In Unternehmen gilt dem Tagesgeschäft die volle Aufmerksamkeit. Nicht selten herrscht bei Programmen die Haltung „Install and forget“. Darunter sind nicht nur Werkzeuge für den Alltagsgebrauch, sondern auch sicherheitskritische Anwendungen wie etwa Security-Software. Diese sind nach der Installation oft sich selbst überlassen und werden nicht mehr adäquat überwacht. Das ist in vielen Unternehmen Alltag. Aufgaben wie diese, die eigentlich wichtig sind, werden auf unbestimmte Zeit verschoben. „Das machen wir, wenn wir Zeit haben.“ Dabei lohnt sich eine regelmäßige Überprüfung der IT-Systeme mit dem Ziel, für mehr IT-Sicherheit zu sorgen. Andernfalls drohen erfolgreiche Cyberattacken, deren Ausmaß im schlimmsten Fall existenzbedrohend sind. Nachfolgend geht es um sechs wichtige Maßnahmen und Themen für einen digitalen Frühjahrsputz.
Software: Brauchen wir das noch oder kann das weg?
Jedes Unternehmen setzt eine Vielzahl unterschiedlicher Programme ein. Neben Software und Betriebssystemen, die in der ganzen Firma genutzt werden, braucht jede einzelne Abteilung oft spezielle Anwendungen für die Arbeit, die nicht die gesamte Belegschaft nutzt. Generell sollten alle Programme zentral inventarisiert sein, damit die IT-Mitarbeitenden einen Überblick haben. Unternehmen, die entweder direkt oder indirekt von der NIS-2-Richtlinie betroffen sind, haben hier besonderen Handlungsdruck, die „Schatten-IT“ im Unternehmensnetz zu identifizieren. Nicht immer haben ITler einen vollständigen Überblick darüber, welche Anwendungen im Einsatz sind und ob Lösungen, die vor Jahren eingekauft wurden, noch genutzt beziehungsweise benötigt werden. Diese Fragen gilt es zu klären. Es geht dabei nicht nur darum, Kosten für möglicherweise überflüssige Software einzusparen. Bedeutsamer ist es, die Angriffsfläche auf ein Unternehmen zu verringern: Je weniger Programme im Einsatz sind, desto weniger müssen sie mit Updates auf dem aktuellen Stand gehalten werden. Gerade Software, von der eine IT-Abteilung keine Kenntnis hat, kann hier zu Problemen führen.
Hinzu kommt: Generell ist Software nicht fehlerfrei und muss regelmäßig optimiert werden. Die Hersteller betreiben daher Produktpflege und stellen immer wieder Updates zur Verfügung, die eine Sicherheitslücke schließen oder andere Fehler korrigieren. Wichtig ist, diese zeitnah nach der Veröffentlichung zu installieren. Ist ein Programm so alt, dass der Hersteller keine Updates mehr ausliefert, braucht es unbedingt eine Alternative.
„Regelmäßige Updates sind entscheidend für die IT-Sicherheit. Nur so lassen sich Sicherheitslücken schließen, die ansonsten von Angreifergruppen ausgenutzt werden können. Nicht aktualisierte Software ist ein häufiges Einfallstor von Cyberkriminellen ins Unternehmensnetzwerk“, erklärt Tim Berghoff, Security Evangelist bei der G DATA CyberDefense AG.
User-Rechte: Gibt es Karteileichen?
In der Belegschaft gibt es immer wieder Veränderungen: Neue Angestellte kommen und andere verlassen die Firma. Während das neue Personal mit der benötigten Hard- und Software sowie den benötigten User-Rechten ausgestattet wird, steht für die ausscheidenden Mitarbeitenden die Rücknahme der User-Rechte an – und zwar am Tag des Verlassens des Unternehmens. Oft wird aber genau dieser Akt im Zuge des Offboardings vergessen, sodass die alten Angestellten entweder noch in den Systemen agieren können oder brachliegende Accounts von Kriminellen gekapert werden. Gerade Nutzerkonten mit umfassenden Rechten ebnen den Weg auch für weitreichende Handlungsmöglichkeiten und öffnen Angreifergruppen viele Türen in der IT-Infrastruktur.
