Konstant Know-how aufgebaut

Thomas Urban: Deutschland ist bekannt als Land mit einem äußerst starken Mittelstand. 99,7 Prozent aller umsatzsteuerpflichtigen Unternehmen sind dem Segment der Kleinen und Mittelständischen Unternehmen (KMU) zuzurechnen. Viele dieser KMU sind in ihren jeweiligen Bereichen und Nischen Weltmarktführer. Das macht sie natürlich zu einem interessanten Ziel sowohl für Spionage als auch für weitere kriminelle Cyber-Aktivitäten. Wer auf digitalem Weg in die allzu häufig mäßig gesicherten IT-Strukturen eines Unternehmens eindringt, kann meist Einblicke in Kundendaten, Patente, Prozesse, Planungen und Preise erlangen. Solche Cyber-Angriffe können die Existenz eines Betriebes bedrohen.

Nicht außer Acht zu lassen ist auch die Möglichkeit, durch eine Cyber-Attacke Prozesse innerhalb des Unternehmens lahm zu legen. Schließlich sind Produktionsanlagen heute meist an das Internet angeschlossen, um Prozesse überwachen, optimieren oder warten zu können. Dies eröffnet Kriminellen, vielleicht motiviert seitens eines Konkurrenten, viele Möglichkeiten. Stuxnet hat gezeigt, was in diesem Bereich machbar ist. Das war ein hochprofessioneller Angriff. Aber auch viel einfachere Varianten sind im Internet aktiv. Es kann schon reichen, mit einfachsten Hacker-Mitteln den Internetauftritt eines Unternehmens lahmzulegen – die Kunden erreichen den Web-Shop nicht mehr und wandern zu anderen Anbietern ab. Und natürlich richten die üblichen Viren, Trojaner sowie andere Schadprogramme immer wieder erhebliche Schäden an. Dazu braucht es kein Fachwissen. Viele der Angriffe lassen sich im Internet, Stichwort Darknet, für wenige Dollar beziehungsweise Bitcoins kaufen – mit Erfolgsgarantie!

Die Herausforderung besonders für Deutschland mit seinen 99 Prozent mittelständischen Firmen ist, diesen „Brandschutz des 21. Jahrhunderts“ umzusetzen. Mehrere Studien belegen zum jetzigen Zeitpunkt leider das Gegenteil. Die digitalen Türen und Fenster stehen Spionen, Saboteuren und Beobachtern allzu oft offen. Zwar existieren mit der DIN ISO IEC 27001 und dem BSI-Grundschutz zwei sehr gute Papiere zur Umsetzung von Informationssicherheit, beide sind jedoch nicht auf die Bedürfnisse von KMU ausgerichtet. Unsere Erfahrungen zeigen: Die dort formulierten Anforderungen kann oder will ein Mittelständler in der Regel nicht erfüllen. Der damit verbundene personelle und materielle Aufwand ist für ein KMU erheblich. Um eine Zahl zu nennen: Allein der Maßnahmenkatalog des BSI umfasst 3.500 Seiten.

Mit den Richtlinien VdS 3473, „Cyber-Security für kleine und mittlere Unternehmen (KMU)“, wollen wir eine pragmatische Lösung für den Mittelstand und alle, die sie nutzen wollen, bieten. Wir stellen die Richtlinien im Internet kostenlos zur Verfügung. Die VdS 3473 enthalten alle relevanten Informationen zur organisatorischen sowie technischen Umsetzung von Informationssicherheit und bieten gewohnt praxisnahe Hilfestellungen. Ich darf stolz betonen, dass diese noch sehr jungen Richtlinien schon eine enorme, positive Resonanz erfahren haben. Unsere Experten in der Entwicklergruppe haben offensichtlich gute Arbeit geleistet.

Das sind zwar durchaus Erfolgsbelege, andererseits hat VdS mit dem Thema Cybersicherheit doch bisher kaum Berührungspunkte. Richtlinien für optimale Informationssicherheit erwartet man doch eher von Instituten, die sich schon seit Jahren mit diesem Thema befassen?

Genau. Die Digitalisierung und Vernetzung betrifft bereits seit Jahren natürlich auch Brandschutz- und ganz besonders Sicherungsanlagen. Immer mehr Einbruchmeldeanlagen zum Beispiel können auch per Internet und App gesteuert werden. Wir haben uns diesen Themen sehr früh gewidmet und uns mit Angriffsszenarien auf diese Schnittstellen auseinandergesetzt, um auch für internetfähige Systeme den von VdS gewohnten zuverlässigen Einsatz sicherzustellen. Auch die IP-gestützte Übertragungstechnik hat uns herausgefordert. Wir konnten also über die vergangenen Jahre entsprechendes Know-how aufbauen.

