Beiträge

Als Business Continuity Management (BCM), auf Deutsch Kontinuitätsmanagement, bezeichnet man die Entwicklung von Strategien, Plänen, Handlungen, Tätigkeiten und Prozessen für einen Krisenfall. Diese Strategien beziehen sich auf solche Prozesse, deren Unterbrechung der Organisation ernsthafte Schäden oder gravierende (mitunter vernichtende) Verluste zufügen würde. Beispielsweise beschäftigt sich BCM mit Katastrophen wie Feuer, Überflutung, Einbruch, Vandalismus, Hackerangriffen und Personalausfall.

Ereignisse mit hohem Schadenspotenzial

Somit befasst sich Business Continuity Management mit Ereignissen, deren Eintrittswahrscheinlichkeit gering ist, die aber einen hohen Schaden verursachen würden, falls sie eintreten. Das Ausmaß der Schäden für das Unternehmen in einem solchen Fall wird demzufolge durch Business Continuity Management minimiert.

Zielsetzung der BCM-Maßnahmen

Ziel der BCM-Maßnahmen ist es, alle kritischen Geschäftsprozesse abzusichern. Damit wird die Produktivität erhalten, die Wettbewerbsfähigkeit des Unternehmens und damit der Fortbestand gesichert. Dabei können auch alternative Abläufe definiert werden, die im Krisenfall greifen sollen.

BCM-Maßnahmen zur Sicherung des IT-Betriebs

Ursprünglich aus der Betriebswirtschaftslehre stammend, wurde das Business Continuity Management im Laufe der Zeit auf die IT-Technologie ausgeweitet. Denn viele IT-Anwendungen zählen zu den kritischen Geschäftsaktivitäten. So können plötzliche Ausfälle von Rechnern, Stromausfälle, sonstige technische Störungen, Bedienungsfehler oder Attacken auf Computersysteme zu gravierenden Betriebsstörungen führen. Die Strategien, Pläne und Maßnahmen im Rahmen des Business Continuity Management sollen dazu beitragen, den Betrieb der IT-Infrastruktur im Krisenfall möglichst aufrechtzuerhalten oder problemlos zum Wiederanlauf zu bringen.

Ganzheitliches Konzept

Business Continuity Management ist damit ein ganzheitliches Konzept, das sich auf Prozesse, auf Organisation, IT und Personal bezieht. Die Maßnahmen können proaktiv, reaktiv oder strategisch angelegt sein. Das BCM überschneidet sich mit dem Risikomanagement. Ein wirksames Business Continuity Management System muss kontinuierlich an die Unternehmensstrategie angepasst werden.

Geschäftskritische Prozesse identifizieren

Zu den Schritten des Business Continuity Management gehören die Identifizierung der geschäftskritischen Prozesse und das Aufstellen von Notfallplänen. Für den Krisenfall sind Verantwortlichkeiten festzulegen, damit ein effizientes und abgestimmtes Handeln in der Krise möglich ist. Im Rahmen von Notfallübungen und Testläufen kann überprüft werden, ob die BCM-Maßnahmen wirksam sind und an welchen Stellen nachgebessert werden muss.

IT-Notfallplan

Im Rahmen des Business Continuity Management sind Maßnahmen zu beschreiben, die den IT-Betrieb in einem Krisenfall aufrecht erhalten oder den schnellen Wiederanlauf nach einem Ausfall sicherstellen sollen. Bei einem Datenverlust ist es oft nicht einfach, die Daten ad hoc wiederherzustellen. Daher gehört zum BCM ein IT-Notfallplan. Dies ist ein Handbuch, in dem Notfallmaßnahmen und Handlungsanweisungen festgehalten sind. Bei einem Störfall kann das Unternehmen mit Hilfe dieses Notfallplans schnell reagieren. Zu den typischen Inhalten gehören Anweisungen, Zuständigkeiten, Kommunikationsregeln und Aktionen zur schnellen Beschaffung von Ersatzteilen. Zur besseren Übersicht sind diese Inhalte oft in Form von Checklisten und Skizzen dargestellt.

Ransomware

Im Jahr 2017 hat sich die Ransomware WannaCry (WanaDecrypt0r 2.0) weltweit auf Computern und Servern verbreitet. Dies ist ein Krypto-Trojaner, der auf den infizierten Rechnern Daten (Dateien, Bilder, Programme) so verschlüsselt, dass diese unbrauchbar werden. Der Anwender wird genötigt, ein Lösegeld zu zahlen, um den Code für die Entschlüsselung zu erhalten. Es wird gedroht, dass anderenfalls die Daten gelöscht werden. Wie bereits bei vorherigen Ransomware-Attacken wurden die Nutzer aufgefordert, in der Währung Bitcoin zu zahlen.

Virenscanner

Schadsoftware sowie Angriffe von Hackern sind nicht leicht zu erkennen. Sie gefährden die Funktionsfähigkeit des Computers und den Schutz sensibler Daten. Daher werden Virenscanner als manuelle Scanner, als Echtzeitscanner oder Onlineprogramme eingesetzt. Damit können Trojaner und Viren wirksam aufgespürt werden. Diese ungebetenen Gäste werden dann unschädlich gemacht, indem sie in das Quarantäne-Verzeichnis verschoben oder gelöscht werden. Ein Antivirus-Programm bewirkt, dass Hacker ausgesperrt werden. Mittlerweile arbeiten Virenscanner mit hoher Geschwindigkeite und können den Rechner kontinuierlich schützen.

