Mit Hirn und Technik gegen Cyberattacken

Der Fall sorgte Anfang Mai für Aufsehen in der Energiewirtschaft: Ein großes Stadtwerk wurde Opfer einer Cyberattacke, weigerte sich, Lösegeld in zweistelliger Millionenhöhe zu bezahlen – und musste hilflos mitansehen, wie mehr als 36.000 Kundendatensätze im Darknet veröffentlicht wurden. Noch sind nicht alle Details bekannt, doch scheint der Auslöser der Misere – wie so oft – ein scheinbar harmloser E-Mail-Anhang gewesen zu sein.   

Die größte Schwachstelle beim Schutz von IT Systemen ist dabei der Mensch: In 94 % der aufgedeckten Cyberangriffe wurde Schadsoftware per E-Mail überbracht, so eine Studie des Kommunikationskonzerns Verizon(1). In 45 % der Fälle war der Dateityp ein Microsoft Office Dokument. Nutzer wurden in mehr als 80 % der Fälle dazu gebracht, persönliche Daten preiszugeben: etwa durch eine gefälschte Aufforderung des Administrators, doch bitte die Login-Daten zu ändern.

Die Bundesregierung will die IT Systeme in Deutschland zu den sichersten der Welt machen, insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) wie etwa der Strom- und Wasserversorgung. Stadtwerke sind in ihrer Rolle als Anlagenbetreiber, Netzbetreiber (Strom und Gas), Smart Meter Gateway Administrator sowie Fernwärme- und Wasserversorger gleich mehrfach von den entsprechenden gesetzlichen Regelungen betroffen.

Um sie zu erfüllen, muss Cyber Security mit all seinen Facetten in den Unternehmen als Bestandteil des Risikomanagements etabliert werden. Traditionelle Ansätze sind zumeist technisch getrieben und fokussieren sich auf Daten, Infrastrukturen, Applikationen, Steuerung und Geschäftsprozesse. In einem ganzheitlichen Ansatz werden die Menschen, das Risikomanagement und die Organisation mit betrachtet.

Die Einführung eines umfassenden Information Security Management System (ISMS) gemäß der Norm ISO/IEC 27001 dürfte, insbesondere für kleinere Stadtwerke, noch Zukunftsmusik sein. Den Einstieg in eine ganzheitliche Herangehensweise kann aber auch schon ein Cyber Security Health Check bieten. Dabei handelt es sich um die vereinfachte Form eines Audits gemäß ISMS ISO/IEC 27001 beziehungsweise BSI-Grundschutz. Mit überschaubarem Aufwand lässt sich der Security-Reifegrad eines Stadtwerks ermitteln und einschätzen, wo noch Sicherheitslücken bestehen.

Sind alle technischen und organisatorischen Lücken gestopft, bleibt noch der Risikofaktor Mensch – und der braucht ein besonderes Vorgehen, nämlich Sensibilisierung und Schulung: So versendet die IT Abteilung von Trianel zur Sensibilisierung der Mitarbeiter zum Beispiel sporadisch simulierte Phishing E-Mails, um deren Reaktion zu testen.

Die gewonnenen Erkenntnisse werden genutzt, um zielgerichtete Schulungs- oder Schutzmaßnahmen zu planen und umzusetzen. Ein wesentliches Element ist bspw. ein verpflichtendes eLearning zum Thema IT Sicherheit.  

Auch wenn BSI-Präsident Arne Schönbohm kürzlich von rund 900 Millionen existierenden Schadprogrammen gesprochen hat, gibt es keinen Grund, vor der Cyber-Bedrohung zu kapitulieren. Denn die Accenture-Studie „Annual State of Cyber Resilience“(2) verzeichnet einen deutlichen Anstieg der vereitelten Angriffe von durchschnittlich 106 in 2017 auf 258 in 2019.

Erfolge verzeichnen insbesondere Unternehmen, in denen die Unternehmensleitung, einem strategischen Risikomanagementansatz folgend, Investitionen in Cyber Security bewertet und priorisiert. Bei der Entwicklung eines solchen Ansatzes gilt es zunächst, den Grad des unternehmerischen Risikos sowie die Eintrittswahrscheinlichkeiten und Schadenshöhen für alle Risikofaktoren festzulegen. Auf dieser Grundlage werden Maßnahmen zur Senkung der Eintrittswahrscheinlichkeiten und Schadenshöhen entwickelt, bewertet und umgesetzt sowie ein Monitoring wichtigster Risiken und Aktivitäten des Unternehmens aufgesetzt.

1)  Verizon 2019: 2019 Data Breach Investigations Report

2)  Accenture 2020: Third Annual State of Cyber Resilience