Wie fühlt sich ein Cyber-Angriff für IT-Verantwortliche an und was kann ein mittelständisches Unternehmen dagegen tun? Diese Fragen stehen im Fokus der aktuellen Folge von Time4Work, dem von T4M initiierten Podcast zur Gestaltung moderner Arbeitsumgebungen. Zu Gast ist der Cyber-Security-Experte Jens Decker, der eine Ransomware-Attacke in verantwortlicher Position selbst erlebte und darüber in der gleichermaßen spannenden wie lehrreichen Podcast-Episode berichtet. Unser Co-Moderator, der IT-Analyst Dr. Andreas Stiehler, fasst nachfolgend seine wichtigsten Erkenntnisse daraus für Euch zusammen.  

Die Cyber-Schattenwirtschaft erschließt den Mittelstand 

Wer die Infrastruktur für Hybrid Work gestalten will, muss auch über IT-Sicherheit nachdenken. Denn moderne Collaboration-Werkzeuge und mobile Geräte bieten nicht nur erweiterte Austauschmöglichkeiten für die Belegschaft, sondern auch neue Angriffsflächen für Cyber-Kriminelle.  Und wer über IT-Sicherheit im Unternehmen nachdenkt, sollte insbesondere ein Thema im Blick haben: Angriffe mit Ransomware, also mit Erpressungs- und Verschlüsselungssoftware. 

Tatsächlich stellen Cyber-Erpressungen von Unternehmen und Behörden laut dem aktuellen Lagebericht des Bundesamtes für Sicherheit (BSI) die größte Bedrohung im Cyberraum dar. Allein im aktuellen Berichtszeitraum (Juli 22 bis Juni 23) wurden insgesamt 68 erfolgreiche Ransomware-Angriffe auf Unternehmen, davon 15 auf IT-Dienstleister registriert.  

Anders ausgedrückt: Etwa jede Woche wird derzeit ein deutsches Unternehmen (Nicht-IT-Dienstleister) erfolgreich mit Ransomware attackiert – Tendenz steigend, wobei die vom BSI registrierten Angriffe wahrscheinlich nur die Untergrenze darstellen.  Die Attacken adressieren laut der Sicherheitsbehörde auch nicht mehr nur große finanzkräftige Konzerne, sondern zunehmend kleine und mittlere Organisationen. Sprich:  

Der deutsche Mittelstand rückt in den Fokus der Cyberkriminellen. 

Überraschend kommt diese Entwicklung nicht. Schließlich ist die IT-Erpresser-Branche während der letzten Jahre immens gewachsen und gereift. Auch darüber kann man im BSI-Lagebericht nachlesen. Der Milliarden-schwere Markt zeigt sich demnach heute stark fragmentiert – die Angebotspalette reicht von “Ransomware as a Service” bis zum “Erpressungs-Call-Center-Outsourcing”. Und in jedem dieser Teilsegmente buhlen verschiedene Anbieter um die Gunst der Kunden. Angesichts der immer professionelleren Arbeitsteilung erschien es schließlich nur noch eine Frage der Zeit, bis mittlere und kleinere Organisationen in den Fokus der Erpresserbanden rückten – zumal hier in der Regel auch weniger Widerstände zu erwarten sind. 

Time4Work: Erfahrungsbericht von Cyber-Angriff sorgt für Aufklärung

Tatsächlich sind sich heute die meisten Verantwortlichen in den Unternehmen des rasant steigenden Risikos durch Cyber-Angriffe bewusst. Auch wächst deren Bereitschaft, in vorbeugende Maßnahmen zu investieren. Allerdings ist das Wissen über effektive Abwehrmaßnahmen gegen Erpressungsversuche im Cyberraum begrenzt – nicht zuletzt, weil es an Erfahrungsberichten und Austauschmöglichkeiten hierzu fehlt. Zwar häufen sich die Meldungen über Cyber-Erpressungen von Unternehmen. Aber kaum ein (erfolgreich) attackiertes Unternehmen ist bereit, über das Erlebte zu berichten.  

Vor diesem Hintergrund ist es ein großes Glück, dass Time4Work für die aktuelle Episode Cyber-Security-Experten Jens Decker als Gesprächsgast gewinnen konnte. Denn der CEO und Co-Founder von TECXERO weiß, wovon er spricht, wenn er Unternehmen zu Fragen der IT-Sicherheit strategisch berät. Schließlich erlebte er einen erfolgreich geführten Ransomware-Angriff auf einen mittelständischen Dienstleister in Deutschland in verantwortlicher Position selbst mit.  