Business Continuity Management während der Corona-Krise

Durch die Corona-Krise erfahren wir im Moment, dass es zum BCM auch gehören kann, die Geschäftsräume von heute auf morgen zu schließen und die Mitarbeiter ins Home-Office zu schicken. Auf eine solche Situation muss ein Unternehmen sowohl technisch als auch organisatorisch vorbereitet sein.

Anforderungen im Home Office

Mitarbeiter im Home Office sollten über eine Internetanbindung mit mindestens 2 Mbit/s Bandbreite verfügen (bei größeren Datenmengen 6 Mbit/s). Die Beschäftigten sollten die Möglichkeit haben, sich in die zentrale Telefonanlage des Unternehmens einzuwählen. Auf dem Rechner muss eine Antiviren-Software installiert sein, damit dieser vor Viren und Trojanern geschützt ist. Business Continuity Management darf das Home Office nicht aussparen. Die Anforderungen an den Datenschutz und an die Datensicherheit müssen auch dort erfüllt werden. Papierdokumente und Sticks mit sensiblen Daten sind daher so aufzubewahren, dass sie vor dem Zugriff durch Dritte geschützt sind. Idealerweise ist das Home Office ein abschließbarer Raum. Der Rechner muss in jedem Fall durch ein Passwort abgesichert sein.

Im Bereich der IT wird mit dem Begriff „Monitoring“ die kontinuierliche Überwachung oder Kontrolle von IT-Systemen auf ihre einwandfreie Funktionalität bezeichnet. Um Ergebnisse zu vergleichen oder auszuwerten muss Monitoring systematisch und regelmäßig durchgeführt werden. Im Rahmen moderner Informationssysteme gehören diese Prozesse zu den wichtigsten Aspekten von Netzwerk- und Systemadministratoren.

Allgemeine Informationen zum Monitoring

Für die reibungslose Funktionalität einer IT-Infrastruktur müssen IT-Administratoren sicherstellen, dass sich alle beteiligten Komponenten innerhalb ihrer normalen Parameter bewegen. Diese Parameter werden durch Monitoring ermittelt, also durch die regelmäßige und systematische Überwachung relevanter Indikatoren. Früher wurden oft nur die reinen Performance-Parameter erfasst, wie zum Beispiel:

–       die Auslastung der CPU bei einer Datenbanktransaktion

–       der Speicherverbrauch bei einer Client-Anfrage

–       die Zeit, die der Server braucht, um eine Anfrage zu beantworten

Heutzutage umfasst Monitoring jedoch sämtliche Bereiche der IT, wie beispielsweise:

–       Sicherheit

–       Nutzerverhalten

–       Verfügbarkeit

Ziele

Im obigen Absatz haben wir das Ziel aller Prozesse bereits mit der „reibungslosen Funktionalität“ definiert. Grundsätzlich handelt es sich dabei um die Ermittlung der Ursachen, die direkt oder indirekt dafür verantwortlich sind, System-Parameter außerhalb der erwünschten Grenzen zu erzeugen. Dabei wird Monitoring eingesetzt, um:

–       das Problem möglichst früh zu identifizieren, sodass es beseitigt werden kann, bevor größere Schäden entstehen können

–       die Ursache des Problems ausfindig zu machen und zu lokalisieren

–       durch das Beseitigen auftretender Probleme Früherkennungsmaßnahmen zu optimieren, sodass künftige Probleme besser erkannt und behoben werden können

Falls ein System innerhalb der normalen Parameter funktioniert, können Maßnahmen beispielsweise auch eingesetzt werden, um die zukünftige Nutzung zu planen. Hat eine Webapp beispielsweise über das vergangene Jahr hinweg nur 60 Prozent ihrer CPU genutzt, lässt sich etwa ein physikalischer Server mit weniger Leistung betreiben.

Methoden und Verfahren

In Bezug auf den Betrachtungszeitraum der im Rahmen des Monitorings erfassten Informationen können zwei Vorgehensweisen unterschieden werden, und zwar:

–       Das sogenannte „Historical Monitoring“, das primär bei der automatischen Erzeugung von Langzeitstatistiken zu IT-Diensten eingesetzt wird. Diese Art ermöglicht u. a. die Kapazitätsplanung anhand der Wachstumsraten innerhalb einer bestimmten Zeitperiode, Rechenauslegung oder die Planung des Budgets. Darüber hinaus sind derartige Datensätze oft gute Indikatoren für systematische Verfügbarkeitsprobleme und entsprechende Lösungen solcher Probleme. Bei dieser Vorgehensweise arbeitet der IT-Administrator proaktiv.

–       Das sogenannte „Real-Time Monitoring“ ist eher reaktiv ausgelegt. Durch die kontinuierliche und systematische Überwachung der Funktionalitäten sämtlicher Dienste sollen Ausfälle schnellstmöglich identifiziert werden und die IT-Verantwortlichen in Kenntnis gesetzt werden. Im Idealfall werden auftretende Probleme identifiziert, bevor der Nutzer etwas davon merkt.

Hohe Verfügbarkeit und niedrige Ausfallraten

Im Rahmen des aktiven Monitorings versuchen dedizierte Systeme das Problem vorübergehend zu beseitigen. Dabei wird jedoch nur die Symptomatik und nicht die eigentliche Ursache des Problems eliminiert. Darüber hinaus ist für viele auftretende Probleme eine solche Vorgehensweise gar nicht möglich, wie beispielsweise bei einem Serverausfall. Ein wesentlicher Nachteil des aktiven Monitorings ist, dass in der Regel ein privilegierter Zugriff auf Dienste und Systeme benötigt wird, was einen erhöhten Risikofaktor darstellt.

