Es war einmal … Corona einmal anders betrachtet
Cyber-Angriffe sind 2020 mit 44 Prozent nach Betriebsunterbrechungen das höchste Geschäftsrisiko in Deutschland, wie eine Statistik der Allianz Global Corporate Speciality zeigt. Gerade durch die Verlagerung der Arbeit ins Homeoffice erweitert sich die potentielle Angriffsoberfläche für Ihr Unternehmen. Stellen Sie sich mal Ihr Unternehmen als eine zentral verteidigte Burg vor, welche im Notfall durch eine starke Burgmauer und allerlei Abwehrmaßnahmen geschützt ist. Bisher wurden die meisten Arbeiten innerhalb der Burg verrichtet und nur für bestimmte Aufgaben, wie Handel (wie Ihr Vertrieb oder Außendienstmitarbeiter) und Verhandlungen (Ihre Geschäftsreisen), mussten Sie Ihre Burg verlassen. Nun schicken Sie aber Ihre Mitarbeiter in die Wohnhütten vor der Burgmauer zur Verrichtung ihrer Tätigkeiten. Um mit Ihren Mitarbeitern für die Arbeit benötigte Nachrichten und Waren auszutauschen, graben Sie nun zu den einzelnen Hütten Tunnel. Auf einmal hat Ihre sonst so undurchlässige Mauer jede Menge Löcher und im schlimmsten Fall haben Sie nicht einmal eine Übersicht, wie viele und wo sie welche Löcher gegraben haben
Komplexität ist der Feind der (IT-) Sicherheit
Als wäre dies nicht schon schlimm genug, stehen Sie nun vor weiteren Fragestellungen. Kontrollieren Sie Ihre Mitarbeiter oder vertrauen Sie Ihren Mitarbeitern? Aber woran erkennen Sie und andere jetzt eigentlich fremde Ritter in Ihrer Burg oder könnte manches Mitbringsel sich nicht als trojanisches Pferd erweisen?
Kurzer Exkurs: Denken Sie kurz nach. Welcher Hersteller könnte denn von der Corona-Krise profitieren? Drucker, Scanner, Netzwerkspeicher (NAS), … und jede Menge mehr. Das Homeoffice wird aufgerüstet. Druckerhersteller berichten von zweistelligen Steigerungen in den Absatzzahlen und die NAS-Anbieter bekommen Lieferschwierigkeiten. Haben Sie Vorgaben zum Einsatz von privaten Geräten für den beruflichen Einsatz getroffen? Sind denn Ihre Arbeitsrechner überhaupt ausreichend geschützt, wenn im privaten WLAN ein anderer Ritter (ähm Rechner) diese attackiert? Die Trennung von Arbeits- und Privatleben haben Sie sicher schon länger berücksichtigt oder verschwimmt dies wieder, wenn Sie jetzt ab und zu mal zum Feierabend eine Session Fortnite zum Ausgleich zocken? Sie kennen Fortnite nicht? Geben Sie Ihren Rechner Ihrem Sohnemann mal einen Abend frei. Für Sie als Geschäftsführer (wir kommen zurück zur Burg, Burgherr) bedeutet dies, dass Sie sich am Ende Ihrer Tunnel, wieder viele neue Tunnel gegraben haben könnten und Ihre potenzielle Angriffsoberfläche wieder weiter vergrößert haben.
Strategie statt Aktionismus
Sie werden jetzt vielleicht denken, das haben die doch früher beim Thema Ablasshandel auch immer so gemacht: jede Menge Angst verbreitet und dann musste man nur etwas kaufen und alles war gut. Nun, da liegen Sie gar nicht so falsch. Der IT-Sicherheitsmarkt ist ein Riesengeschäft und jede Menge zwielichtige Gestalten, wie Räuber (heute bewaffnet mit Ransomware) oder Händler (mit dem sogenannten „Schlangenöl“) werden Ihren Weg kreuzen.
Wie kommen Sie nun aber aus der Sache raus? Nichts machen hilft leider nicht mehr. Egal, ob Sie denken, Sie sind zu unbedeutend, zu klein, zu unwichtig oder Sie haben nichts zu verbergen. Dann bauen Sie auch keine Burgmauern, denn dann haben Sie auch nichts, was Ihnen wichtig ist. Mittlerweile kommt da nicht ab und zu mal jemand vorbei. Sie werden ständig belagert und ist Ihre Burgmauer zu klein, dann werden Sie überrannt. Aber die Sicherheit Ihrer Firma stellt kein starres Gebilde in Form einer Burgmauer dar. Denn es gibt regelmäßig neue Bedrohungen. Schon früher haben Sie unterschiedliche Elemente zur Verteidigung neuer Angriffsformen eingesetzt. Während der Pechtopf Ihre Verteidiger noch herzhaft lachen ließ (insbesondere, wenn man einen Feuerpfeil hinterherschoss), war Ihnen spätestens beim Einsatz der ersten Bogenschützen oder Katapulte Ihrer Gegner das Lachen vergangen, weil man diesen Topf nicht so weit schmeißen konnte. Sie mussten also auch schon früher Ihre Verteidigung anpassen bzw. die Auswahl der Maßnahmen variabel gestalten.
