Ransomware wird immer gefährlicher – deswegen sollten Security-Checkups so normal werden wie ein Türschloss.

Stellen Sie sich vor, Sie trinken als Netzwerkadministrator gerade den ersten Kaffee am Morgen und merken, dass das gesamte IT-Netzwerk des internationalen Konzerns, für den Sie arbeiten, stillsteht. Ungefähr das geschah an einem Donnerstagmorgen im Juli 2020: Das komplette IT-Netzwerk eines internationalen Navigationsgeräte-Herstellers wurde sozusagen als Geisel genommen. Die Ransomware „WastedLocker“ hatte sich eingenistet und alle Daten verschlüsselt. Die Forderung: Lösegeld. Die Situation für das Unternehmen: katastrophal. Denn das Unternehmen funktioniert nur digital. Die Smartwatches und Navigationsgeräte des Herstellers synchronisierten sich nicht mehr mit den Servern. Millionen Fitnesstracker enthalten zudem die Gesundheitsdaten der Kunden – ein Datenschutz-Horror. Telefonie, Support-Chat und Mailserver des Unternehmens sind ebenfalls offline. Ein Einzelfall? Nein, sagt Michael Hollmann. Unternehmen hängen das nur ungern an die große Glocke. Hier schreibt er, warum das Bewusstsein für IT-Sicherheit und entsprechende Checkups trotz bekannter Angriffe noch immer fehlt.

Inhalt:

1. Der Fall Garmin im Juli 2020
2. Der Fall Canyon im Dezember 2019
3. Noch fehlt ein Bewusstsein für Netzwerksicherheit
4. IT-Sicherheit muss Chefsache sein
5. Die Realität übertrifft die Befürchtungen der Experten
6. E-Mails sind der einfachste und häufigste Angriffsvektor
7. IT-Sicherheit ist messbar – und damit vergleichbar und kommunizierbar

Der Fall Garmin im Juli 2020

Der Angriff auf die IT-Netzwerke von Garmin war verheerend. Mehrere Tage war der Hersteller damit beschäftigt, die grundlegenden Funktionen seiner IT-Infrastruktur zu reaktivieren. Und dazu muss ich als Profi sagen: Das ist enorm schnell. Auch wenn die Krisenkommunikation von Garmin nicht besonders glücklich war – das Unternehmen hatte offenbar einen guten Disaster-Recovery-Plan. Denn wer den nicht hat, braucht nach einer so umfassenden Attacke zumeist Wochen oder Monate, um wieder in die geschäftliche Normalität zu kommen. Ich schreibe einmal aus, was Sie vielleicht denken: Das ist existenzbedrohend. Garmin hat aber etwas anderes nicht optimal gelöst: Offenbar gab es keine Netzwerksegmentierung, denn auch Teile der Produktion standen nach der Attacke still. Das ist heute nicht mehr nötig, denn Produktionsnetzwerk und Office-Netzwerk sollten segmentiert sein, wenn es irgendwie geht. Welche IT-Sicherheitsmaßnahmen das Unternehmen im Detail getroffen hat, wissen nur Interne – die Moral ist aber:

Es kann jeden treffen. Und es trifft umso härter, je digitaler das Unternehmen ist.

Der Fall Canyon im Dezember 2019

Auch die Fahrradmarke Canyon wurde Opfer einer massiven Ransomware-Attacke. Viele Arbeits- und Geschäftsbereiche standen still. Lager-Infrastrukturen basieren heute komplett auf Datenverarbeitung. Die durch eine Ransomware verschlüsselten Daten sind alleine deswegen unverzichtbar für den Geschäftsalltag. Zwar konnten Kund:innen auch während der Attacke auf den Webshop zugreifen und Bestellungen auslösen, hinter den Kulissen des Webshops spielt sich aber viel mehr ab: die Verzahnung von ERP und Lager, von Vertrieb und Einkauf, von Prozessen, die für eine Bearbeitung ineinandergreifen müssen. Canyon plädiert indirekt in der entsprechenden Pressemitteilung – eher unbewusst – für Netzwerksegmentierung:

„Unmittelbar betroffen war unser Standort Koblenz sowie alle internationalen Ländergesellschaften mit Ausnahme der US-Gesellschaft, da diese mit einem eigenen IT-System arbeitet.“
Pressemitteilung von Canyon Bicycles GmbH am 6. Januar 2020

… und jetzt? Wir können nur vorbeugen.

Wie passiert namhaften Unternehmen so etwas – und wie können Sie das für Ihr Unternehmen verhindern? Die Wahrheit ist: Eine hundertprozentige Sicherheit gibt es nicht. Wer Ihnen etwas anderes erzählt, redet Unsinn. Aber wir können zwei Sachen tun:

1. Wir können es Angreifern so schwer wie möglich machen. Dafür braucht es einen professionellen Security-Checkup, mit dem wir die richtigen technischen Maßnahmen identifizieren. So bauen wir eine IT-Sicherheit, die genau an Ihre IT-Prozesse und Unternehmensstruktur angepasst ist und gezielt Schwachstellen beseitigt.
2. Wir können IT-Infrastrukturen und unsere IT-Prozesse von Anfang an so aufbauen, dass ein erfolgreicher Angriff den geringstmöglichen Schaden anrichtet. Etwa durch Netzwerksegmentierung und Disaster Recovery as a Service.