Bei dem sogenannten „durchgängigen Monitoring“ wird hingegen das gesamte System inklusive aller relevanten Parameter und Dienste kontinuierlich überwacht. Dies benötigt jedoch eine hohe Disziplin aller IT-Mitarbeiter: Wenn beispielsweise ein neues Gerät oder ein neuer Server in das Netzwerk integriert wird, darf man nicht vergessen, diesen in das Monitoring einzubinden. Des Weiteren erzeugt diese Form des Monitorings eine gigantische Datenmenge, deren gezielte Analyse viel Zeit in Anspruch nehmen kann.

Unterschiedliche Anwendungen

Im Rahmen des sogenannten „End-to-End-Monitoring“ beschränkt sich die Messung auf die Funktionalität eines einzelnen Dienstes. Wenn beispielsweise ein Kunde in einem Webshop, wie Amazon, einkaufen möchte, dann wird die vollständige Transaktion eines Dienstes gemessen und ausgewertet. Bei dieser Vorgehensweise steht das sogenannte „Application Response Time Monitoring“ im Fokus. Damit lässt sich die exakte Antwortzeit einer Webanwendung ermitteln und ob diese in einer akzeptablen Zeit erfolgt.

Im Rahmen des externen wird ein dediziertes Gerät an das Netzwerk angeschlossen, während beim internen auf ein solches Gerät verzichtet wird. Weitere Bezeichnungen für diese Vorgehensweise sind aktives und passives Monitoring. Im Rahmen des aktiven Monitorings werden noch zusätzlich Pakete an das Netzwerk gesendet, während beim passiven lediglich „mitgehört“ wird.

Monitoring Tools

Die Prozesse finden in der IT in Form zahlreicher Tools Unterstützung. Es ist sind eine Vielzahl kommerzieller als auch Open Source-Produkt erhältlich, die jeweils auf unterschiedliche Einsatzszenarien in unterschiedlichen Umgebungen ausgerichtet sind. Nicht jedes Werkzeug eignet sich für jede Netzwerkinfrastruktur und jedes Verfahren gleichermaßen. Einige Tools verfügen über zahlreichen Funktionen und Features, während andere auf spezialisierte Aufgaben ausgerichtet sind. Bei der Auswahl eines solchen Werkzeugs sollten also die eigenen Anforderungen und Bedürfnisse beachtet werden. Welche Funktionen und Features benötigt werden, hängt von folgenden Faktoren ab:

–       Anforderungen der Netzwerkinfrastruktur

–       Benötigte Alarmmeldungen

–       Auf welche Art und Weise sollen Alarmmeldungen gesendet werden?

–       Welcher Monitoring-Typ ist erforderlich?

 

Das Bundesamt für Sicherheit in der Informationstechnik ist eine deutsche Bundesbehörde, die Sie bei Fragen zur IT-Sicherheit unterstützt. Während das BSI in Einrichtungen des Staats aktiv Schutzmaßnahmen ergreift, profitieren die Gesellschaft und die Wirtschaft insbesondere von Informationen sowie Handlungsempfehlungen der Behörde. Unternehmen nutzen die Vorgaben und Standards der Organisation, um sich beim Business Continuity Planning auf IT-Notfälle vorzubereiten.

BSI: Förderung der IT-Sicherheit in Staat, Wirtschaft und Gesellschaft

Unter der Aufsicht des Bundesinnenministeriums trägt das BSI mit rund 1.000 Mitarbeitern als Bundesbehörde die Verantwortung für Deutschlands IT-Sicherheit. Durch Fördermaßnahmen erleichtert die Behörde Ihnen einen sicheren Einsatz von Kommunikations- und Informationstechnologie. Diese Hauptaufgabe nimmt das BSI für den Staat, die Wirtschaft und die Gesellschaft wahr. Mit Mindeststandards, Leitlinien und Handlungsempfehlungen entwickelt die Bundesbehörde hierzu klare Kriterien. Darüber hinaus ist das BSI direkt für die IT-Sicherheit der deutschen Bundesverwaltung zuständig. Daher sind die Erkennung und die Abwehr eines Hacker-Angriffs auf Regierungssysteme unmittelbare Pflichten der Behörde. Die Bekämpfung der entdeckten Exploits, Viren und Bedrohungen koordiniert die Organisation im nationalen Cyber-Abwehrzentrum.

Sensibilisierung von Unternehmen und Bürgern durch BSI Informationen

Als IT-Sicherheitsbeauftragter oder einfacher Angestellter in einem Unternehmen profitieren Sie ebenso wie private Verbraucher von den regelmäßigen Empfehlungen zur IT-Sicherheit, die das BSI veröffentlicht. Denn eine zentrale Aufgabe der deutschen Bundesbehörde besteht darin, die Wirtschaft und die Bürger mit Informationen über Sicherheitsschwachstellen zu sensibilisieren. Das BSI macht Sie mit Hinweisen auf ein verbreitetes Exploit, Viren oder sonstige Angriffe durch Hacker frühzeitig auf die Vulnerability von Systemen aufmerksam. Mit diesen Ratschlägen gelingt es IT-Sicherheitsbeauftragten auch, sich beim Business Continuity Planning frühzeitig auf IT-Notfälle vorzubereiten und ohne unnötigen Zeitverlust im Ernstfall zu reagieren. Allgemeine BSI-Empfehlungen helfen Ihnen außerdem zum Beispiel dabei, ein sicheres Passwort anzulegen.

