schritten. Bei dem zuerst den größten Risiken vorgebeugt und später sukzessive ein Sicherheitssystem aufgebaut wird.

Die ersten Fragen, über die Sie sich auch schon vor einer Beratung Gedanken machen dürfen, sind:

  • Was sind die zu schützenden Werte meines Unternehmens?
  • Von welchen Risiken sind diese betroffen?

Ein wichtiger Anfang ist das Asset-Management. Oder:

Kennen Sie Ihre Systeme!

Ein Unternehmen muss wissen, welche Komponenten im Betrieb verwendet werden. Denn „kennt man die Komponenten nicht, ist es beinahe unmöglich, eine ausreichende IT-Sicherheit herzustellen“, sagt Vollmer von der TÜV Süd Sec-IT. Dabei geht es nicht um einzelne Sicherheitslücken in einzelnen Komponenten. „Die IT-Sicherheit muss bereits im Asset-Management oder im Patch-Management definiert und manifestiert werden“, so Vollmer. Patch-Management beschäftigt sich mit der Beschaffung, dem Test und der Installation benötigter Updates für Applikationen, Treiber und Betriebssystem von Computern.

Am besten machen Sie sich eine Liste von allen Geräten und Komponenten mit allen nötigen Infos. Vergessen Sie dabei nicht die Frage: Mit wem spricht das Gerät? Ausgangsbasis für ein gutes IT-Sicherheitssystem, so Maria Else, Business Development Lead bei Rockwell, ist „eine lückenlose digitale Datenbasis von allem, was geschieht. Bereits bevor ein Produkt überhaupt hergestellt wird – also zurück zur Forschung und Entwicklung – über die eigentliche Herstellung, die Lieferung bis hin zum Betrieb des Produkts im Feld.“ Die gesamte Lieferkette sei entscheidend.

Schulen Sie Ihre Mitarbeiter!

„Wenn Mitarbeiter in der Lage sind, gefälschte E-Mails zu identifizieren und adäquat darauf zu reagieren, laufen viele Angriffe ins Leere“, sagt Vollmer. Ein Mal eine Unterweisung reiche jedoch nicht, kontinuierliche Schulungen seien essenziell. Vollmer empfiehlt einen „Gamification-­Ansatz“, bei dem in Gruppen verschiedene Szenarien durchgespielt werden und Mitarbeiter über eine spielerische Art erfahren, welche Auswirkungen ihr Handeln hat. „Diese Erfahrungen lassen sich im normalen Berufsalltag dann leichter umsetzen“, so Vollmer. Das Gleiche gilt selbstverständlich bis hinauf in die Management- und C-Level-Ebene. „Denn der Einsatz teurer Sicherheits-IT ist nutzlos, solange die Menschen im Unternehmen nicht geschult und sensibilisiert sind und die notwendigen Prozesse nicht nur implementiert, sondern vor allem auch gelebt werden“, mahnt Vollmer.

Die besten Sicherheits-Komponenten helfen nichts, wenn es ungesicherte Hintertüren gibt.

Seien Sie ein Vorbild!

Zu den notwendigen Prozessen gehört „eine Veränderung der Organisationsstrukturen in Verbindung mit der Zuteilung von klaren Verantwortlichkeiten“, gibt Wolfgang Kiener, Experte vom TÜV Rheinland für OT-Security, an. Die Hauptaufgabe der einzelnen Fachbereiche in einem Unternehmen heißt kostenoptimierte Produktionsprozesse, nicht Cybersecurity. Letztere gehört ins Management oder die Geschäftsführung – mit einer hohen Priorität. „Produktionsabteilungen werden zunehmend fachliche Verantwortung für die Absicherung von Anlagen gegen Cyberangriffe übernehmen müssen“, so Kiener. „Die Verschmelzung von OT und IT muss auf Governance- und Management-Ebene gefördert und gesteuert werden.“

Kennen Sie den Securitystand!

Haben Sie den Überblick über den aktuellen Sicherheitsstand in Ihrem Unternehmen? Den erhalten Sie zum Beispiel durch eine Gap-Analyse, die die Lücken im System findet. Von Organisationen und Beratungsunternehmen werden auch Penetrationstests angeboten. Bei diesen Tests wird das Vorgehen eines Hackers simuliert, der einen Angriff auf Ihr Betriebssystem oder Netzwerk ausführt. Der Anbieter, den Sie dazu konsultieren, sollte die Auswirkungen des Angriffs auf das gesamte System betrachten, damit sowohl die Schwachstellen als auch die geschützten Stellen bekannt sind.

Bleiben Sie dran!

Es hilft also nichts, man muss sich mit dem ganzen System befassen, die IT-Security ganzheitlich betrachten und immer wieder alles und jeden auf den neuesten Stand bringen. „Für den Erfolg sind zwei Dinge entscheidend“, sagt Vollmer, „das schrittweise Vorgehen und das Bewusstsein, dass das Kapitel ‚IT-Sicherheit‘ nie abgeschlossen sein wird.“ Viel Arbeit, die sich lohnt. Denn es geht um Ihre Produktion.

(ID:46808142)