IT-Verantwortliche sollten daher unbedingt sicherstellen, dass Benutzerkonten und User-Rechte von ausgeschiedenen Angestellten umgehend gelöscht oder zumindest inaktiv geschaltet werden. Es bleiben zwar Dateiberechtigungen erhalten, aber Unbefugte können sich nicht mit dem Konto im Netzwerk anmelden. Zudem lohnt sich auch eine Überprüfung der Rechte bei der bestehenden Belegschaft: Braucht ein einfacher Mitarbeiter in der Buchhaltung wirklich Admin-Rechte? Wahrscheinlich eher nicht. Auch an dieser Stelle bietet sich ein regelmäßiges Aufräumen an, sodass weitgehende Nutzermöglichkeiten nur für berechtigte Angestellte ermöglicht werden. Hier gilt der Grundsatz: So viele Zugriffsrechte wie nötig, aber so wenig wie möglich.
Backup: Das läuft doch von allein, oder?
Eine funktionierende Datensicherung kann im Fall eines Cyberangriffs schnell überlebenswichtig sein. Sind die IT-Systeme durch Ransomware verschlüsselt und für die Freigabe soll Lösegeld gezahlt werden, ermöglicht ein Backup einen Weg aus der Misere – wenn es sowohl vorhanden als auch aktuell und funktionstüchtig ist. Gerade dieser Teil wird oft vernachlässigt, und die IT-Verantwortlichen verlassen sich darauf, dass das Ganze schon funktionieren wird.
Die Sicherung muss zwingend vom restlichen Netzwerk separiert sein. Das kann je nach räumlichen Möglichkeiten und der eigenen Policy entweder ein lokal betriebenes System in einem anderen Gebäude oder zumindest einem anderen Brandabschnitt innerhalb des Gebäudes sein oder zum Beispiel eine Cloudplattform. Wichtig ist jedoch eine logische Trennung. So sollte ein Backup-System niemals ans Active Directory angebunden sein. Ansonsten können Angreifergruppen diese unbrauchbar machen, sodass sie im Ernstfall nicht funktionstüchtig oder selbst kompromittiert sind. Ein Backup ist also kein Selbstläufer und muss regelmäßig gepflegt werden.
„Wer kein Backup hat, handelt grob fahrlässig. Nicht immer lassen sich erfolgreiche Cyberangriffe vermeiden, aber eine Sicherungskopie sorgt bei der Bewältigung der Attacke dafür, dass Unternehmen schneller wieder arbeitsfähig sind“, erklärt Tim Berghoff.
Eine Sicherheitskopie muss nicht zwangsläufig nur für den Fall eines erfolgreichen Cyberangriffs notwendig für die Wiederherstellung sein. Im Arbeitsalltag passieren Fehler und diese können auch so schwerwiegend sein, dass ein Backup bei der Bewältigung hilft, weil eine Systemwiederherstellung nötig ist.
Notfall Cyberangriff: Sind wir überhaupt darauf vorbereitet?
So plötzlich, wie die Nacht zu Ende ist und es Zeit zum Aufstehen wird, so plötzlich tritt der Ernstfall ein: Ein Cyberangriff war erfolgreich und die Rechner sind verschlüsselt. Nichts funktioniert mehr. Liegt im Unternehmen ein ausgearbeiteter Notfallplan vor, ist das weitere Vorgehen gesetzt und es geht klar und geregelt voran – um weiteren Schaden zu verhindern und die notwendigen Schritte umgehend einzuleiten. Liegt kein Notfallplan vor, ist in solchen Fällen oft Chaos die zwangsläufige Folge.