IT-Grundschutz mit Standardschutzmaßnahmen als Empfehlungen zur IT-Sicherheit

Bis 2017 aktualisierte die Bundesbehörde jährliche die sogenannten IT-Grundschutz-Kataloge. Danach ersetzte das BSI die Kataloge mit einem IT-Grundschutz-Kompendium. Wenn Sie verbreitete IT-Systeme nutzen, finden Sie in diesen Veröffentlichungen hilfreiche Empfehlungen mit Standardschutzmaßnahmen. Mit dem IT-Grundschutz veranschaulicht das BSI Methoden zur Steigerung der IT-Sicherheit in Firmen, die teilweise auch für Anfänger umsetzbar sind. Ein IT-Sicherheitsbeauftragter erhält durch das IT-Grundschutz-Kompendium die Möglichkeit, mit umfassenden Maßnahmen ein System gegen Hacker und Exploits weitgehend abzusichern. Insgesamt beinhalten die BSI-Hinweise zum IT-Grundschutz rund 5.000 Seiten. Somit bilden die Informationen eine nützliche Grundlage für den Umgang mit der Vulnerability von Computersystemen und die Verbesserung der Business Continuity.

BSI Zertifizierungen für Unternehmen mit geprüften IT-Produkten und Dienstleistungen

Das BSI gibt Ihnen die Chance, als Unternehmer Zertifizierungen zu erlangen und damit die Durchführung der Maßnahmen zum Schutz vor Hacker-Angriffen oder sonstigen Bedrohungen nachzuweisen. Wichtige Zertifizierungen vergibt die Bundesbehörde beispielsweise für die Umsetzung der Standardmaßnahmen aus dem IT-Grundschutz-Kompendium. Hierzu müssen Sie laut den BSI-Vorgaben einen zertifizierten IT-Grundschutz-Auditor um ein Testat-Verfahren bitten. Dabei wird überprüft, ob ein IT-System die Anforderungen des IT-Grundschutzes erfüllt. Im Anschluss an eine erfolgreiche Prüfung stellt der Auditor ein Testat aus. Das BSI verleiht im Erfolgsfall ein Testat-Logo mit einer befristeten Gültigkeit, das die jeweilige Institution im Zusammenhang mit den geprüften Systemen öffentlich verwenden darf.

Für die Überprüfung von IT-Produkten und Systemen sind vor einer Zertifizierung immer unabhängige Prüfstellen mit einer Anerkennung durch das BSI verantwortlich. Die Bundesbehörde stellt sicher, dass die Produktprüfungen mit einheitlichen Kriterien objektiv und unparteiisch durchgeführt werden. Mit BSI-Zertifikaten haben Sie in einem Unternehmen die Gelegenheit, das Sicherheitsniveau von Ihren Produkten transparent darzustellen.

Wenn Sie ein Verbraucher sind, stellen die Produktzertifizierungen wiederum eine nützliche Entscheidungshilfe dar. Die Zertifikate machen deutlich, ob ein IT-Produkt Ihnen in einem bestimmten Einsatzbereich Sicherheit bietet. Außerdem informieren öffentliche BSI-Hinweise Sie häufig darüber, wie Sie bei der Verwendung von zertifizierten IT-Lösungen die IT-Sicherheit selbst steigern und sich dadurch unter anderem vor einem Exploit oder Hacker-Angriffen schützen.

Kooperation mit Bitkom und Betreibern von kritischen Infrastrukturen

Das BSI kooperiert eng mit dem Branchenverband Bitkom, der für die Telekommunikations- und Informationsbranche in Deutschland zuständig ist. Durch diese Zusammenarbeit ist 2012 auch die Allianz für Cybersicherheit entstanden. Mit Partner-Unternehmen und tausenden Institutionen tauscht das Bündnis Daten über neue Hacker-Methoden aus. Die Allianz für Cybersicherheit ermöglicht dem BSI daher die Bereitstellung zusätzlicher Informationen, von denen Sie als IT-Sicherheitsbeauftragter oder einfacher Unternehmer insbesondere beim Business Continuity Planning profitieren. Zudem unterstützt die Bundesbehörde über das Kooperationsgremium UP KRITIS Betreiber der kritischen IT-Infrastrukturen, die für eine funktionierende Gesellschaft unverzichtbar bleiben. Dabei steht insbesondere die Vulnerability von unentbehrlichen Systemen im Blickpunkt.

Bei Social Engineering handelt es sich um einen Oberbegriff, mit dem eine Vielzahl unterschiedlicher sozialer Manipulations- und Betrugstechniken beschrieben wird. Diese Methoden zielen in erster Linie darauf aus, den gutgläubigen Menschen als „Schwachstelle“ auszunutzen. Social Engineering ist keine neue Technik. Sie wurde schon lange vor dem Aufkommen des World Wide Web in Zusammenhang mit sensiblen Informationen angewandt.

