Bit­kom: IT Sicher­heits­maß­nah­men vor Kon­flikt­aus­tra­gun­gen im Cyberraum

Kon­flik­te wer­den heut­zu­ta­ge auch im digi­ta­len Raum aus­ge­tra­gen. Zwar ist die Situa­ti­on in der Ukrai­ne in die­sem Sin­ne noch nicht hier­zu­lan­de ange­kom­men, doch soll­ten Unter­neh­men ihre IT-Sicher­heit für einen Ernst­fall prü­fen. Der Bit­kom nennt fünf Maß­nah­men, die Unter­neh­men jetzt ergrei­fen sollten.

Die Offen­si­ve Russ­lands begann im digi­ta­len Raum bereits eini­ge Zeit vor dem Ein­marsch in die Ukrai­ne. „Wäh­rend Cyber­an­grif­fe auf mili­tä­ri­sche Ziel­sy­ste­me, Behör­den und Insti­tu­tio­nen bereits seit län­ge­rem statt­fin­den, spiel­te der digi­ta­le Raum in den ersten Tagen des rus­si­schen Angriffs­kriegs nur eine nach­ge­la­ger­te Rol­le. Mit zuneh­men­der Kriegs­dau­er könn­te sich dies wie­der ändern, und das kann unmit­tel­ba­re Kon­se­quen­zen für Deutsch­land und sei­ne Wirt­schaft haben. Denn die Distan­zen im digi­ta­len Raum sind kurz und die Gren­zen nicht so klar, wie sie sein müss­ten“, erklärt Bit­kom-Sicher­heits­ex­per­te Seba­sti­an Artz. „Es gibt kei­nen Grund zur Panik, aber mit dem Angriffs­krieg Russ­lands ist auch im deut­schen Cyber­raum vol­le Auf­merk­sam­keit und größt­mög­li­che Wach­sam­keit aller Unter­neh­men, Orga­ni­sa­tio­nen und staat­li­chen Stel­len geboten.“

Der Digi­tal­ver­band Bit­kom gibt des­halb fünf kon­kre­te Hin­wei­se, wel­che Vor­be­rei­tun­gen und Vor­sichts­maß­nah­men ins­be­son­de­re klei­ne und mit­tel­stän­di­sche Unter­neh­men jetzt für ihre IT-Sicher­heit tref­fen sollten:

1. Risi­ken und Aus­wir­kun­gen von Cyber­an­grif­fen minimieren

Unter­neh­men soll­ten ihre Schutz­maß­nah­men ins­ge­samt ver­stär­ken. Betriebs­sy­ste­me und Soft­ware müs­sen auf dem aktu­el­len Stand sein, Sicher­heits­up­dates sind zügig ein­zu­spie­len. Siche­re – also kom­ple­xe und für jedes System unter­schied­li­che – Pass­wör­ter kön­nen signi­fi­kant das Schutz­ni­veau erhö­hen bei. Mög­lichst alle Log­ins mit Außen­an­bin­dung soll­ten über eine Mul­ti-Fak­tor-Authen­ti­fi­zie­rung geschützt wer­den. Pri­vi­le­gi­en und Admi­ni­stra­ti­ons­rech­te soll­ten für ein­zel­ne Nut­ze­rIn­nen ein­ge­schränkt wer­den und die Kom­ple­xi­tät von ver­wen­de­ten Dien­sten ins­ge­samt ver­rin­gert wer­den. Eine sol­che Här­tung der Syste­me ist rat­sam, obwohl sie nicht nut­zungs­freund­lich ist und die Pro­duk­ti­vi­tät ein­schränkt, denn sie schützt die eige­ne Infra­struk­tur und unter­neh­mens­sen­si­ble Daten. Zudem ist die unter­neh­mens­ei­ge­ne Back-up-Stra­te­gie zu prü­fen und nach­zu­zie­hen, sodass alle rele­van­ten Unter­neh­mens­da­ten gesi­chert sind und zusätz­lich Sicher­heits­ko­pien off­line auf einem exter­nen Daten­trä­ger existieren.

