Bei einem Hackerangriff mit dem Erpressungstrojaner "WannaCry" wurden im Mai mehrere Krankenhäuser in Großbritannien lahmgelegt . Bei der Deutschen Bahn versagten Anzeigetafeln und Fahrkartenautomaten.

Im Juni wurde die Reedereigruppe A.P. Møller-Mærsk von einer anderen Schadsoftware getroffen. Dort fielen ebenfalls Computersysteme teilweise aus. Die Reederei schätzt den Schaden auf 200 bis 300 Millionen Dollar . Auch deutsche Unternehmen wie Beiersdorf waren von den Angriffen betroffen.

Einer Studie des Branchenverbands Bitkom zufolge wurde in den vergangenen zwei Jahren etwas mehr als die Hälfte aller Betriebe in Deutschland durch Cyberangriffe geschädigt. Dabei entstand ein Schaden von rund 55 Milliarden Euro jährlich . Allerdings ist von einer hohen Dunkelziffer an Vorfällen auszugehen, die nicht angezeigt wurden.

Diese Beispiele zeigen, welchen akuten Bedrohungen Unternehmen weltweit ständig ausgesetzt sind. Dabei kann es kritische Infrastruktur wie Krankenhäuser genauso treffen, wie global agierende Großkonzerne. Um so wichtiger ist es gerade auch für kleine und mittlere Unternehmen, auf Hackerangriffe vorbereitet zu sein. Laut TÜV sind nur drei von Hundert deutschen Unternehmen ausreichend vor derartigen Attacken geschützt.

Lesen Sie auch: So arbeitet die Hackergruppe Lazarus"IT-Sicherheit muss als Teil des normalen Risikomanagements betrachtet werden", sagt Thomas Hemker vom IT-Sicherheitsanbieter Symantec. Unternehmen sollten daher unbedingt ein Sicherheitskonzept erstellen.

Dabei ist es wichtig, zunächst einen Verantwortlichen für die Datensicherheit zu benennen. Zu dem Konzept gehören außerdem ein Risikoprofil sowie ein Überblick über angemessene Sicherheitsmaßnahmen. Unternehmen sollten zudem Pläne für den Notfall machen. Desweiteren sollten sie den Einsatz von Verschlüsselung regeln. Ein wichtiger Faktor ist auch die Sensibilisierung von Mitarbeitern für Datenschutz und Gefahren aus dem Netz. Im Folgenden liefert manager-magazin.de eine Übersicht über die Grundregeln, die kleine und mittlere Unternehmen beachten sollten.

Datenschutz-Grundverordnung

Ab Mai kommenden Jahres muss die Europäische Datenschutz-Grundverordnung (DS GVO) angewandt werden. Sie erweitert das europäische Datenschutzrecht und soll den Schutz personenbezogener Daten gewährleisten. In der Verordnung werden unter anderem die Rechtsgrundlagen der Datenverarbeitung geregelt. Darin sind die Pflichten der Verantwortlichen und die Rechte der Betroffenen dargelegt. Bei Verletzung drohen hohe Bußgelder.

Künftig müssen Kunden beispielsweise von Anfang an detailliert darüber informiert werden, dass ihre Daten verarbeitet und dokumentiert werden. Die Kunden müssen dem ausdrücklich zustimmen. Unternehmen müssen einen Datenschutzbeauftragten benennen. Bei mehr als 250 Mitarbeitern oder Unternehmen, die mit sensiblen Daten umgehen, gelten zudem strenge Dokumentationspflichten. Hinzu kommen weitere Punkte:

• Unternehmen müssen künftig den Diebstahl von Daten innerhalb von 72 Stunden melden
• Unternehmen müssen Betroffene informieren, deren persönliche Daten gestohlen wurden
• Personen bekommen ein größeres Recht auf Zugang zu ihren persönlichen Daten
• Das individuelle Recht auf Vergessen wird besser umgesetzt
• Der Zugriff auf Daten ohne Einverständnis wird durch beschränkte Kundenprofile verhindert.

"Informationssicherheit ist letztlich das Werkzeug, um die Anforderungen der DS GVO zu erfüllen", sagt Hemker von Symantec. Dazu müssten Richtlinien für den Schutz personenbezogener Daten erstellt und überprüft werden. Das gleiche gelte für geistiges Eigentum.

Passwortschutz

Unternehmen sollten Mitarbeiterrichtlinien zum Passwortschutz erarbeiten. Der IT-Beauftragte muss sicherstellen, dass alle Mitarbeiter für ihre Rechner und eventuell datenkritische Anwendungen Passwörter einrichten. Neben den Zugängen zu Computer und Software müssen auch sämtliche Datenbestände verschlüsselt und sicher aufbewahrt werden.

