Was tun, wenn plötzlich alle Daten weg sind?
Spionage, Erpressung, Freude an destruktiven Aktionen oder auch einfach nur Chaos in der eigenen IT-Infrastruktur – es gibt viele Gründe, warum Daten blockiert, gestohlen oder gelöscht werden. Cyberkriminalität ist ein Thema, von dem selbst gut aufgestellte große Unternehmen nicht verschont bleiben, wie das aktuelle Beispiel der Uniklinik Düsseldorf zeigt. Jörg Ertel, Informatiker, Dekra-Sachverständiger und BSI-Grundschutzexperte, ist CISO (Chief Information Security Officer) beim bundesweit tätigen IT-Dienstleister Tedesio. Er hat regelmäßig mit Unternehmen zu tun, die entweder gehackt wurden und nun versuchen, ihre Daten wieder herstellen zu lassen und den Daten-Klau zurückzuverfolgen (Forensik), oder aber Beratung brauchen, wie der digitale SuperGau verhindert werden kann (IT-Security). Mit ihm und Vertriebschefin Gabriele Fricke sprach B&P über drei konkrete Gefahrenlagen: „den Feind von außen“, den „Feind von innen“ und den besonderen Fall, wenn Unternehmer überrascht feststellen: „Der Feind bin ich!“
Wenn selbst der Bundestag gehackt werden kann, ist eigentlich schon klar, dass die Hacker-Szene vor nichts zurückschreckt. Die Zahl der Firmen, deren Daten durch eingeschleuste Schadsoftware verschlüsselt werden, steigt offenbar stetig an. Solche Angriffe enden in der Regel mit Lösegeldforderungen und verzweifelten Versuchen, doch noch irgendwie an die Daten heranzukommen und die Systeme wieder hochzufahren. Unter dem Dach des Bundesinnenministeriums sitzt das bereits 1991 gegründete Bundesamt für Sicherheit in der Informationstechnik (BSI). Jörg Ertel: „Dort wird zurzeit die Cyberwehr aufgebaut.“
Es sind aber nicht immer Angriffe von außen, die Unternehmen gefährlich werden können. Ertel: „Das größte Gefahrenpotenzial sind nach wie vor unvorsichtige Mitarbeiter, die unwissentlich oder im schlimmsten Fall fahrlässig die Türen ins System öffnen. Da reicht schon ein Klick auf eine unerkannte Phishing-Mail oder ein fremder USB-Stick. Häufig liegen die Ursachen aber auch in organisch gewachsenen IT-Strukturen mit Rechnern, die den aktuellen Anforderungen an Sicherheit nicht gewachsen sind.“ Allerdings sagt der Experte auch: „Es gibt keine absolute Sicherheit, aber eine individuelle Beratung und ein entsprechendes Konzept hilft, Schäden abzuwenden.“
Tedesio ist in der Lage, auch komplexe Rechnersysteme zu durchforsten – zum einen, um verlorene Daten doch noch aufzuspüren; zum anderen, um den Weg zurückzuverfolgen, den beispielsweise ein Verschlüsselungstrojaner ins Unternehmen gefunden hat. Gabriele Fricke: „Wir schauen uns die Systeme an und scannen die Schwachstellen. Das gilt natürlich auch für Unternehmen, die sich prophylaktisch schützen wollen. In diesen Fällen können wir beispielsweise Hackerangriffe simulieren und die gefundenen Schwachstellen anschließend beheben. Wir bieten einen individuellen Security-Check an und erstellen Sicherheitskonzepte. Kommt es zum Schaden, schreiben wir auch gerichtsfeste Gutachten.“
Tedesio beschäftigt bundesweit 38 Mitarbeiter, darunter etwa ein Dutzend im Raum Hamburg. Die Zentrale ist in Buchholz. Alle Mitarbeiter sind festangestellt und arbeiten dezentral. Die Kunden lassen sich überwiegend dem Mittelstand zuordnen.
„Der Feind von außen“
Firma Y ist ein deutschlandweit tätiges Logistikunternehmen und durch einen Verschlüsselungstrojaner lahmgelegt. Hacker verlangen ein Lösegeld, bevor die Daten wieder freigeschaltet werden.
