IT-Sicherheitsvorfall: Was tun, wenn es passiert ist?
Die Bedrohungslage im Cyberraum ist laut Bundesamt für Sicherheit in der Informationstechnik weiterhin hoch. Besonders kleine und mittlere Unternehmen, Kommunen und kommunale Betriebe sind von den oft gravierenden Folgen von Cyberattacken betroffen. Die Verantwortlichen müssen sich deshalb gut darauf vorbereiten, dass ihr Unternehmen Opfer eines Angriffs wird. Wie das gelingen kann, erläutert unser Autor.
Die Digitalisierung durchdringt unser Leben und stürzt Wirtschaft und Staat in ein Sicherheitsdilemma. Durch den zunehmenden Digitalisierungsgrad sind dabei besonders Unternehmen einem steigenden Sicherheitsrisiko ausgesetzt. Um dieses in den Griff zu bekommen und damit die Zukunft des Wirtschafsstandorts Deutschland zu sichern, bildet die Gewährleistung von Cyber- und Informationssicherheit eine wesentliche Grundvoraussetzung – besonders im Lichte der starken Zunahme von Cyberangriffen in den letzten Jahren. Ransomware-Angriffe stellen neben den noch immer weit verbreiteten Distributed-Denial-of-Service-(DDoS)-Angriffen die primäre Bedrohung für Unternehmen und öffentliche Einrichtungen dar [1].
Wie kann man dem Ganzen vorbeugen?
Um Ransomware-Angriffe oder andere Cyberangriffe möglichst schon im Vorfeld zu verhindern beziehungsweise die Risiken oder etwaige Schäden zu minimieren, bieten sich eine Reihe von vorbeugenden Maßnahmen an. Diese betreffen sowohl die Technik aber auch den nicht zu unterschätzenden Faktor Mensch.
Technische Präventivmaßnahmen
Wenn es um technische Präventionsmaßnahmen geht, muss man zunächst auf den aktuellen „Stand der Technik“ der IT Sicherheitssysteme hinweisen, dieser dürfte in den allermeisten Fällen jedoch gar nicht erreichbar sein. Ist die Implementierung erst einmal abgeschlossen, hat die Entwicklung bereits Wege und Techniken gefunden, sowohl bestehende Techniken zu überwinden, als auch neue Sicherheitsmaßnahmen zutage zu fördern, die nun ebenfalls wieder implementiert werden können.
Zur technischen Prävention gehört daher vielmehr ein regelmäßiges Überprüfen und Verbessern der Systeme. Nur die aktuellen Updates zu installieren, ist dabei eine passive Rolle – da meist automatisiert. Ratsam ist es jedoch, aktiv die häufigen Einfallstore (z. B. Outlook, Microsoft Active Directoy etc.) gegen Alternativen auszutauschen oder Konfigurationen speziell zu überwachen. Auch eine Auswertung bereits erfolgter Ransomware-Angriffe auf andere Unternehmen bietet einen Einblick in die ausgenutzten Schwachstellen und Ansatzpunkte, um die eigene IT-Infrastruktur zu verbessen.
Ausdrücklich gehören aber auch extern gesicherte Backups zum Gesamtpaket. Wichtig ist hierbei, dass eine direkte Verbindung zu den Systemen (eigentlich) nicht bestehen sollte, denn der „klassische“ Ransomware-Angreifer wird zielgerichtet die Datensicherungen infiltrieren und sperren, bevor er sich zu erkennen gibt. Bei tatsächlich externen und vor allem losgelösten Backups ist dies deutlich schwerer der Fall.
Nicht zu vernachlässigen ist aber auch die ebenso klassische Firewall, welche turnusmäßig überprüft und erneuert gehört. Angreifer haben es meist auf schwache Systeme abgesehen, die leicht zu knacken sind. Je länger sie für den Versuch des Eindringens auf die Systeme benötigen, desto eher lassen sie davon ab – hier spiegelt sich das klassische Muster zum (Wohnungs-)Einbruch wider.