Allgemeine Informationen zu Social Engineering

Heutzutage stellen insbesondere Unternehmen aufgrund ihrer kostbaren Daten ein äußerst beliebtes Angriffsziel für Social Engineering-Attacken dar. In diesem Kontext kommen in der Regel folgende Techniken zum Einsatz:

–       Baiting

–       Phishing

–       CEO-Fraud

Mit diesen Angriffen versuchen Hacker die Schwachstelle „Mensch“ auszunutzen, um sich unerlaubten Zugriff zu sensiblen Informationen zu verschaffen. Aufgrund des speziellen Charakters dieser Angriffe, stoßen viele Antiviren– und Malware-Programme an ihre Grenzen, da es keinen Exploit oder keinen Virus gibt, der mit einer Sicherheits-Software eliminiert werden könnte. Schulungen der Mitarbeiter und ein Bewusstsein für diese potenzielle Gefahrenquelle sind die wichtigsten Voraussetzungen, um diese Form der Cyber-Kriminalität zu unterdrücken.

Begriffserklärung Social Engineering

Die Methoden und Techniken des Social Engineering zielen als sogenannte „soziale Beeinflusstechniken“ auf den Faktor Mensch ab. Die unterschiedlichen Arten und Formen des Betrugs werden sowohl im Online- als auch im Offline-Bereich seit Jahrzehnten äußerst erfolgreich eingesetzt. In der modernen Verwendung des Begriffs „Social Engineering“ werden damit jedoch die verschiedenen Formen der Cyber-Kriminalität bezeichnet. Sowohl Privatpersonen als auch internationale Großunternehmen sehen sich mit immer raffinierteren Methoden der sozialen Manipulation konfrontiert. All diese Methoden teilen sich die Gemeinsamkeit, dass sie explizit die menschliche Willensschwäche bzw. die Naivität ahnungsloser Mitarbeiter ausnutzen. Einige bekannte Beispiele hierfür sind:

–       E-Mail Phishing

–       Voice Phishing

Mit diesen Methoden hat nahezu jeder private Internetnutzer bereits Erfahrung.

Betrugsziele

In den Anfängen des World Wide Web in den 1990er Jahren waren Internet-Verbindungen im Allgemeinen minimal verbreitet und waren in der Regel sehr langsam. Aus diesem Grund fungierten damals im Rahmen des Social Engineering oftmals größere Universitäten oder Telefonkonzerne als Ziele für Hacker. Ein Ziel der Hackerangriffe war es, unerlaubten Zugriff auf schnelle Internetverbindungen und große Rechenleistungen zu erlangen. Heute zielen Cyber-Kriminelle in erster Linie auf Daten und Informationen, die sich gut verkaufen oder für illegale Zwecke nutzen lassen. Dazu zählen zum Beispiel:

–       sensible Unternehmensinformationen

–       Kreditkarten- und Bankkontodaten

–       Zugangsdaten (Nutzernamen und Passwörter) zu Accounts

Grundsätzlich sind sämtliche Informationen für Hacker interessant, die sich für illegale Zwecke nutzen lassen. Menschliche Ziele sind primär Mitarbeiter, die im häufigen Kontakt zu Anrufern stehen und für die es selbstverständlich ist, Anfragen zu beantworten. Support-Mitarbeiter stellen aus diesem Grund ein besonders populäres Ziel dar. Sie verfügen in der Regel über ausreichende Informationen und Befugnisse, um dem Cyber-Kriminellen Zugriff zu den gewünschten Informationen zu ermöglichen. In vielen Fällen reicht schon die Offenlegung bestimmter Rufnummern oder E-Mail-Adressen aus, um den Angriff fortzuführen. Auch Informationen über den Internet Service Provider (ISP) des Unternehmens oder über die Sicherheits-Software, die in der Firma eingesetzt wird, sind für Hacker interessant.

Techniken und Beispiele für Social Engineering

Im Laufe der Jahre haben sich im Rahmen des Social Engineering folgende drei Techniken als besonders effektiv erwiesen:

 

–       Phishing: Hierbei handelt es sich um eine bekannte und äußerst wandlungsfähige Form der sozialen Manipulation. Mit den sogenannten „Phishing-Mails“ versuchen Hacker, Mitarbeitern und Anwendern sensible Informationen zu entlocken. In diesem Kontext kommen oft Angst und Dringlichkeit zum Einsatz, um beispielsweise an Kreditkartennummern oder Online-Banking-Informationen zu gelangen.

–       Köder (Baiting): Im Rahmen dieser Social Engineering-Technik setzen Hacker auf Köder. Cyber-Kriminelle zielen hier explizit auf die Neugier des Menschen ab, die ausgenutzt wird, um Zugang zu sensiblen Informationen zu erhalten oder Schadsoftware auf dem Rechner des Opfers zu installieren.

–       CEO-Fraud: Der CEO-Fraud lehnt sich von seiner Vorgehensweise an den sogenannten „Enkel-Trick“ an, der außerhalb der IT seit Jahrzehnten eingesetzt wird. Hier geben sich Kriminelle als Geschäftsführer oder sonstige Vorgesetzte aus, indem sie deren Identität annehmen, beispielsweise durch gefälschte oder gehackte E-Mail-Adressen der betroffenen Personen.

Prävention

Der Bedrohungslage durch soziale Manipulation kann nur mit einem ausgeprägten Gefahrenbewusstsein effektiv entgegengewirkt werden. Ein sicheres Passwort oder eine performante Antiviren-Software bieten gegen Social Engineering-Techniken so gut wie keinen Schutz. Die größte Vulnerability ist der ahnungslose Mitarbeiter. Aus diesem Grund existieren auch keine Sicherheits-Lösungen, die einen zuverlässigen Schutz vor Social Engineering bieten. Insbesondere in Großunternehmen stellt die Tatsache eine gewaltige Herausforderung dar, einen guten Schutz vor Social Engineering und zugleich auch effiziente Arbeitsabläufe gewährleisten zu können.