Jörg Ertel: „Das Unternehmen hatte Glück, denn die Datensicherung war nicht ans System angeschlossen, und es lag auch noch eine Papierform vor. Die Touren konnten also weiterhin gefahren werden. Wir haben das Netzwerk analysiert, aufgedeckt, über welchen Computer der Trojaner ins Unternehmen kam, und die Mailadresse gefunden, über die ein Backdoor-Programm eingeschleust worden war. Durch die offene Hintertür kamen die Hacker ins System und schauten sich erstmal um. Der Verursacher kam aus dem außereuropäischen Ausland. Wir haben die Mitarbeiter einer intensiven Schulung unterzogen, eine Netzwerküberprüfung durchgeführt und Schutzmaßnahmen definiert.“
TIPP2: Es sollten regelmäßig Backup-Kopien erstellt und räumlich getrennt (!) vom System verwahrt werden.
TIPP 3: USB-Sticks beispielsweise mit Kundendateien stets in einer isolierten Umgebung öffnen. Aktuelle Betriebssysteme haben im Regelfall ein Sicherheitssystem integriert (beispielsweise das Microsoft-Programm „Sandbox“). Ein Virenscanner allein reicht nicht aus.
„Der Feind bin ich“
Firma Z verfährt nach dem Prinzip „Never touch a running System“ – die IT-Architektur ist seit Jahren gewachsen, der Operator ist in die Aufgabe hineingewachsen, aber nicht wirklich auf dem neuesten Stand. Die Kosten für eine Neuaufstellung der IT wurden bislang gescheut, denn es lief ja immer alles.
Jörg Ertel: „In den Augen vieler Unternehmer hat die IT noch nicht die Priorität, die ihr zukommen sollte. Häufig werden nur die Kosten gesehen. Wird das Thema vernachlässigt, droht irgendwann der DatenGau. Unverzichtbar ist zum Beispiel ein gutes Backup-Konzept. Die Datensicherung sollte regelmäßig auf ihre Funktion überprüft und dokumentiert werden – für den Schadensfall. Neue Mitarbeiter müssen detaillierte Infos bekommen, wie sie mit Daten umzugehen haben. Gewachsene Strukturen führen oft dazu, dass viel zu viele User Zugriff auf Daten haben. Wer definiert die Rechte? Wer darf alles im Wlan-Netz angeschlossen sein? 80 Prozent der mittelständischen Unternehmen gewähren zu viele Zugriffsrechte. Manchmal finden wir Benutzer, die schon lange nicht mehr im Unternehmen beschäftigt sind. Niemand hat ihren Account geschlossen, geschweige denn deinstalliert. Es kommt sogar vor, dass Mitarbeiter im Homeoffice die Buchhaltung auf ihren privaten Rechnern erledigen. Wenn Unternehmen hier nachlässig sind, öffnen sie Missbrauch und Cyberattacken Tür und Tor – so werden sie zu ihrem eigenen Feind.“
TIPP 4: Netzwerke sollten unbedingt segmentiert werden. Der Klassiker: die strikte Trennung von Firmen-Wlan und Gast-Wlan.
TIPP5: Mitarbeitern sollten niemals eigenständig Programme aus dem Internet auf ihre Dienstrechner laden können.
„Der Feind von innen“
Firma X, ein IT-Dienstleister und Hardware-Händler aus Norddeutschland, beschäftigt 40 Mitarbeiter. Der größte Kunde wirbt einen Mitarbeiter ab und will die Dienstleistung künftig intern regeln. Die Abgeworbene löscht am letzten Arbeitstag alle Daten seines künftigen Arbeitgebers und zusätzlich das Backup. Seinen Rechner setzt er komplett neu auf. Folge: Firma X hat alle Daten des Hauptkunden verloren.
Jörg Ertel: „Fragen an uns: Können die Daten wieder hergestellt werden? Von welchem Gerät wurde der Löschvorgang ausgelöst? Ziel war es natürlich, den Täter zu überführen. Kurz: Nach gut drei Tagen waren etwa 90 Prozent der Daten wieder da. Wir konnten den Rechner identifizieren und eindeutig zuordnen. Der Auftraggeber erhielt von uns ein gerichtsfestes Gutachten.“
TIPP 1: Wenn Daten gelöscht wurden, muss sofort gehandelt werden. Löschen bedeutet im Grunde nur, dass der Sektor auf dem Speichermedium (Festplatte) zum Überschreiben freigegeben wird. Was als gelöscht markiert ist, kann bei schnellem Handeln dennoch widerhergestellt werden.