Im Podcast berichtet Jens Decker ausführlich über das Erlebte. Die Hörer von Time4Work erhalten auf diese Weise einen Eindruck, wie sich eine Ransomware-Attacke für IT-Verantwortliche anfühlen und welche Dynamiken daraus erwachsen. Gleichzeitig erfahren sie, welche Fehler ein Unternehmen vor, während und nach der Attacke begehen können und wie sich diese vermeiden lassen. Kurzum: Ein ebenso spannendes wie lehrreiches Hörerlebnis. 

Vorfahrt für Cyber-Abwehr – auch im Geschäftsalltag!

Und was konkret können IT-Verantwortliche aus dem Gespräch mitnehmen? Zunächst einmal verdeutlicht Jens Deckers Erzählung, wie immens die Schäden sind, der durch eine erfolgreich durchgeführte Attacke entstehen können. Der Betrieb steht für Tage, Wochen und in einigen Teilbereichen bis zur vollständigen Wiederherstellung sogar Monate still. Sensible Daten gelangen an die Öffentlichkeit. Die kompromittierten IT-Systeme müssen vollständig ausgetauscht und neu aufgebaut werden. Eine riesige Katastrophe, die es mit allen Möglichkeiten zu verhindern gilt. 

Zur Vorbeugung von Cyber-Attacken empfiehlt Jens Decker u.a. die folgenden Maßnahmen*: 

  • Systeme härten und Angriffsflächen verringern, also wirklich prüfen, welche Funktionen und Berechtigungen tatsächlich erforderlich sind und deren Umfang auf ein notwendiges Maß einschränken;  
  • Netzwerke und Kundenumgebungen segmentieren; 
  • Patches und Updates regelmäßig aufspielen, sowohl bei den Anwendungen als auch und insbesondere bei den Browsern, die laut Jens das größte Einfallstor darstellen;  
  • Pen-Tests durchführen, um Sicherheitslücken zu identifizieren sowie 
  • Sicherheitsmanagement nach CIS Security Benchmarks oder BSI-Grundsatzkatalog (IT-Grundschutz des BSI) gestalten und zertifizieren – was viel Papierkram bedeute, aber auch kein Hexenwerk sei. 

Was sagen die Experten der T4M dazu?

Von Jens Decker im Podcast nicht explizit aufgelistet, aber mit Blick auf die Vorbeugung von Cyber-Attacken unbedingt erwähnenswert ist, dass ein wirkungsvoller Schutz besonders dann entsteht, wenn ein möglichst großes Spektrum der IT-Infrastruktur von Schutzmaßnahmen (Endpoint Protection für Clients und Server, Identitätsschutz, Cloud Security Posture Management) erfasst wird, wenn die Mitarbeiter sensibilisiert und Schulungen durchgeführt werden und wenn Indikatoren von möglichen Angriffen zentral erkannt und auch darauf frühzeitig reagiert wird (SOC mit Incident Response).

Welche Konzepte es hierfür gibt und wie sich diese anwenderfreundlich umsetzen lassen, zeigt T4M in einem eigens für mittelständische Unternehmen entwickelten Workshops.

Interessiert an einem Experten Gespräch mit einem Cyber-Security Spezialisten von Trans4mation:

Unsere Leistungen im Überblick

PS: Zusätzlich zu dieser Folge gibt es demnächst eine Bonusaufnahme mit unserem T4M Head of Security Alexander Döhling. In dieser werden wir dieses Thema tiefgreifender beleuchten.

Mehr dazu in Kürze!

Die von Jens Decker aufgelisteten Maßnahmen dürften den meisten IT-Verantwortlichen bereits bekannt sein. Allerdings kostet deren Umsetzung Zeit, die für die Lösung vermeintlich dringenderer Probleme benötigt würde. Wer so denkt, sollte das Podcast-Gespräch mit Jens Decker noch einmal nachhören und sich vergegenwärtigen, welchen Schaden eine Cyber-Attacke im eigenen Unternehmen verursachen würde – und wie es sich für den IT-Verantwortlichen anfühlt, wenn der Angriff wegen unzureichender Vorbeugung erfolgreich war.

Schadensbegrenzung: Für den Ernstfall vorbereiten

Klar ist allerdings auch: Einen 100-prozentigen Schutz vor Cyber-Angriffen gibt es nicht – aller Vorbeugung zum Trotz. Dazu arbeiten die Cyberkriminellen heute schlicht zu professionell. Deshalb sollten sich die Unternehmen auch für den Fall einer erfolgreichen Attacke vorbereiten. In diesem Fall gilt es, die Schäden zu begrenzen und das Unternehmen möglichst schnell wieder handlungs- und arbeitsfähig zu machen.  