Ab einer bestimmten Größe des Unternehmens wird es immer wahrscheinlicher, dass sich sämtliche Mitarbeiter nicht untereinander kennen, sodass solche Mitarbeiter ein ideales Ziel für Methoden der sozialen Manipulation darstellen. Aus diesem Grund ist es wichtig, bei jedem Kontakt die Identität des anderen zu erfragen und zu bestätigen.

Unter dem Begriff WannaCry versteht man eine äußerst potente Schadsoftware, die im Mai 2017 großflächig aufgetreten ist und primär Computer mit den beiden Betriebssystemen Windows 7 und Windows XP befallen hat. WannaCry orientiert sich in der Funktionsweise an einer klassischen Ransomware: Die Schadsoftware verschlüsselt die Festplatten inklusive aller Daten des befallenen Rechners mit einer leistungsstarken Verschlüsselung und fordert von dem Anwender Lösegeld für die Entschlüsselung der Daten. Das Besondere an WannaCry war, dass die Ransomware mit der Funktionalität eines Computerwurms ausgestattet war, wodurch sie sich binnen kürzester Zeit weltweit auf Millionen von Rechnern verbreiten konnte.

Allgemeine Informationen zu WannaCry

Am 12. Mai 2017 wurde eine weltweite massenhafte Infektion von Windowscomputern durch einen neuartigen Computervirus registriert. Innerhalb von nur 24 Stunden waren weltweit mehr als 230.000 Windowsrechner betroffen. Neben vielen privaten Computern, auf denen die beiden Betriebssysteme Windows 7 und Windows XP installiert waren, waren auch viele Unternehmen, Regierungsbehörden, Industrieanlagen sowie kritische Infrastrukturen betroffen. Diese Ransomware wird im Allgemeinen als WannaCry bezeichnet, ist jedoch auch unter folgenden Namen bekannt:

–     WannaCrypt

–     WCrypt

–     WCRY

–     Wana Decryptor 2.0

Ransomware stellt eine spezielle Untergruppe von Schadsoftware dar und kommt im Bereich der Cyberkriminalität schon seit Jahren äußerst erfolgreich zum Einsatz. Während die bisherigen Ransomware-Angriffe in der Regel vereinzelt durchgeführt wurden und vorwiegend einzelne Unternehmen, Organisationen oder Privatpersonen gezielt ins Visier der Hacker genommen wurde, hebt sich WannaCry durch seine aggressive Weiterverbreitung deutlich von den bisherigen Hackerangriffen ab. Neben der reinen Ransomware-Funktionalität kommt im Rahmen von WannaCry auch ein potenter Wurmvirus zum Einsatz. Dieser nutzt gezielt den Windows Exploit „EternalBlue“ in Kombination mit dem Backdoor-Tool „DoublePulsar“, um sich selbständig weiterzuverbreiten.

Funktionsweise von WannaCry

Nachdem WannaCry auf ein anfälliges System kopiert wurde, wird zunächst eine Verbindung zu der sogenannten „Killswitch-URL“ aufgebaut. Falls die Domain nicht aktiv ist, wird der sogenannte Dropper aktiviert, der für die Installation der Ransomware zuständig ist. Danach kreiert die Malware einen Service mit der Bezeichnung „mssecsvc2.0“, der den Displaynamen „Microsoft Security Center 2.0“ erhält. Dieser scannt bei der ersten Gelegenheit zuerst das lokale Netzwerk und danach auch das Internet nach weiteren potenziellen Computern mit der Vulnerability „EternalBlue“. Über diese Funktionalität wird die rasend schnelle Verbreitung der Schadsoftware gewährleistet.

Im nächsten Schritt extrahiert der zuvor aktivierte Dropper die eigentliche WannaCry-Ransomware und führt diese aus. Auch die Ransomware prüft zuerst, ob eine Killswitch-URL vorhanden ist. Nur falls diese nicht gefunden wird, geht es mit dem nächsten Schritt weiter.

Nachfolgend gewährt sich WannaCry vollen Zugriff auf alle sich auf dem Rechner befindenden Dateien und setzt alle Attribute der Dateien auf „versteckt“. Danach werden alle Dateien mit einem komplexen Verschlüsselungsalgorithmus verschlüsselt und mit der Dateiendung „.WNCRY“ bestückt. Dabei wird in jedem Ordner eine „ReadMe.txt“-Datei erstellt, welche die genauen Anweisungen für die Zahlung des Lösegelds beinhaltet. Zusätzlich wird ein Registry-Eintrag angelegt, der nach Abschluss der Verschlüsselung alle lokalen Backups und Systemstände entfernt.

Zuletzt ersetzt die Schadsoftware das aktuelle Desktop-Hintergrundbild durch eine Benachrichtigung und startet einen Timer und Anweisungen für die Lösegeldzahlung.