Natürlich müssen Sie Ihre IT-Sicherheit auch auf einem grundsoliden Fundament bauen und dazu gehört am Anfang auch, etwas Zeit in die Planung zu stecken. Oder was denken Sie, wie viele Burgenbesitzer früher hektisch anfingen, einen Brunnen zu graben, wenn sie diesen vergessen hatten und es blieb mal eine längere Zeit bei einer Belagerung der Regen aus? Und jetzt versetzen Sie sich einmal in die Rolle eines Räuberhauptmanns, wenn Sie sich nicht eh schon so fühlen. Welchen Wettbewerber (oder welche Burg) hätten Sie denn angegriffen? Die mit dem tiefen Burggraben und mächtigen Verteidigungsanlagen? Oder die mit dem herunter gelassenen Burgtor und dem schönen Bewuchs? Heute würde man oft zu Letzterem Honigtopf sagen, welches aber eine andere Geschichte ist.
Spaß an IT-Sicherheit?
Früher hat man sich den Hofnarren gehalten und heute kommt ein Security Consultant vom Dienstleister, damit man wenigstens etwas Spaß bei der Arbeit hat. Der erzählt einem dann was vom Pferd. Und wenn man so dumm ist, es dem IT-Leiter zu erzählen, schaut der einen im besten Fall noch mitleidig an, da er eh nicht versteht, was Sie versuchen, ihm zu sagen oder er eh keine Zeit / Ressourcen hat. Also lieber gleich auf den Consultant verzichten, denn der hätte Einen eh mit Corona (Pest) oder was auch immer kommt angesteckt? Was sollten Sie nun tun? Im ersten Schritt: Verantwortung übernehmen. Es ist Ihre Burg (ähm Ihr Unternehmen) und Sie kommen nicht drumherum, sich Gedanken über das Thema zu machen. Das nimmt Ihnen auch niemand ab. Und es ist auch nicht so schwer. Mit einigen Grundregeln bauen Sie Ihre Burgmauer schon so hoch, dass die meisten Angreifer keine Lust haben werden, diese zu überwinden.
Schauen wir mal, was der König empfiehlt. In unserer kleinen Abhandlung wäre dies das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI):
- Das BSI empfiehlt hier eine deutliche, unmissverständliche und verbindliche Regelung zur IT-Sicherheit und zur Sicherheit Ihrer Daten in Papierform. Kommunizieren Sie diese schriftlich an alle Beteiligten.
- Hier sollten Sie insbesondere auch Themen wie die Nutzung der privaten / dienstlichen Geräte geregelt haben.
- Auch welche neuen Geräte Sie in der Infrastruktur zulassen. So kann sich Ihr neues Tunnelsystem nicht unstrukturiert erweitern.
- Weiterhin verschließen Sie Türen, wenn Sie den Arbeitsplatz verlassen, geben Sie Dritten keine Chancen durch einsehbare oder gar geöffnete Fenster. Jetzt haben Ihre Mitarbeiter keine eigene Burgmauer mehr, welche Sie vor ungewollten Blicken sonst geschützt hat, wobei diese Schutzmöglichkeit seit Drachen (hmm… Drohnen) eh erledigt war.
- Eine automatisch aktivierte Bildschirmsperre und die Einsatzmöglichkeit von Sichtschutzfolien sollten aber für den Anfang dazugehören.
- Weiter gehts: Sorgen Sie für eindeutige Kontaktstellen und Kommunikationswege, die von den Beschäftigten verifiziert werden können. Sie haben ja Ihre Tunnelsysteme geschaffen. Sichern Sie diese, wie ja auch der Einsatz eines VPN als Grundabsicherung aktuell verpflichtend empfohlen wird.
- Zudem sollten Ihre Mitarbeiter regelmäßig Sicherheitsschulungen erhalten, die Sie auf mögliche Sicherheitsrisiken sensibilisieren.
- Haben Sie schon mal darüber nachgedacht, wen Sie anrufen, wenn ihr Unternehmen angegriffen wird? Die Polizei oder Ihren Dienstleiter? Auf jeden Fall gilt es dann zunächst Ruhe zu bewahren und fokussiert den vorher erstellten Notfallplan zu befolgen. Damit sollte der Angreifer schnellstmöglich lokalisiert werden.
Interessanterweise wird eine Maßnahme seitens des BSI besonders hervorgehoben: Vorsicht Phishing. Dies hatten wir aber bereits oben mit dem trojanischen Pferd. Nicht immer ist es so, wie es scheint.
Was können Sie jetzt schon tun?
- Seien Sie skeptisch!
- Trennen Sie private und geschäftliche Daten!
- Verwenden Sie starke Passwörter!
- Verwenden Sie unterschiedliche Passwörter!
- Trennen Sie private und geschäftliche Passwörter
- Sichern Sie ihre mobilen Geräte!
- Sichern Sie Ihre Daten!
- Halten Sie Ihre Software und Firmware aktuell!
Ein ernstes Thema, einmal etwas anders dargestellt. Ich berate Unternehmen seit vielen Jahren zum Thema IT-Sicherheit und leider stelle ich oft fest, dass das Thema IT-Sicherheit oft aus Angreifersicht mit hohem Bedrohungspotential dargestellt wird. Oft sind es aber Kleinigkeiten, die vielen dieser Szenarien diese angebliche Bedrohung nehmen. Früher wären Sie aber auch nicht ohne Rüstung in eine Drachenhöhle gegangen.