Artikel erschienen am 08.02.2023
E-Paper

Digitalisierung mit Nebenwirkungen

Ein Blick auf die Risiken erhöht die Sicherheit

Von Mario Krause, Braunschweig | Markus Böger, Hannover

Seit wir vor einigen Jahren das Zeitalter der Digitalisierung ausgerufen haben, leben wir quasi in allen Arbeits- und Lebensbereichen in einer immerwährenden Olympiade. Fortschritt hat es zwar schon immer gegeben, aber die Digitalisierung verlieh ihm einen ungeheuren Schub. Wir sitzen alle in diesem Boot. Aussteigen können wir nicht – umdrehen auch nicht. Es spielt auch keine Rolle, ob wir das gut oder schlecht finden, ob wir die Vorteile zu schätzen wissen, unsere Prozesse angepasst, vielleicht sogar neue Geschäftsideen entwickelt haben oder uns die analoge Zeit zurückwünschen. Mit der Digitalisierung gehen erhebliche Veränderungen einher, die nicht nur Vorteile bieten, sondern auch Nebenwirkungen zeigen. Schon 2018 warnte der Chaos Computer Club (CCC) mit den Worten „Wir bauen unsere digitale Welt auf ganz schön viel Schrott“: Recht haben sie damit. Haben wir vor 30 Jahren noch überlegt, ob sich die Digitalisierung durchsetzen wird, dominiert sie heute unseren Alltag. Wir vernetzten damit Türschlösser, medizinische Geräte, Produktionsanlagen und jegliche Art von kritischer Infrastruktur. Die Architektur dahinter stammt noch aus der Mitte des letzten Jahrhunderts, weil die Idee dessen, was wir heute Internet nennen, eigentlich eine ganz andere war. Es ist naheliegend, dass in der schillernden Cyberwelt nicht nur hehre Ziele verfolgt werden. Es bewegen sich dort auch Personen, deren Ziel es ist, unsere Erleichterungen und Möglichkeiten in die ihren zu verwandeln und zu kriminellen Zwecken auszunutzen. Dass dies mit voranschreitender Vernetzung und Digitalisierung weiter zunehmen wird, ist zu erwarten.

Angefangen von relativ einfachen DDoS-Angriffen, die (nur) auf die Verfügbarkeit von Servern oder Webanwendungen abzielen, über Aktionen von Hacktivisten und dem Ausnutzen falsch konfigurierter oder schlichtweg in Vergessenheit geratener Server bis hin zum zahlenmäßig größten Problem der Ransomware-Attacken (Verschlüsselung mit Lösegeldforderung) oder gar Angriffen von Geheimdiensten oder ihnen nahestehenden Hackergruppierungen. Jede Person und jedes Unternehmen kann von dem einen und/oder anderen betroffen sein. Einstellungen wie „Ich habe keine sensiblen Daten“ oder „Mein Unternehmen ist zu klein oder nicht interessant für Angriffe“ haben bereits manches Mal für böses Erwachen gesorgt, denn spätestens bei einer Ransomware-Attacke spielt weder die Größe noch die mögliche Sensibilität eines Unternehmens eine Rolle. Davon abgesehen zeigt die Erfahrung, dass sich manches Unternehmen des Wertes und dessen Bedeutung nicht bewusst ist. Möglich ist auch, selbst gar nicht das direkte Ziel, sondern im Dunstkreis eines Konzerns, sei es als Kunde oder Zulieferer, einfach nur Mittel zum Zweck zu sein.

Vollständig verhindern lässt sich ein digitaler Angriff nicht. Man kann und sollte es den Angreifenden nur so schwer wie möglich machen. Zu einer effektiven Prävention gehört auch, sich auf den Ernstfall vorzubereiten. Doch wie kann sich ein Unternehmen gut vorbereiten?