Betroffene Unternehmen und Einrichtungen

Der Hackerangriff betraf mehrere global agierende Unternehmen und Organisationen. Nach aktuellem Stand kam es u.a. bei folgenden Einrichtungen und Unternehmen aufgrund einer Infektion mit der Ransomware zu Störungen und Betriebsausfällen:

–     Telefonica (spansicher Telekommunikationskonzern)

–     National Health Service (das staatliche Gesundheitssystem in Großbritannien und Nordirland)

–     Renault (französischer Automobilkonzern)

–     Fedex (weltweit agierendes Logistikunternehmen aus den USA)

–     PetroChina (chinesischer Ölkonzern)

Darüber hinaus waren tausende Computer des russischen Innenministeriums, des Katastrophenschutzministeriums sowie des Telekommunikationskonzerns MegFon betroffen. In Deutschland waren bei der Deutschen Bahn rund 450 Computer mit der Ransomware infiziert, was u.a. zum Ausfall von Anzeigetafeln an vielen Bahnhöfen und Videoüberwachungssystemen deutschlandweit führte.

Schutzmaßnahmen gegen Ransom Software

Neben dem Einspielen aktueller Sicherheitspatches für das Betriebssystem und installierte Anwendungen wird der Einsatz einer guten Sicherheitslösung wie beispielsweise ESET empfohlen. Aber auch ein kostenloser Virenschutz bietet ein ausreichendes Maß an Sicherheit gegen Ransomware-Angriffe. Es sollte jedoch beachtet werden, dass manche Antivirenprogramme den Zugriff auf die Killswitch-URL automatisch blockieren, weil sie den erhöhten Datenverkehr für auffällig erachten. Dies ist kontraproduktiv, da sich die Ransomware aufgrund fehlender Aktivierung des Notausschalters in diesem Fall unkontrolliert weiterverbreitet.

Des Weiteren können durch den Einsatz einer Firewall die TCP-Ports 137, 139, 445, 3389 sowie die UDP-Ports 137 und 138 blockiert werden, um ein Eindringen der zurzeit häufigsten Variante des WannaCry-Schädlings zu unterbinden.

IT-Sicherheit ist ein Thema, um das sich Verantwortliche in jedem Unternehmen, das Daten digital verarbeitet, Gedanken machen sollten. Doch im Alltag besteht die Gefahr, dass es beim guten Vorsatz bleibt, wenn nicht explizit ein Mitarbeiter, als IT-Sicherheitsbeauftragter, mit dieser Aufgabe betraut wird. Daher gibt es die Möglichkeit, einen Mitarbeiter vorzusehen, der sich haupt- oder nebenamtlich darum kümmert, das eigene System abzusichern.

Muss jedes Unternehmen einen IT-Sicherheitsbeauftragten bestellen?

IT-Sicherheit ist vom Datenschutz zu unterscheiden. Der eine Bereich umfasst die Absicherung der IT-Infrastruktur, der andere den Umgang mit personenbezogenen Daten. Zu trennen sind beide Felder dennoch nicht. Bei einem Systemeinbruch durch einen Hacker, sind meistens auch persönliche Daten von Kunden und Mitarbeitern betroffen. Für die meisten Firmen gibt es zwar keine Pflicht, einen IT-Sicherheitsbeauftragten zu bestellen. Wenn aber Daten abfließen konnten, weil eklatante Sicherheitsmängel in der IT vorlagen, kann eine Haftung der Geschäftsführung gegeben sein. Diese kann sich, je nach Rechtsform des Unternehmens, aus nachfolgenden Gesetzen ergeben:

-Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG),

-dem Aktiengesetz (AktG),

-Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).

Für Unternehmen, die eine Tätigkeit im Bereich der kritischen Infrastrukturen (KRITIS) ausüben, ist die Benennung eines IT-Sicherheitsbeauftragten ohnehin vorgeschrieben. Dies ist im IT-Sicherheitsgesetz festgelegt (IT-SIG). Zu den Unternehmen zählen beispielsweise Energieerzeuger, Telekommunikationsanbieter und Wasserwerke.

Wo ist ein IT-Sicherheitsbeauftragter angegliedert?

Die Rolle des IT-Sicherheitsbeauftragten ist nicht starr festgeschrieben. Dies ist beim Datenschutz anders. Die Rechte und Pflichten des Datenschutzbeauftragten sind im Bundesdatenschutzgesetz in den Paragraphen 6 und 7 festgelegt. Unter anderem ist dort geregelt, dass er rechtzeitig in Entscheidungen eingebunden werden soll und nicht weisungsgebunden sein darf.

Es ist sinnvoll, sich daran zu orientieren. Ein IT-Sicherheitsbeauftragter sollte direkt der Geschäftsführung unterstellt sein. Handelt es sich um einen Mitarbeiter der IT-Abteilung, besteht die Gefahr, dass es zu Interessenskonflikten kommt. Zudem sollte er standardmäßig gehört werden, bevor im IT-Bereich Entscheidungen getroffen werden. Außerdem muss ihm die Möglichkeit gegeben werden, auf die für seine Tätigkeit notwendigen Informationen Zugriff zu bekommen. Daher muss er freien Zutritt zu allen Bereichen haben und Zugriff auf die Systeme bekommen. Sinnvoll ist es auch, ihm das Recht zu geben, Kontrollen durchzuführen.

Welche Aufgaben erfüllt ein IT-Sicherheitsbeauftragter?

Grundsätzlich soll ein IT-Sicherheitsbeauftragter über Aufbau und Struktur der Informationstechnik im Unternehmen Bescheid wissen. Ihm obliegt es, sich zu Beginn seiner Tätigkeit einen kompletten Überblick zu verschaffen. Dazu muss er genau wissen, wie und wo Daten erhoben und weiterverarbeitet werden. Es ist für ihn notwendig, Kenntnis zu haben, welche Systeme und was für Hardwareprodukte eingesetzt werden. Zudem muss er die Schnittstellen zwischen den einzelnen Bereichen kennen. Dieses Wissen muss er laufend aktualisieren.

