Schreck am Morgen: Auf den Bildschirmen der Firma erscheinen Erpressernachrichten. Doch Lösegeld bezahlen sollten Betriebe auf keinen Fall. Folgeangriffe sind dann wahrscheinlich. © Smarterpix
München – Zuletzt hat die Cyberattacke auf die Deutsche Bahn Schlagzeilen gemacht. Ohne öffentliches Aufsehen geschehen Hackerangriffe jedoch Tag für Tag. Die Opfer: Oft kleine Handwerksbetriebe und Mittelständler. Wie die sich wappnen können und wie sie sich im Schadensfall verhalten sollen, erklärt Marc Dönges, Projektleiter der Transferstelle Cybersicherheit im Mittelstand.
Sind kleine und mittlere Unternehmen besonders anfällig für Hackerangriffe?
Alle Firmen sind gefährdet, aber kleinere besonders. Diese haben weniger finanzielle Ressourcen, weniger Personal und deshalb oft keine IT-Abteilung. Nicht selten fehlt das Bewusstsein für das Thema im Unternehmen komplett.
Hacker wollen oft Geld erpressen. Das lohnt sich bei kleinen, eher finanzschwachen Betrieben und Handwerksfirmen doch gar nicht?
Die Angreifer priorisieren teils größere Unternehmen, aber sie gehen gleichzeitig mit der Gießkanne vor, zum Beispiel mit breit gestreuten Phishing-Kampagnen. Deshalb kann es auch Handwerker treffen. Wie der Wirtschaftsschutzbericht des Verbandes Bitkom zeigt, zahlt jede siebte betroffene Firma Lösegeld.
Schildern Sie bitte eine typische Attacke, was machen die Hacker genau?
Angriffe mit sogenannter Ransomware sind das größte Risiko, heißt es im Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Bei einer typischen Ransomware-Attacke verschaffen sich die Angreifer Zugriff, bewegen sich durchs Netzwerk und stehlen Daten. Erst dann verschlüsseln sie zentrale Systeme. Für das Unternehmen sieht das dann so aus: Am Morgen funktionieren Produktionssteuerung und Zeiterfassung nicht mehr, Bildschirme bleiben schwarz, es erscheint eine Erpressernachricht mit Zahlungssaufforderung in Kryptowährung.
Wie fängt man sich diese Schadprogramme ein?
Die gefährliche Software kommt über Anhänge in E-Mails oder Links in Nachrichten. Diese Fallen werden manchmal nicht erkannt. Dann verbreiten sich die Hackerprogramme im eigenen Netzwerk, infizieren die Server, verschlüsseln Daten und Backups, blockieren Apps. Das kann über Monate unerkannt im Hintergrund laufen, bevor es plötzlich aktiviert wird. Nicht selten zapfen die Hacker auch Daten ab, mit deren Veröffentlichung sie drohen.
Welches sind die wichtigsten Maßnahmen, um sich zu schützen?
Ganz wichtig erscheint, die eigenen Programme mittels Updates regelmäßig auf den neuesten Stand zu bringen, um Sicherheitslücken rechtzeitig zu schließen. Dann geht es darum, gute, komplexe Passwörter auszuwählen, die nicht leicht zu knacken sind. Schließlich sollte man über eine externe Datensicherung verfügen, um verschlüsselte Daten wiederherzustellen, ohne den Erpressern Geld zahlen zu müssen. Im Idealfall sollte die Datensicherung mindestens dreifach vorhanden sein – doppelt auf eigenen Datenträgern und Servern plus verschlüsselt in einer Cloud. Und in jedem Fall sind alle Mitarbeitenden zu sensibilisieren – sie müssen vorsichtig sein, nicht schnell und leichtfertig irgendwelche Mailanhänge und Links öffnen. Immer erst überprüfen, ob die Absender vertrauenswürdig sind!
Was sollten Firmen besonders beachten?
Zusammen mit dem BSI und DIN e.V. haben wir den CyberRisiko-Check für kleine und Kleinst-Unternehmen (KKU) entwickelt. Der zentrale Ratschlag besteht darin, rechtzeitig, bevor etwas passiert, Personen in der Firma auszuwählen, die für IT-Sicherheit verantwortlich sind. Wenn das nicht möglich ist, sollte unbedingt ein externer Dienstleister mit dieser Aufgabe betraut werden. Es geht darum, in Ruhe die notwendigen Sicherheitsmaßnahmen einzuführen und im Falle einer Attacke sicher zu sein, sofort die nötige Hilfe zu erhalten. Man braucht einen Notfallplan.
Wo findet man solche Dienstleister?
Das BSI bietet auf seiner Internetseite eine interaktive Deutschlandkarte an, die Kontakte zu rund 1000 geschulten Beratern ermöglicht. Damit können die Betriebe einen Anbieter aussuchen und anfragen. Für eine kostenfreie und anbieterneutrale Orientierung vorab kann man sich natürlich auch an die Transferstelle Cybersicherheit wenden. Wir unterstützen mit Erstgesprächen, Workshops und vielem mehr.
Wenn es trotzdem passiert – was ist als Erstes zu tun?
Das Netzwerk trennen, um die Ausbreitung zu stoppen. Die verantwortlichen Leute alarmieren, professionelle Hilfe holen, den Notfallplan in Gang setzen. Und dann bitte nicht überstürzt handeln und jeden Schritt dokumentieren, um die Aufarbeitung des Angriffs zu erleichtern. Beim schnellen Finden von professionellen Dienstleistern hilft unsere CYBERsicher Notfallhilfe.
Welche offiziellen Stellen sind zu kontaktieren?
Die Landeskriminalämter verfügen über zentrale Ansprechstellen für Cybercrime. Die Datenschutzbeauftragten der Länder sind wichtig, wenn der Verdacht besteht, dass Daten zum Beispiel von Kunden abgeflossen sein könnten. Hier gilt eine Meldepflicht von 72 Stunden. Firmen der kritischen Infrastruktur müssen Vorfälle binnen 24 Stunden an das BSI melden.
Lösegeld zahlen oder nicht?
Nicht zahlen ist die einzig verantwortungsvolle Empfehlung. Dafür sollte man natürlich einsatzbereite Datensicherungen in der Hinterhand haben. Man muss sich auch klarmachen, dass es eventuell nicht mit nur einer Bitcoin-Überweisung getan ist. Mitunter stellen die Angreifer Nachforderungen. Eine Zahlung bring keine Garantie und macht Folgeangriffe wahrscheinlicher.
Erscheint es sinnvoll, dass die attackierte Firma beispielsweise ihre Lieferanten und Kunden über den Vorfall informiert?
Kommunikation ist essenziell und oft auch gesetzlich vorgeschrieben.
Wie lange dauern die Ausfälle der Systeme in der Regel – Tage oder Wochen?
Das hängt vom Einzelfall ab. Im Idealfall sind es nur Tage, wenn man über funktionierende Backups und einen Notfallplan verfügt. Ohne kann es schnell mehrere Wochen dauern, und der Angriff kann existenzbedrohende Ausmaße annehmen. Manchmal überleben Firmen eine Cyberattacke nicht.