Weiterbildung als Maßnahme gegen die Schwachstelle Mensch
Dem Risikofaktor Mensch kommt eine entscheidende Rolle bei der Vorbeugung gegen Cyberkriminalität zu. Ein Großteil aller erfolgreichen Angriffe ist darauf zurückzuführen, dass Cyberkriminelle (ungeschulte) Mitarbeiter beziehungsweise menschliches Versagen als Schwachstelle nutzen. Dagegen kann auch die beste Technik nichts ausrichten. Ein entscheidender Fokus sollte daher auf der Weiterbildung der Mitarbeiter im Hinblick auf Informationssicherheit und Sensibilisierung für potenzielle Cybergefahren liegen.
Umfassende kontinuierliche Schulungen und Trainings als Präventivmaßnahmen sind folglich klar zu empfehlen. Wichtig ist es zudem, IT-Security-Verhaltensregeln so zu gestalten, dass sie den realen Anforderungen von Unternehmen und Mitarbeitern genügen – nur dann werden sie auch akzeptiert und gelebt. Die Beschränkung des administrativen Zugangs zu den Systemen auf möglichst wenige Personen ist als Grundvoraussetzung (hoffentlich) nur noch beiläufig erwähnenswert.
Wenn es doch passiert, was ist zu tun?
Sollte man doch Opfer eines Ransomware-Angriffs geworden sein, gilt es zunächst einmal die Ruhe zu bewahren. Nach eindeutiger Feststellung, dass tatsächlich ein Angriff vorliegt und kein technischer Defekt, ist schnelles und zugleich überlegtes Handeln gefragt. Das bedeutet, umgehend die Entscheidungsträger zu informieren sowie einzubinden und die betroffenen Internetverbindungen beziehungsweise verbundene interne Netzwerke zu trennen.
Der Umfang der Schadensbegrenzung hängt maßgeblich von den ersten eingeleiteten Schritten ab. Daher stellen (bekannte und erprobte) Notfallpläne eine weitere wichtige Grundlage einer erfolgreichen Abwehr von Angriffen respektive der effektiven Eindämmung des Angriffs und seiner Folgen dar. Im Übrigen kommen auch die Versicherungen den Schadensersatzzahlungen nur nach, wenn sachgemäß auf einen Cyberangriff reagiert wurde. Einzeln sollten Unternehmen die folgenden Schritte beachten:
1. Kommunikation und Task-Force
Von entscheidender Bedeutung in der Kommunikation ist vor allem der Außenauftritt des betroffenen Unternehmens. Dabei ist es wichtig, eine sogenannte „One-Voice-Communication“ einzuhalten, also eine einheitliche Kommunikation sowohl nach außen und als auch nach innen. Widersprüche in der Kommunikation mit Beschäftigten, Kunden, Behörden oder IT-Dienstleistern sollte man tunlichst vermeiden. Auch zeitlich dürfen sich keine Diskrepanzen ergeben.
Intern sollten zudem die Beschäftigten informiert und zugleich an ihre Geheimhaltungspflicht erinnert werden – denn auf Informationslücken kann man als Betroffener eines Cyberangriffes gut verzichten. Auch sollte auf keinen Fall überstürzt gehandelt werden. Stattdessen gilt es, die Ruhe zu bewahren und stets den Fokus auf positive, also lösungsorientierte Kommunikation zu legen. Hierfür kann es auch sinnvoll sein, einen spezialisierten PR-Dienstleister zu beauftragen – mit der Eindämmung des Angriffes und dessen Auswirkungen hat das Unternehmen in der Regel nämlich genug zu tun.