2. Ver­ant­wort­lich­kei­ten klar definieren

Unter­neh­men müs­sen in einem Angriffs­fall reak­ti­ons­fä­hig sein. Ver­ant­wort­lich­kei­ten im Sicher­heits­be­reich müs­sen klar defi­niert sein und ent­spre­chen­de Anlauf­stel­len ein­ge­rich­tet wer­den – sowohl intern als auch bei exter­nen Dienst­lei­stern. Es gilt sicher­zu­stel­len, dass zu jeder Zeit aus­rei­chend Per­so­nal ein­satz­fä­hig ist. Urlaubs­zei­ten oder Ver­tre­tun­gen bei Krank­heit müs­sen dabei ein­kal­ku­liert wer­den. Außer­dem ist es sinn­voll sich dar­auf vor­zu­be­rei­ten, auch ohne die Hil­fe exter­ner Dienst­lei­ster kurz­fri­stig reagie­ren zu kön­nen – bei groß­flä­chi­gen Cyber­an­grif­fen könn­ten Exter­ne an Kapa­zi­täts­gren­zen stoßen.

3. Beschäf­tig­te sensibilisieren

Alle Erfah­run­gen zei­gen: Der Mensch bleibt eines der größ­ten Sicher­heits­ri­si­ken, ist aber auch Schutz­ga­rant eines Unter­neh­mens. Alle Beschäf­tig­ten soll­ten ziel­grup­pen­ge­recht für das erhöh­te Risi­ko von Cyber­an­grif­fen sen­si­bi­li­siert wer­den. Dazu gehört, poten­zi­el­le Gefah­ren ver­ständ­lich zu erklä­ren und Schritt-für-Schritt-Anlei­tun­gen bereit­zu­stel­len, wie sich Beschäf­tig­te im Fal­le eines Angriffs ver­hält und an wen sie sich wen­den müs­sen. Gege­be­nen­falls kön­nen kurz­fri­sti­ge Sicher­heits­schu­lun­gen sinn­voll sein. Ziel ist es, die Wach­sam­keit in der Beleg­schaft zu erhö­hen. Beson­ders für den E‑Mail-Ver­kehr gilt, Hyper­links und Anhän­ge nicht vor­schnell zu öff­nen und unge­wöhn­li­che Anwei­sun­gen mit Skep­sis zu betrach­ten. An Unter­neh­men wer­den auch sehr geziel­te und gut gemach­te Phis­hing-Mails geschickt, wodurch der Fake nur anhand weni­ger Details wie etwa eines falsch geschrie­be­nen Namens oder einer fal­schen Durch­wahl in der Signa­tur ent­deckt wer­den kann.

4. Not­fall­plan erstellen

Für den Fall eines Angriffs soll­te im Unter­neh­men ein Not­fall­plan bereit­lie­gen, der das wei­te­re Vor­ge­hen doku­men­tiert. Neben den tech­ni­schen Schrit­ten, die ein­ge­lei­tet wer­den müs­sen, soll­te der Plan auch orga­ni­sa­to­ri­sche Punk­te wie die Kon­takt­da­ten rele­van­ter Ansprech­per­so­nen im Unter­neh­men sowie die Not­fall­kon­tak­te der offi­zi­el­len Anlauf­stel­len beinhal­ten. Auch recht­li­che Aspek­te wie Mel­de­pflich­ten bei Daten­schutz­ver­let­zun­gen müs­sen berück­sich­tigt wer­den. Des Wei­te­ren gehört eine vor­be­rei­te­te Kri­sen­kom­mu­ni­ka­ti­on dazu, um schnell alle rele­van­ten Sta­ke­hol­der wie Kun­den, Part­ner sowie die Öffent­lich­keit zu informieren.

5. Infor­ma­tio­nen offi­zi­el­ler Stel­len beobachten

Die Sicher­heits­la­ge ist hoch­dy­na­misch und kann sich von Tag zu Tag ändern. Unter­neh­men soll­ten daher die Mel­dun­gen von Behör­den wie dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) sowie der Alli­anz für Cyber­si­cher­heit (ACS) stets beobachten.