Es gibt noch zu wenig Bewusstsein für IT-Sicherheitsrisiken – und wir sollten gemeinsam dafür sorgen

Eine große positive Wirkung hätten betroffene Mittelständler:innen, die vor der örtlichen Industrie- und Handelskammer öffentlich, offen und ehrlich Klartext sprechen würde. Das würde das Bewusstsein fördern. Wenn ein Unternehmen wie Garmin oder Canyon seine schlechten Erfahrungen mit Ransomware teilen würde, ganz transparent, und sagen würde: „Wir dachten, unsere IT ist sicher und es passiert schon nichts. Dann wurden wir erfolgreich angegriffen. Jetzt haben wir daraus gelernt – und Sie sollten das auch!“ Das wäre ein respektabler Schritt, der Größe zeigen würde. Denn neues und mehr Bewusstsein ist dringend nötig, obwohl über die Hälfte der deutschen Unternehmen in einer Befragung 2017 schon angegriffen wurde.

IT-Sicherheit muss Chefsache sein, weil sie zum unternehmerischen Risiko gehört

Dieses Risiko müssen alle Unternehmer:innen kennen und managen, wie sie Finanzierungs- und Währungsrisiken messen und verwalten. Cybercrime kann in Zukunft immer mehr Menschenleben kosten, je nachdem, in welcher Branche Sie unterwegs sind. „Sich schnell und automatisiert ausbreitende Angriffe können […] im Zusammenhang mit autonomem Fahren oder Medizinsystemen zu gesundheitlichen Schäden bei Menschen führen”, schreibt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, im Lagebericht des BSI 2019. Und er hat recht, wir sind eine Datengesellschaft, in der Krankenhäuser, Geheimdienste, Nahrungsmittelproduzenten und eben auch fast alle anderen Unternehmen von ihren Daten abhängig sind.

Die Realität übertrifft die Befürchtungen der Experten

Eine Umfrage des Branchenverbands Bitkom im Jahre 2020 kam zu dem Ergebnis: Digitale Angriffe kosten die deutsche Wirtschaft jährlich insgesamt 102,9 Milliarden Euro. Noch 2018 schätzte der Branchenverband die Schäden auf 55 Milliarden Euro im Jahr. Die Realität hat die Schätzung also fast um das Doppelte übertroffen. Die Sicherheitslage für Unternehmen in Deutschland spitzt sich zu – vielleicht sogar mehr als in anderen Teilen der Welt.

„Mit Ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle.“

Achim Berg, Präsident von Bitkom, 2018

E-Mails sind der häufigste Angriffsvektor

90 % der Attacken beginnen mit einer E-Mail. Dort ist das größte Sicherheitsrisiko der Mensch selbst. E-Mails sind an den meisten Arbeitsplätzen noch immer das beliebteste Kommunikationsmedium zwischen Kolleg:innen und Geschäftspartner:innen. Ein großes Problem ist, dass die Sicherheitsrisiken bei der E-Mail-Kommunikation so vielfältig sind. Es handelt sich um:

• angehängte Dateien
• Makrofunktionen in Dokumenten
• keine oder ungenügend konfigurierte Schutzsoftware
• E-Mails von vermeintlich bekannten oder vertrauten Absendern
• gefälschte firmeneigene E-Mail-Adressen und Accounts
• sorglosen Umgang mit dem geschäftlichen E-Mail-Account, etwa für private Zwecke
• Social Engineering
• Spear Phishing

Die Netzwerksicherheit ist durch Security-Checkups messbar – und damit vergleichbar

Es ist schwierig, Sicherheit zu messen. Aber wir können durch einen methodischen, in großen Teilen standardisierten Security-Checkup, die Sicherheitsvorkehrungen eines Unternehmens objektiv einstufen und vergleichbar machen. Wir können überprüfen, wie weit Sie vom berühmten „Stand der Technik“ entfernt sind. Und dann Schwachstellen aufdecken, Risiken greifbar machen und so weit es geht minimieren. So kennen Sie das Risiko und können es bewusst in Ihre Geschäftsführung einbeziehen und abbauen. Schreiben Sie uns – wir finden gemeinsam einen Weg.

Wir arbeiten seit Jahrzehnten für den deutschen Mittelstand – mit Fokus auf Sicherheit und Stabilität. Denn nur so können Unternehmen auf einem guten Fundament wachsen. Erfahren Sie mehr über uns oder stöbern Sie in unserem Magazin zu Themen, die uns bewegen.