Was die Datenlage anbelangt, so ist es im ersten Schritt wichtig, sich einen Überblick zu verschaffen, welche Daten genau betroffen sind und wo die Schwachstellen im eigenen System liegen. Möglicherweise ist eine Wiederherstellung der Daten realisierbar. Mit wem der Sicherheitsvorfall angegangen werden soll, liegt im Ermessen des jeweiligen Unternehmens und muss individuell entschieden werden.
Für den bisherigen IT-Dienstleister spricht dabei in der Regel, dass er die IT-Infrastruktur kennt. Allerdings trifft diesen nicht selten eine Mitschuld, sodass das potenzielle Risiko einer Fehlervertuschung besteht. Außerdem ist zu klären, wer die Kosten der Wiederherstellung trägt. Mit einem neuen IT-Dienstleister kann das Unternehmen gezielt einen Recovery-Spezialisten auswählen, der sich mit solchen Situationen auskennt und der zugleich in der Lage ist, ein neues System zu implementieren. Eine saubere Trennung von alter und neuer IT-Umgebung wird dadurch möglich. Höhere Kosten sowie eine längere Dauer (besonders bei der Einarbeitung) können sich hingegen nachteilig auswirken.
2. Meldepflichten und Ermittlungsbehörden
Die betroffenen Unternehmen treffen sehr kurze Meldefristen in Bezug auf die Datenschutzgrundverordnung (DSGVO). Bei der Verletzung von personenbezogenen Daten muss eine Meldung binnen 72 Stunden an die dafür zuständige Datenbehörde übermittelt werden. Nach Art. 33 Abs. 3 DSGVO muss diese eine Beschreibung der Datenschutzverletzung, die Kontaktdaten des Datenschutzbeauftragten, die Beschreibung der Datenschutzverletzung, die Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen beinhalten. Nach Art. 33 ist man nach Abs. 1 von der Meldepflicht befreit, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko beziehungsweise nicht zu einem mehr als nur geringfügigen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ist man als Unternehmen jedoch Opfer eines Angriffs – welcher nicht abgewehrt werden konnte – dürfte in nahezu jedem Fall eine Meldepflicht nach Art. 33 DSGVO gegenüber der jeweiligen Datenschutzaufsichtsbehörde bestehen.
Ransomware-Angriffe als größte Bedrohung für die Wirtschaft
Unter Ransomware versteht man zumeist den Typ von Schadsoftware, der Nutzer aus dem eigenen Gerät aussperrt. Der englischsprachige Begriff, der übersetzt so viel wie „Erpressungstrojaner“ heißt, zielt darauf ab, bestimmte Nutzerdaten zu verschlüsseln oder den kompletten Zugriff auf das System zu sperren [3]. Dabei werden gelegentlich auch einzelne Dateien oder gesonderte Bereiche des IT-Systems verschlüsselt. Für die Freigabe dieser verschlüsselten Daten oder gesperrten Systeme wird dann ein Lösegeld (engl. Ransom) verlangt. Um den Druck zu erhöhen, werden meist zusätzlich sensible Daten gestohlen und mit deren Veröffentlichung gedroht.
Im dritten Quartal 2023 stiegen die im Darknet registrierten globalen Ransomware-Angriffe um mehr als 11 Prozent gegenüber dem Vorquartal und um rekordverdächtig 95 Prozent im Vorjahresvergleich (siehe Abbildung 1). Dabei ist zu beobachten, dass sich die globalen Attacken zunehmend auch gegen Anwaltskanzleien und Kommunen richteten [4].
Abbildung 1: Quartalsweise Entwicklung der Anzahl der globalen Ransomware-Angriffe (Quelle: Corvus, Q3 Ransomware Report, Oktober 2023, S. 2)
Die Anzahl der Ransomware-Angriffe ist in den letzten Jahren konstant hoch gewesen. Allein im Jahr 2022 wurden bei circa 137.000 erfolgten Ransomware-Angriffen insgesamt 457 Millionen US-Dollar an Lösegeldern gezahlt (umfasst nur Krypto-Zahlungen), wobei es sich hierbei um kriminelle Einnahmen handelt (siehe Abbildung 2) [5]. Damit kann diese Form des organisierten Verbrechens fast schon als eigenes Geschäftsmodell angesehen werden.