Zudem arbeitet VdS an der Erstellung aller national und international relevanten sicherheitstechnischen Normen mit. Auch durch die vielfältige Gremienarbeit haben unsere Experten ständig Berührungspunkte mit dem Thema Cyber-Security. Managementsysteme wie QM, Arbeits- und Gesundheitsschutz sowie Umweltmanagement zertifizieren wir ebenfalls seit vielen Jahren. All diese Erkenntnisse aus den VdS-Laboratorien und den Management-Zertifizierungen sowie das Wissen von ausgezeichneten Experten sind in die VdS 3473 eingeflossen. Darüber hinaus haben viele andere, zum Beispiel Mitglieder der ISO-27000-Normenausschüsse, Makler, Versicherer und Anwender, mit ihren Hinweisen und Kommentaren zu diesen Richtlinien beigetragen.

Aufgrund der enormen Bedrohungslage gibt es leider eine ganze Menge Beispiele. Da sind momentan die Schadsoftwares Locky, Teslacrypt oder CryptXXX, die auf Lösegelderpressung bei betroffenen Unternehmen zielen. Locky beispielsweise dringt per Emailanhang in das Firmensystem ein, verschlüsselt gezielt Dateien und bietet dann automatisch an, diese nach Zahlung eines Lösegeldes wieder zu entschlüsseln. Die verwendeten Verschlüsselungsverfahren können mit heutigen Mitteln nicht entschlüsselt werden. Locky wurde zunächst millionenfach per Mail versandt.

Bekannt sind gelungene Lösegelderpressungen in Höhe von 200 bis 800 Euro pro Infektion. Viel gravierender sind die Kosten, welche infizierten Unternehmen durch den Ausfall ihrer Informationsverarbeitung entstehen. Hinzu kommt natürlich oft ein Imageverlust, wie besonders bei einem betroffenen Forschungsinstitut und mehreren Krankenhäusern zu beobachten war. Und die Erfolgsgeschichte von Locky wird zahlreiche Nachahmer auf den Plan rufen. Wieder eine neue Bedrohung, auf die Unternehmen sich vorbereiten müssen.

Die üblichen Antivirenprogramme waren gegen Locky leider nutzlos. Herkömmliche Maßnahmen allein sind hier nicht mehr ausreichend. Der Cyber-Security-Standard VdS 3473 schreibt einen konkreten, ganzheitlichen Basisschutz vor, der flächendeckend implementiert werden muss. Konkreter: Besonders exponierte IT-Systeme oder solche, bei denen „über das Netzwerk ausnutzbare Schwachstellen“ vorliegen, müssen laut Abschnitt 10.3.2 von der restlichen IT-Infrastruktur abgekapselt werden, indem „der Netzwerkverkehr auf das für die Funktionsfähigkeit notwendige Minimum beschränkt wird“. Dadurch sollen auf unsicheren Systemen eingeschleppte Sicherheitsprobleme daran gehindert werden, sich in der IT-Infrastruktur zu verbreiten.

Oder betrachten wir die Anforderungen der Richtlinien für Zugänge und Zugriffsrechte: Die Schadenshöhe wird bei Ransomware von der Art und der Menge der betroffenen Unternehmensdaten bestimmt. In der Praxis hat sich gezeigt, dass in vielen Unternehmen Mitarbeiter auf Freigaben, Verzeichnisse und Dateien zugreifen können, die sie für ihre Arbeit nicht benötigen. Die VdS 3473 fordert in den Kapiteln 7 und Kapitel 15 eine strukturierte Verwaltung von Zugängen und Zugriffsrechten. Diese dürfen laut Abschnitt 15.1 nur genehmigt werden, „wenn sie für die Aufgabenerfüllung des jeweiligen Nutzers oder für die betrieblichen Abläufe des Unternehmens notwendig sind“. Sie müssen laut Abschnitt 7.3 bei Beendigung oder Wechsel der Anstellung eines Nutzers „umgehend überprüft und bei Bedarf angepasst“ werden. Dadurch wird die Wahrscheinlichkeit verringert, dass Ransomware einen umfassenden Schaden verursachen kann.

Ganz entscheidend ist auch die Schulung der Mitarbeiter. Die VdS 3473 fordern hier, das betroffene Personal zielgruppenorientiert über Gefährdungen aufzuklären und im Umgang mit den vorhandenen Sicherheitsmaßnahmen zu unterweisen. Diese Schulungen und Sensibilisierungen der Mitarbeiter müssen geplant, gesteuert und stetig verbessert werden. Informationssicherheit funktioniert nur, wenn sie im Unternehmen gelebt wird.

Welche Schutztipps haben Sie noch für unsere Leser?

