Viele Unternehmen erhöhen ihre Sicherheitsmaßnahmen erst nach einem erfolgreichen Cyberangriff. Doch Cyberattacken sind keine Warnschüsse, die zeigen sollen, dass es ernst werden kann. Aber man muss aus dem Schaden lernen, denn die nächste Attacke kommt bestimmt.
Internetkriminelle sind Wiederholungstäter
Durch die Digitalisierung wird vieles leichter, Aufwände können reduziert werden. Was für Unternehmen und Verwaltungen gilt, stimmt leider auch für die Cyberkriminellen. Anstatt in eine gut gesicherte Bank einzubrechen, versuchen sie, an das Geld direkt bei den digitalen Kontakten zwischen Bankkundinnen und -kunden mit der Bank zu gelangen. Das ist mit weitaus weniger Aufwand verbunden. Damit ist es auch möglich, viel mehr Angriffsversuche zu starten, denn die laufen inzwischen nahezu automatisiert ab.
Selbst gezielte Online-Attacken machen nicht mehr so viel Aufwand. Insbesondere die Möglichkeiten von KI (Künstliche Intelligenz) machen es einfach, die Opfer besser auszuspionieren und die Attacken sehr genau zu personalisieren.
Deshalb machen Internetkriminelle auch nicht nur einige wenige Angriffe auf Unternehmen und Behörden, sondern sie attackieren ihre Ziele fortlaufend und auf lange Dauer. Die Bedrohungen sind fortgeschritten und persistent, man spricht von Advanced Persistent Threats (APTs).
Kennen Sie die Risiken durch weitere Cyberangriffe?
Die Lösungen finden Sie am Ende des Beitrags.
Frage 1: Wer einmal angriffen wurde, wird wahrscheinlich so schnell kein Ziel mehr sein. Stimmt das?
- Nein, im Gegenteil. Erfolgreiche Attacken können schnell den nächsten Angriff nach sich ziehen.
- Ja, bei der Vielzahl möglicher Opfer sind dann aus Wahrscheinlichkeitsgründen erst einmal die anderen dran.
Frage 2: Wenn man nach einer Ransomware-Attacke das Lösegeld bezahlt hat, ist das Risiko gebannt. Stimmt das?
- Ja, die Angreifenden haben ja bekommen, was sie wollen.
- Nein, man macht sich dadurch sogar für weitere Attacken noch interessanter.
Datenschutzaufsicht macht Nachprüfungen
Aus gutem Grund hat zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht eine sogenannte „Ransomware FollowUp Prüfung“ gestartet, bei der insbesondere solche Unternehmen geprüft werden, die bereits einmal Opfer einer solchen Attacke mit Erpresser-Schadsoftware geworden sind.
So schreibt die Aufsichtsbehörde, dass man davon ausgeht, dass Unternehmen, die in den letzten Jahren einen Ransomware-Vorfall gemeldet haben, im Rahmen der Aufarbeitung des Vorfalls ihrerseits die Sicherheitsmaßnahmen ausgeweitet oder zumindest angemessen angepasst haben. Im Rahmen der Ransomware-Nachprüfung möchte die Aufsichtsbehörde nun den aktuellen Sicherheitsstand diesbezüglich abfragen.
Unter anderem fragt die Datenschutzaufsicht nach dem Patchmanagement, das sicherstellen soll, das Sicherheitslücken erkannt und geschlossen werden, nach den System-Berechtigungen, die genau geregelt und sinnvoll begrenzt werden sollen, nach IT- und Sicherheitssystemen, die so eingestellt sein sollen, dass mögliche Angriffe besser und schneller erkannt werden, um einige Beispiel zu nennen.
Viele der Punkte, die die Datenschutzaufsicht nochmals kontrollieren will, betreffen die IT- und die IT-Sicherheitsabteilung, aber auch jede Nutzerin und jeder Nutzer ist gefragt.
Die meisten Angriffe erfolgen über uns Menschen
Damit die IT-Sicherheit nach einer Cyberattacke besser wird und der nächste Angriff möglichst keinen Erfolg mehr hat, müssen alle Beschäftigten aus dem Vorfall lernen. Allein eine verbesserte technische Sicherheit reicht nicht, denn die Angriffe starten sehr oft mit einer E-Mail oder anderen Nachricht, mit der wir Menschen getäuscht werden sollen. Ein angeklickter Link, eine heruntergeladene Datei, eine scheinbar harmlose Aktivität am PC oder Smartphone kann bereits der Beginn der nächsten erfolgreichen Attacke sein.
Das ganze Unternehmen muss aus einem Vorfall lernen, nicht nur die IT oder IT-Sicherheit. Es muss klar sein, was bei dem letzten Vorfall ausgenutzt wurde, wie man sich hätte besser verhalten können. Fehler passieren, aber wir müssen aus ihnen lernen. Angriffe passieren ebenso, und wir müssen aus ihnen lernen. Wir müssen in jedem Fall wissen, wie wir richtig reagieren, wenn es zu einem Sicherheitsvorfall gekommen ist. Dazu gehört es, den Vorfall richtig zu melden und nicht etwa etwas zu verheimlichen, was falsch gelaufen ist. Sonst lernen nur die Angreifenden dazu!
Und hier die Lösungen für die Quizfragen:
Lösung Frage 1: Die Antwort 1. ist richtig. Wer erfolgreich angriffen wurde, hat den Internetkriminellen eine Verwundbarkeit gezeigt. Wenn die ausgenutzten Schwachstellen nicht umgehend erkannt und beseitigt werden, ist es wahrscheinlich, dass die gleiche Sicherheitslücke nochmals ausgenutzt wird.
Lösung Frage 2: Die Antwort 2. ist richtig. Wer Lösegeld bezahlt, finanziert zum einen weitere Angriffe, deshalb raten alle Sicherheits- und Polizeibehörden davon ab, bei Ransomware-Attacken zu bezahlen. Zudem wird man ein besonders interessantes Ziel, denn man hat offenbart, dass man bereit ist, auf eine Online-Erpressung einzugehen. Weitere Angriffe können also schon bald kommen.