Klima, Infrastruktur, Transport, Ressourcen, Energie
Cyberangriff: Vorbereitung auf den Ernstfall
Was sind Cyberattacken? Welche Leitlinien gibt es, um sich darauf vorzubereiten?
Wenn von einem IT-Security- oder einem Cybersecurity-Vorfall oder -Angriff die Rede ist, dann versteht man darunter in der Regel, dass ein IT-System (Computer, Server, Smartphone, Router, etc.) durch eine Schadsoftware oder einen menschlichen Angreifer bewusst und absichtlich gestört wird. Ob es sich nun um eine Schadsoftware handelt, die Daten löscht, verschlüsselt oder kopiert, oder um einen Hacker, der auf der Suche nach für ihn relevanten Information ist: Es ist ein absichtlicher Angriff und kein technischer Defekt.
Der wesentliche Unterschied ist dabei, dass ein technischer Defekt nicht auf Gegenmaßnahmen reagieren wird. Ein menschlicher Angreifer wird Gegenmaßnahmen aber erkennen und darauf mit einem neuen Angriff, eventuell aus einer anderen Richtung, kontern. In diesem Sinne muss jede Vorbereitung auf einen Angriff immer berücksichtigen, dass eine einzelne Schutzmaßnahme nicht ausreicht und dass jede offene Schwachstelle potenziell ausgenutzt werden wird. Bei Cyberangriffen ist nicht der Zufall der Gegner, sondern ein menschliches Wesen mit kriminellen Absichten.
Vorbereitung auf die Abwehr eines Cyberangriffs
Die mögliche Vorbereitung auf die Abwehr eines Cyberangriffs umfasst rechtliche, technische und organisatorische Maßnahmen.
Die technischen Maßnahmen sollten von den in den Unternehmen tätigen IT-Abteilungen bzw. von externen Dienstleistern nach Stand der Technik umgesetzt werden (Detektionssysteme, Asset Management, Logging, Zugriffsregelungen, etc.). Siehe dazu das Österreichische Informationssicherheitshandbuch. Wesentlich ist dabei, insbesondere mit Blick auf die aktuellen Erpressungen mit Ransomware, eine robuste Datensicherungs- bzw. Backupstrategie. Das beinhaltet beispielsweise, dass regelmäßig geprüft wird, ob Datensicherungen auch wieder auf die Systeme zurückgespielt werden können bzw. dass sie sicher sind vor Verschlüsselungen bzw. Beschädigung durch Schadsoftware. (Ransomware-Erpressergruppen zerstören oft zuerst die Datensicherungen, bevor sie die Echtsysteme verschlüsseln, damit die betroffenen Organisationen nicht auf die Datensicherungen zurückgreifen können.)
Eine organisatorische Vorbereitungsmaßnahme ist beispielsweise die Schulung der Mitarbeiterinnen und Mitarbeiter, damit diese keine Schadsoftware aktivieren, die sie z.B. per E-Mail erhalten haben. Diese Schulungen können mit eigenem Personal oder ebenfalls wieder durch Dienstleister durchgeführt werden. Als Trainingsmaßnahme bieten Dienstleister z.B. auch „Phishing-Tests“ an, bei denen den Mitarbeiterinnen und Mitarbeitern Nachrichten gesendet werden, die wie echte Phishing-Emails aussehen, die aber ungefährlich sind. Unter dem Begriff Phishing versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Aber auch Tests der Verwundbarkeit von technischen Systemen (z.B. Penetration Tests) und regelmäßige Übungen und Planspiele verbessern die Vorbereitung und reduzieren die Wiederherstellungszeit nach einem Angriff.
Eine weitere organisatorische Maßnahme ist die Einrichtung eines Krisenstabes, der im Fall eines schweren Cybervorfalls aktiviert werden kann. Im Rahmen der Vorbereitungsarbeiten können dabei auch bereits Texte für Pressemeldungen für unterschiedliche Fälle erstellt werden, auf die dann im Anlassfall rasch zurückgegriffen werden kann. Insbesondere bei der Vorbereitung auf Ransomware-Vorfälle muss berücksichtigt werden, dass die wichtigen Unterlagen (Verträge, Support-Nummern, Telefonnummern, etc.) auch in Papierform vorhanden sind, da digitale Unterlagen, Unterstützungssoftware und Kommunikationsmittel eventuell nicht zu Verfügung stehen, weil sie ebenfalls verschlüsselt wurden.
Ebenfalls als Vorbereitungsmaßnahme kann der Abschluss einer Versicherung gegen IT-Störungen oder Cyberangriffe gesehen werden. Abhängig von den angebotenen Modellen kompensieren sie Schäden, stellen IT-Dienstleister zur Unterstützung bei Vorfällen bereit oder bezahlen die Rechtsfolgen.
Die aufgelisteten Themen bilden nur einen Teil der möglichen und oft verpflichtenden Maßnahmen ab.