Abbildung 2: Weltweit festgestellte Lösegeldzahlungen auf Kryptowallets von Ransomware-Akteuren im Jahr 2022 (Quelle: Abbildung aus BKA Cybercrime Bundeslagebericht 2022)
Im Durchschnitt zahlten die betroffenen Unternehmen fast 276.000 US-Dollar Lösegeldsummen in 2022 [6]. Die Höhe der durchschnittlichen Lösegeldzahlungen im 3. Quartal von 2023 liegt dazu im Vergleich bei 850.700 US-Dollar, womit sich dies im Vergleich zum Vorjahr mehr als verdreifacht hat [7]. Problematisch dabei ist, dass die Unternehmen mit diesen Lösegeldzahlungen die Hackerangriffe lukrativ machen und durch ihre Zahlungsbereitschaft dieses „Geschäftsmodell“ erst ermöglichen.
Zwar nimmt die Zahlungsbereitschaft der Unternehmen statistisch gesehen ab (2019: 76 %, 2022: 41 %, siehe Abbildung 3), doch auf der anderen Seite erhöhen sich die Lösegeldforderungen im Vergleich zum Vorjahr um 35 Prozent [8].
Abbildung 3: Anteil an Unternehmen, die nach einem Ransomware-Angriff Lösegeld gezahlt haben (Quelle: Coveware in: Chainalysis (2023), The 2023 Crypto Crime Report)
Die Zahlung des Lösegeldes erfolgt üblicherweise in Bitcoin oder anderen virtuellen Währungen. Der Vorteil für die Erpresser liegt darin, dass es neben dem noch wenig regulierten Handel, deutlich erschwert wird, den Besitzer ausfindig zu machen und zurückzuverfolgen [9]. Das macht es insbesondere für kriminelle Organisationen attraktiv, auf dieses Mittel der Bezahlung zurückzugreifen.
Allerdings ist zu bedenken, dass eine Lösegeldzahlung auch mit Risiken für die Unternehmen verbunden ist. Diese müssen damit rechnen oder zumindest vorab rechtlich geprüft haben, dass beziehungsweise ob sie sich strafbar machen können, wenn sie der Zahlungsforderung der Hacker nachkommen.
Denn rein rechtlich ist es naheliegend, dass mit einer Lösegeldzahlung in der Regel der Verdacht der Förderung einer kriminellen Vereinigung nach § 129 I 2 Strafgesetzbuch (StGB) besteht. Zwar kommen auch diverse Rechtfertigungs- und Entschuldigungsgründe in Betracht. Diese müssen aber bei einer Abwägung der Interessen im Einzelfall ergeben, dass die durch die Zahlung des Lösegeldes einhergehende Förderung einer kriminellen Vereinigung gerechtfertigt ist.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher ausdrücklich davon ab, auf die Lösegeldforderungen der Täter einzugehen [10]. Dies liegt unter anderem daran, dass die Cyberkriminalität dadurch in ihren „Geschäftsmodell“ gestärkt beziehungsweise bestärkt wird. Außerdem garantiert die Zahlung des Lösegeldes nicht, dass die betroffenen Daten oder Systeme wiedererlangt werden können [11].
Neben den Aufsichtsbehörden empfiehlt es sich bei Cyberattacken auch die Ermittlungsbehörden einzuschalten. Zwar sind die betroffenen Unternehmen nicht (zwangsläufig) zur Strafanzeige verpflichtet, doch das Einschalten der Ermittlungsbehörden kann sich positiv auswirken. Neben eigenständigen forensischen Untersuchungen ist es so möglich, Informationen über den oder die Täter zu sammeln und dadurch potenziell eine Ergreifung herbeiführen.