Wir bieten zum einen den kostenlosen VdS-Quick-Check, durchzuführen unter www.vds-quick-check.de. Das Angebot basiert auf einer Selbstauskunft und bewertet systematisch die Situation im Unternehmen bezüglich Organisation, Technik, Prävention und Management. Es bietet im Anschluss einen kompakten und einen ausführlichen Bericht mit einem Ampelsystem zur sofortigen Lageeinschätzung. Die Verantwortlichen sehen so direkt, ob möglicherweise konkreter Handlungsbedarf besteht. Zu allen 39 Fragen gibt es im Bericht im Bedarfsfall eine konkrete Maßnahmenempfehlung zur umgehenden Verbesserung der Situation. Auf Wunsch kann dann ein VdS-Auditor direkt vor Ort ein Audit durchführen und die Aussagen verifizieren oder weiteres Verbesserungspotential feststellen.

Natürlich besteht die Möglichkeit, die nach VdS 3473 umgesetzte Informationssicherheit durch VdS prüfen und zertifizieren zu lassen. Damit belegen Betriebe gegenüber Kunden, Behörden oder Versicherern klar und nachweisbar, dass sie über einen systematischen Informationsschutz verfügen. Und zwar nicht stichtagsbezogen, sondern das Niveau wird über die gesamte Laufzeit des Zertifikates sichergestellt.

Wie beim Brandschutz und Einbruchschutz müssen Technik, Organisation und die Berücksichtigung des Faktors Mensch Hand in Hand gehen. Das sind genau die Gebiete, auf denen unsere Partner von weit über 100 Jahren VdS-Erfahrung profitieren. So werden Risiken vermieden, möglicherweise entstehende Schäden minimiert und so wird auch sichergestellt, dass das Unternehmen aus möglichen Ereignissen lernt und die eigenen Sicherheitsmaßnahmen weiter optimiert. Diese stetige Fortentwicklung und Anpassung der Sicherheitsmaßnahmen ist uns sehr wichtig. Die Richtlinien VdS 3473 versetzen so Betriebe in die Lage, sich vor bisher unbekannten Bedrohungen effektiv zu schützen.

Wo sehen Sie die Haupteinfallstore für Cyber-Kriminelle?

Unsere Auswertungen zeigen, dass die organisatorische Ebene der Informationssicherheit meist nur schwach ausgeprägt ist. Oft sind nicht einmal klare Verantwortlichkeiten hierfür definiert. Und nur knapp die Hälfte der analysierten Unternehmen konnte bestätigen, dass ihre internen wie externen Mitarbeiter die Vorgaben zur Informationssicherheit kennen.

In vielen Fällen werden auch gewährte Berechtigungen nicht regelmäßig überprüft – ein weiteres Manko, welches es Cyber-Kriminellen leicht macht. Und gerade bei mobilen Geräten beurteilen die befragten Unternehmen den Reifegrad der IT-Sicherheit sehr kritisch. Zudem waren ¾ der analysierten Betriebe nicht in der Lage, einen IT-kritischen Sicherheitsvorfall als solchen zu identifizieren – Täter können also immer wieder erfolgreich zuschlagen! Ich muss deshalb noch einmal betonen: Die kostenlosen Richtlinien VdS 3473 unterstützen Mittelständler mit zahlreichen praxisorientierten Hilfen zur Minimierung von Cyber-Risiken.

Cyber-Security ist ein sehr junger VdS-Bereich – gibt es trotzdem einen Ausblick auf Kommendes?

Gern. Zum einen wird die Industrie 4.0 immer wichtiger. Da das „Internet der Dinge“ neben all seinen Vorteilen auch zahlreiche Einfallstore für Cyber-Angriffe verschiedenster Art öffnet, werden wir die VdS 3473 bald um diesen sehr wichtigen Punkt erweitern und auch diese Erkenntnisse kostenlos weitergeben. Ein zweiter Quick-Check speziell für industrial control systems (ICS) ist schon online. Beide Quick-Checks sind zudem seit Kurzem auch in englischer Sprache verfügbar.

Zusätzlich bieten wir in Kürze Risikobegehungen auch zur Cyber-Security an, bestimmen auf Wunsch den Höchstverlust durch mögliche Cyber-Angriffe und führen sogenannte PML-Analysen durch, die den maximal zu erwartenden Schaden in einem Unternehmen bestimmen. Die Richtlinien VdS 3473 sind derzeit auch auf Englisch und Türkisch erhältlich, weitere Länder werden bei der Brisanz dieses Themas sicher hinzukommen. Auch der Dachverband der Europäischen Versicherer, Insurance Europe, weitere Versicherungsorganisationen in unseren Nachbarländern, die Confederation of Fire Prevention Associations Europe, CFPA, und viele andere Institutionen, Verbände und Unternehmen interessieren sich sehr für unsere Lösungen zur Cyber-Security. Wir haben bereits Audits zu diesem Thema in Frankreich durchgeführt. Die Internationalisierung des Angebotes hat also schon begonnen.