Die richtige konkrete Lösung gibt es nicht. Die Erfahrung der Sicherheitsbehörden zeigt vielmehr, dass die IT-Sicherheit einen ständigen Prozess der Anpassung an die aktuelle digitale Bedrohungslage darstellt. Dieser Prozess sollte iterativ, also sich ständig wiederholend, erfolgen. Auch das Abarbeiten einer (imaginären) Checkliste hilft nur bedingt weiter, da sich viele konkrete Sicherheitsmaßnahmen an der Ausrichtung des betroffenen Unternehmens sowie dessen interne Arbeitsabläufe orientieren sollten. Maßnahmen, die bei einem Unternehmen unerlässlich sind, können bei einem anderen aufgrund betrieblicher Entscheidungen gar nicht umgesetzt werden.

„Man kann und sollte es den Angreifenden nur so schwer wie möglich machen. “

Sofern es mehrere sensible digitale Bereiche gibt, sollte eine Prioritätenliste erstellt werden. Ein Angriff auf die Plattform eines Onlinehändlers dürfte folgenschwerer sein als der auf die Internetpräsenz eines Handwerkbetriebes. Arbeiten in einem Handwerksbetrieb Maschinen rechnergestützt und funktionieren wegen eines Angriffes (z.B. mittels Ransomware) nicht mehr, steht auch ein Handwerksbetrieb vor großen Problemen.

In diesem ständigen Prozess können folgende Fragen sehr hilfreich sein: Wie ist die IT-Infrastruktur im Unternehmen aufgebaut und was soll konkret geschützt werden? Gibt es existenzielle Bereiche, die besonders zu schützen sind? Wie häufig werden Back-ups getätigt und wo werden diese abgelegt? Wie schnell können Back-ups zurückgespielt und Systeme wiederhergestellt werden? Wird das Wiederherstellen regelmäßig getestet?

Weitere wesentliche Bestandteile präventiver Maßnahmen sind Schulungs- und Sensibilisierungsmaßnahmen im Unternehmen sowie eine Vorbereitung auf den Ernstfall, also die Fertigung von Notfallplänen, um bei einem Angriff entsprechend vorbereitet reagieren zu können. Notfallpläne müssen aktuelle Gefahren und einzuleitende Maßnahmen bei einem möglichen Cyberangriff berücksichtigen. Es versteht sich von selbst, dass solche Notfallpläne sinnvollerweise auf Papier abgelegt sein müssen, um auch im Falle eines Systemausfalls oder vollständiger Verschlüsselung darauf zurückgreifen zu können.

Theoretisch kann sich ein Unternehmen allerdings auch bis in die Insolvenz sichern, weil bei zu hoch gehängten Hürden die Arbeitsfähigkeit auf der Strecke bleibt. Sicherheit (Security) und Funktionalität (Usability) bilden zwei Schalen einer Waage, die es in einem Unternehmen sinnvoll in Einklang zu bringen gilt. Beide nach oben geht (leider) nicht. Seitens der Sicherheitsbehörden halten wir natürlich alles rund um die Security sehr hoch, wissen aber auch, dass es auf unternehmerischer Seite auch den anderen Part abzubilden gilt. Letztlich muss das Unternehmen entscheiden, welche Maßnahmen umgesetzt werden und welche nicht.

Im Unternehmen sollte auch die Verantwortung für die IT-Sicherheit klar definiert sein. Sie der Einfachheit halber auf den Administrator zu übertragen, ist ein grundlegender Fehler. Wer für den Betrieb verantwortlich ist, sollte nicht gleichzeitig auch die Vorgaben für die Sicherheit machen. Ist dies der Fall, leidet einer der verantworteten Bereiche darunter, und zwar meistens die Sicherheit. Dieser Grundgedanke liegt jedem Informationssicherheitsmanagementsystem (ISMS) zugrunde, wie z.B. dem BSI-Grundschutz, der ISO 27001 oder VdS 10000.

Hilfestellung bietet die Transferstelle IT-Sicherheit im Mittelstand (TISiM) unter www.tisim.de. Weitergehende Sicherheitsempfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) finden sich unter www.bsi.bund.de.

Direkte Ansprechpartner in Niedersachsen stehen für Sie beim Niedersächsischen Verfassungsschutz im Fachbereich Wirtschaftsschutz sowie der Zentralen Ansprechstelle Cybercrime für die niedersächsische Wirtschaft (ZAC) beim Landeskriminalamt zur Verfügung.