In diesem Zusammenhang verweist Jens Decker auf die folgenden vorbereitenden Maßnahmen: 

  • Notfallplan für den Fall eines IT-Cyber-Angriffs entwickeln, u.a. zur Organisation und Arbeit des Krisenstabs oder auch zu den Prioritäten bei der Wiederherstellung der Systeme. Vorlagen hierzu finden sich bei vielen Berufsverbänden und der IHK, sie sollten mit Blick auf die Besonderheiten des Unternehmens weiter spezifiziert werden. 
  • Notfallpläne sollten auch als nicht digitale Versionen vorliegen, um im Falle einer kompletten Verschlüsselung trotzdem noch darauf zugreifen zu können.
  • Backups – idealerweise auf WORM (Write Ones Read Many) – erstellen, um daraus die Systeme möglichst schnell wieder herzustellen.  
  • Üben. Üben. Üben. Dies gilt sowohl für die Arbeit des Krisenstabs als auch die Wiederherstellung der Systeme aus den Backups (Restoring). Denn viele zeitraubenden Probleme zeigten sich eben erst in der praktischen Ausführung.  Und im Falle einer erfolgreichen Cyber-Attacke, die das gesamte System lahmlegt, ist Zeit gleich (Unsummen an) Geld.  
  • Vertrauensvolle Partnerschaften mit IT-Dienstleistern und Rechenzentrumsanbietern etablieren. Wenn es darum geht, eine Notfallumgebung in kürzester Zeit aufzubauen, seien „Partner, die man nachts um 3 Uhr anrufen kann, um dann sofort aktiv zu werden, Gold wert“.  Idealerweise sollte man den bevorzugten Dienstleister auf dessen Rolle im Notfall bereits im Vorfeld ansprechen.  

Schließlich vermittelt der Cyber-Security-Experte im Laufe des Gesprächs auch noch einige „Erste-Hilfe-Tipps“ für den Fall einer Attacke: 

  • Sobald der Verdacht auf eine Cyber-Attacke fällt: Alle Stecker ziehen, Systeme vom Netz nehmen – so schnell wie möglich! Auf diese Weise besteht die Chance, dass nicht alle Systeme verschlüsselt werden.  
  • Den vorab geübten Notfallplan befolgen und umsetzen.
  • Selbstständig keine Kommunikation mit den Erpressern beginnen. Denn ab diesem Moment startet in der Regel die Frist für den Upload sensibler Daten, falls die geforderte Summe nicht gezahlt wird. 
  • Profis ranlassen! Experten bei der Polizei oder spezialisierte Berater wissen besser, wie man mit Cyber-Kriminellen interagiert als ein IT-Administrator.  
  • Kein Lösegeld zahlen! Der Zahlung der geforderten Summen scheint zunächst angesichts der immensen Kosten, die mit der Schadensbereinigung und dem Wiederaufbau einhergehen zwar zunächst als das geringere Übel. Allerdings setzt man sich auf diese Weise vollends der Willkür der Cyber-Kriminellen aus. Zudem spricht es sich in der Szene schnell herum, welche Unternehmen sich im Angriffsfall als „zahlungswillig“ zeigen. Durch die Zahlung wird also das Risiko weiterer Cyber-Attacken deutlich erhöht.  

Fazit: Wir müssen reden! 

Viele der Hinweise, die Cyber-Security Jens Decker zur Verbeugung einer Attacke bzw. zur Schadensbegrenzung im Ernstfall im Laufe der Diskussion vermittelte, finden sich in ähnlicher Form sicher auch in in IT-Sicherheitsrichtlinien der Branchenverbände oder des BSI.  Bei der praktischen Vermittlung aber macht es einen großen Unterschied, ob ich von Cyber-Kriminalität als abstrakte Bedrohung oder über einen realen Vorfall diskutiere. Vor diesem kann man Jens Decker nur dankbar sein für die Offenheit, mit der er über seine Erfahrungen berichtete.  

Bleibt zu hoffen, dass sein Bericht auch andere Betroffene inspiriert, ihre Erfahrungen zu Cyber-Angriffen zu teilen. Denn die effektive Abwehr der hochprofessionell arbeitenden Cyber-Erpresser-Branche – so mein Credo nach dem Podcast-Gespräch – setzt einen intensiven Austausch der (potenziell) Betroffenen voraus.   

Aber hört gerne selbst. Und schreibt uns gerne, wenn noch Punkte offen sind. Jens Decker erklärte sich bereits bereit zu einem Folgegespräch, in dem wir offene Fragen beantworten und einige zentrale Themen wie die Arbeit des Krisenstabs noch vertiefen wollen.  

Bis dahin freuen wir uns auf Euer Feedback! 

Mehr zum Thema:

Ihr findet den Podcast auf unserer internen Plattform oder auf Spotify, Apple Podcasts , Google Podcasts und anderen Plattformen.

Interessiert an einem Experten Gespräch mit einem Cyber-Security Spezialisten von Trans4mation:

Unsere Leistungen im Überblick

Visits: 453