Realistischer ist dabei jedoch die Unterstützung bei der Wiedererlangung der Daten nach deren Veröffentlichung im Darknet. Gerade in Anbetracht des Umstandes, dass man davon ausgehen muss, dass 91,5 Prozent aller Angriffe überhaupt nicht gemeldet werden [2], ist es zwingend, sowohl im eigenen als auch im Allgemeininteresse eine bessere Datenlage durch die Anzeigenerstattung zu ermöglichen. Das hat bislang zur Folge, dass ein Großteil der Hackerangriffe gar nicht in die offiziellen Statistiken aufgenommen wird, was letztlich dazu führt, dass Gelder zur Bekämpfung der Cyberkriminalität nicht vollumfänglich freigegeben werden können.
Fazit
Man muss sich im Klaren sein, dass es eine hundertprozentige Sicherheit gegen Cybercrime nicht gibt – es sein denn, man verzichtet auf digitale Geräte. Daher gilt es, die Hürden für den Angreifer so hoch wie möglich zu setzen. Die Statistiken und Auswertungen selbiger haben gezeigt, dass es auf die ersten Minuten des Angriffes ankommt – wie beim „klassischen“ (Wohnungs-)Einbruch auch. Ist das System derart ausgelegt, dass es die ersten, meist sehr massiven Versuche des Eindringens verhindert, suchen sich die Angreifer oft ein neues Ziel.
Ist man dann doch Opfer eines Angriffs geworden, zahlt es sich vor allem aus, wenn die Vorbereitung auf diesen – bei Licht betrachtet – (un)ausweichlichen Fall gut durchdacht und mit einer gewissen Regelmäßigkeit auch erprobt wurde. So sollte die IT auch mit vergleichsweise kühlem Kopf in der Lage sein, die Ausbreitung so schnell wie möglich zu verhindern und die Mitarbeiter mit ins Boot zu holen – und damit insgesamt den Angriff und seine Auswirkungen einzudämmen. Der Fokus auf die IT-Sicherheit und den jeweiligen Stand der Technik ist jedoch ebenso hoch zu bewerten wie der Faktor Mensch, der durch gezielte Aus- und Weiterbildung eine wichtige Rolle bei der Abwehr von Angriffen spielen kann.
Literatur
[1] BKA, Cybercrime Bundeslagebild 2022
[2] Dreißigacker, A., von Skarczinski, B. & Wollinger, G. R. (2021), Cyberangriffe gegen Unternehmen in Deutschland, Ergebnisse einer Folgebefragung 2020, KFN-Forschungsberichte No. 162. Hannover: KFN., online abrufbar unter: https://kfn.de/publikationen/kfn-forschungsberichte/
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), „Ransomware – Fakten und Abwehrstrategien“, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/ransomware-angriffe_node.html
[4] Corvus, Q3 Ransomware Report, Oktober 2023, S. 1–2
[5] Vgl. BKA, Cybercrime Bundeslagebericht 2022, S. 18.
[6] Vgl. BKA, Cybercrime Bundeslagebericht 2022, S. 18.
[7] Coveware, Quartalsberichte 2022, www.coveware.com/blog
[8] Zum Absatz: Vgl. Coveware, Quartalsberichte 2022, www.coveware.com/blog
[9] Vgl. „Die Lage der IT-Sicherheit in Deutschland 2022“ Lagebericht vom Bundesamt für Sicherheit in der Informationstechnik (BSI), S. 106.
[10] Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2019, S.16.
[11] Pinsent Masons, Cyberangriffe: Wer Lösegeld zahlt, kann sich strafbar machen, www.pinsentmasons.com/de-de/out-law/nachrichten/cyber-angriffe-wer-loesegeld-zahlt-kann-sichstrafbar-machen
Lasse Konrad ist Partner bei der HÄRTING Rechtsanwälte PartGmbB.