Darüber hinaus muss er über die aktuelle Bedrohungslage informiert sein. Nur so ist ihm möglich, die konkrete Gefährdung des eigenen Unternehmens einzuschätzen. Dies kann sich auf Schadsoftware, wie beispielsweise als Mailanhänge kursierende Verschlüsselungstrojaner beziehen. Ebenso aber auch auf unsichere Hardware, wie zum Beispiel eingesetzte Router, deren Verschlüsselung angreifbar ist.

Aus diesen Informationen soll ein IT-Sicherheitsbeauftragter konkrete Maßnahmen zur Einhaltung und Verbesserung der Datensicherheit entwickeln und vorschlagen. Dies sollte in Form von Richtlinien oder eines Maßnahmenkatalogs geschehen. Wichtig ist es, die Schutzziele und Maßnahmen zur Einhaltung zu dokumentieren. Nur so kann das Unternehmen im Schadensfall nachweisen, dass es Vorkehrungen getroffen hat und nicht fahrlässig gehandelt wurde.

Als Orientierung kann hierbei die Beschreibung eines Informationssicherheitsmanagements (ISMS) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dienen. Dort sind mögliche Gefahren systematisch in den Grundschutzkatalogen aufgelistet. Dies betrifft Elementarschäden wie Feuer und Wasser, aber auch Datenverlust durch Fehlbedienung oder Sabotage. Zudem werden dort konkrete Einschätzungen der Gefährdung von Geräten mit spezifischen Betriebssystemen gegeben. In der Folge sind dort Maßnahmen beschrieben, die zur Absicherung einzelner Endgeräte empfohlen werden.

Weitere Orientierungen können an den Normen:

– ISO/IEC 27001 (IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme, Anforderungen, zuletzt aktualisiert im Juni 2017) und

-ISO/IEC 27002 (IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management, zuletzt aktualisiert im Oktober 2013)

erfolgen.

Die Umsetzung der vorgeschlagenen Maßnahmen wird in der Praxis nach Beratung mit der Geschäftsführung geschehen. Schließlich können durch Austausch unsicherer Hardware oder Umstrukturierung von Arbeitsabläufen Kosten entstehen.

Zudem sollten vorgegebene Richtlinien auch in Audits oder Revisionen kontrolliert werden.

Weiterhin muss ein IT-Sicherheitsbeauftragter den Mitarbeitern als Ansprechpartner zur Verfügung stehen. Sie sollen ihm aufkommende Fragen, die IT-Sicherheit betreffend, stellen können. Auch Schulungen der Mitarbeiter führt ein IT-Sicherheitsbeauftragter durch.

Bei konkreten Gefährdungen, soll er kurzfristige Warnungen und Verhaltenshinweise an die Mitarbeiter herausgeben.

Zudem erstellt ein IT-Sicherheitsbeauftragter, Pläne für das Verhalten im Schadensfall und macht diese den Mitarbeitern zugänglich.

Voraussetzungen für den IT-Sicherheitsbeauftragten

In gewisser Weise muss ein IT-Sicherheitsbeauftragter Allrounder im IT-Bereich sein. Er benötigt das notwendige Fachwissen im gesamten überwachten Bereich. Um Kontrollen durchführen zu können, muss er in der Lage sein, die verwendeten Systeme auch selber zu bedienen. Zudem müssen seine Vorschläge zur Verbesserung praxistauglich sein, was ebenfalls entsprechende Kenntnisse voraussetzt.

Darüber hinaus muss er über aktuelle Entwicklungen in der Hardware, hier insbesondere in sicherheitsrelevanten Belangen, informiert sein.

Insbesondere aber muss er Kenntnisse im Bereich der IT-Security haben. Angriffe lassen sich am wirksamsten abwehren, wenn man weiß, wie sie im Detail funktionieren. Auch kann nur dann eine Überprüfung der eigenen Systeme auf eine Anfälligkeit erfolgen.

Einige Universitäten bieten Studiengänge mit Spezialisierung auf den Bereich an. Zudem gibt es diverse Anbieter von Fortbildungen und Zertifizierungen für dieses Tätigkeitsfeld.

Für kleine und mittelständische Unternehmen ist die Variante interessant, einen IT-Sicherheitsbeauftragten von einem externen Dienstleister zu verpflichten. Dies vermeidet den Schulungsaufwand eigener Mitarbeiter. Zudem kann es eine objektive Herangehensweise garantieren, wenn eine externe Person die Aufgabe übernimmt. Diese wird üblicherweise keine persönlichen Bindungen zu den Mitarbeitern haben und auch gegenüber der Geschäftsführung unbefangener auftreten. Weiterhin hat dieses Modell einen Vorteil, wenn die Größe der eigenen IT-Landschaft es nicht rechtfertigt, einen Mitarbeiter komplett mit der Aufgabe der IT-Sicherheit zu betrauen.

Fazit

Jedes Unternehmen tut gut daran, sich mit dem Thema zu beschäftigen, ob ein IT-Sicherheitsbeauftragter bestellt werden soll. Einerseits trägt es die Verantwortung für die ihm anvertrauten Daten, was bis zu einer persönlichen Haftung der Geschäftsführung bei Missbrauch führen kann. Andererseits gibt es inzwischen Bedrohungen, wie Verschlüsselungstrojaner, die auch umsichtige und vorsichtige Unternehmen betreffen und erhebliche Schäden anrichten.