Hilfreich ist beispielsweise die Notfallkarte vom Bundesamt für Sicherheit in der Informationstechnik – BSI. Diese gibt Mitarbeitenden erste Hinweise, wie sie sich zu verhalten haben. Sie ersetzt aber keine umfassende Notfallplanung, hier sind weit mehr Maßnahmen zu treffen, die am Ende in ein Konzept münden sollten. Existiert dies im Unternehmen noch nicht, ist es dringend Zeit, dies zu ändern. Wichtig ist auch, die Mitarbeitenden zu informieren und sie am besten regelmäßig in Sachen IT-Sicherheit zu schulen. Zudem ist es darüber hinaus sinnvoll, einen Incident Response Retainer zu vereinbaren und sich damit schon einen IR-Dienstleister für den Ernstfall zu sichern. Oft sind damit auch Beratungsdienstleistungen verbunden, die das Ziel haben, die IT-Sicherheit zu optimieren.
NIS-2: Das dauert ja noch
Die alte Bundesregierung hatte es nicht mehr geschafft, die europäische Direktive NIS-2 (Network and Information Security) in nationales Recht zu überführen. Diese Aufgabe wird die künftige Koalition übernehmen. Ist ein Unternehmen von NIS-2 betroffen, ist die Verzögerung allerdings kein Grund, die Umsetzung auf die lange Bank zu schieben. Geschäftsführende und IT-Verantwortliche sollten alle nötigen Maßnahmen einleiten.
„Die NIS-2-Richtlinie ist seit 2023 auf der europäischen Ebene in Kraft. Sobald sie Teil des deutschen Rechts ist, gilt sie sofort. Daher sollten sich die betroffenen Unternehmen spätestens jetzt damit auseinandersetzen und sie umsetzen“, sagt Tim Berghoff.
Wenn Verantwortliche sich nicht sicher sind, ob ihr Unternehmen von NIS-2 betroffen ist, steht ihnen die Betroffenheitsprüfung vom BSI zur Verfügung. Diese ersetzt jedoch keine abschließende Einschätzung eines spezialisierten Rechtsberaters.
Security-Infrastruktur: Reicht unser Schutz aus?
Diese Frage gilt es in regelmäßigen Abständen zu klären, denn die Bedrohungslandschaft ist im stetigen Wandel. Die Strategien und Angriffsvektoren der Cyberkriminellen verändern sich laufend. Daher ist immer wieder zu überprüfen, ob die aktuelle Security-Strategie und deren Maßnahmen – darunter auch die technischen Sicherheitslösungen –ausreichen und zum Anforderungsprofil des Unternehmens passen.
Cyberkriminelle setzen heute nicht nur auf Schadprogramme, sondern führen ihre Angriffe dateilos durch. Ein Beispiel dafür ist das Ausnutzen von Schwachstellen in Software. Diese bieten eine Tür zum Unternehmensnetzwerk, die Angreifergruppen für ihre Zwecke missbrauchen. Im Regelfall gibt es frühzeitig Anzeichen für eine laufende Attacke und diese sind beispielsweise durch ein Security Operations Center (SOC) - wie G DATA 365 | MXDR zu entdecken. Dafür braucht es aber auch das nötige Fachpersonal in ausreichender Anzahl und in einem 24-7-Schichtbetrieb – damit erste Hinweise gesehen und richtig eingeschätzt werden, sodass daraufhin die passende Reaktion erfolgt. Viele Unternehmen sind nicht in der Lage, dies mit eigenen Mitteln zu leisten. Hier ist externe Hilfe in Form eines qualifizierten Dienstleisters nötig. Wer nicht schon einen Servicepartner an der Seite hat, sollte darüber nachdenken, dies zu ändern. Der Vorteil: Dieser verfügt über die fachliche Expertise und berät, um die IT-Sicherheit optimal zu gestalten.
Fazit: Zurücklehnen ist eine schlechte Idee
Die aufgeführten Themen sind nur eine kleine Auswahl an Maßnahmen für einen Checkup. IT-Verantwortliche haben es bei IT-Sicherheit mit einem komplexen Sachgebiet zu tun, bei dem sie ständig auf dem Laufenden bleiben müssen. Alle Systeme gehören regelmäßig auf den Prüfstand gestellt. Das sorgt für Sicherheit und eine optimale Funktionsweise für mehr Wirtschaftlichkeit und Unternehmenserfolg.