Sichere Passwörter haben mindestens acht Buchstaben - allerdings gilt hier, je länger desto besser. Zudem sollte unbedingt die Zahl der möglichen Eingabeversuche reduziert werden. Bei drei fehlgeschlagenen Versuchen sollte zumindest eine zeitliche Sperre des Accounts eingerichtet werden.

Die frühere Empfehlung, dass Mitarbeiter ihre Passwörter regelmäßig ändern, ist unter Experten schon länger umstritten. Das National Institute of Standards and Technology (NIST) hat inzwischen seine Regeln für sichere Passwörter  dahingehend angepasst. Denn wenn Nutzer ihre Passwörter willkürlich nach einer gewissen Zeit ändern müssen, nutzen sie meist nur leicht modifizierte Versionen, die ebenso einfach geknackt werden konnten.

Auch die Nutzung von Sonderzeichen, Groß- und Kleinschreibung und Zahlen haben keine oder nur wenig zusätzliche Sicherheit gebracht. Stattdessen empfiehlt das NIST Passwortsätze mit sprachlichen Abwandlungen, die weder in Passwortlisten noch in Büchern vorkommen.

Regelmäßige Updates

Die Sicherheitsbeauftragten müssen dafür sorgen, dass kritische Updates auf allen Systemen regelmäßig und zeitnah eingespielt werden. Schwachstellen müssten so schnell wie möglich behoben werden, damit sie nicht durch interne oder externe Angreifer ausgenutzt werden können, rät das Bundesamt für Sicherheit in der Informationstechnik  (BSI).

Dies sei besonders bei mit dem Internet verbundenen Systemen wichtig. Die Systemadministratoren sollten sich daher regelmäßig über bekannt gewordene Schwachstellen informieren.

Dabei dürfen die Updates wie jede andere Software nur aus vertrauenswürdigen Quellen stammen. Sie sollten vor dem Aufspielen mit Virenschutzprogrammen geprüft werden. Das BSI rät auch dazu, Updates vor dem Einspielen zu testen, um mögliche Konflikte zu vermeiden. So genanntes Patch-Management könne über eine zentrale Managementlösung einfach und automatisiert realisiert werden, empfiehlt der IT-Sicherheitsdienstleister Kaspersky Lab.

Vor der Installation eines Patches müssen zudem alle Daten gesichert werden, um den Originalzustand wiederherzustellen. Wichtig sei auch eine lückenlose Dokumentation, wann, von wem und zu welchem Anlass ein Update eingespielt wurde.

Datensicherungs-Konzept

Die "Wannacry"-Attacke hat es vielen Betroffenen schmerzhaft in Erinnerung gebracht: Ist keine aktuelle Sicherung der Daten vorhanden, werden Nutzer leicht erpressbar. Die Schadsoftware hat Dateien auf infizierten Systemen verschlüsselt. Die Angreifer wollten so ein Lösegeld erpressen.

Jede Firma sollte daher über ein ausgefeiltes Datensicherungskonzept verfügen und dieses auch umsetzen, rät das BSI. Dabei sollten die Daten immer Offline gespeichert werden. Viele Ransomware-Varianten greifen auch Online-Backups wie NAS-Systeme an.

Zu einem Datensicherungskonzept gehören laut BSI auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten. Neben einer regelmäßigen Datensicherung sollte daher auch zumindest einmal sichergestellt werden, dass eine vollständige Datenrekonstruktion möglich ist.

Mitarbeiterschulung

Laut einer weltweiten Studie des IT-Sicherheitsdienstleisters Kaspersky Lab  werden 46 Prozent aller Cybersicherheitsvorfälle von Mitarbeitern verursacht. Daher müsse auch bei kleineren Unternehmen neben den technischen Lösungen die Schulung von Mitarbeitern vom Geschäftsführer bis zur Sekretärin eine Rolle innerhalb der Cybersicherheitsstrategie der Firma spielen, rät das Unternehmen.

Das BSI empfiehlt, alle neuen Mitarbeiter gründlich in die Benutzung der Systeme und Anwendungen einzuweisen. Dazu gehört eine Sensibilisierung für alle relevanten Sicherheitsmaßnahmen .

Aber auch alle anderen Mitarbeiter sollten regelmäßig geschult werden. Wichtig sei es, ein Sicherheitsbewusstsein aufzubauen, um die Mitarbeiter auf potenzielle Gefahren aufmerksam zu machen, heißt es beim BSI.

Risiko "Social Engineering"

Dabei geht es nicht nur um Richtlinien für sichere Passwörter. Die Mitarbeiter sollten auch über andere möglichen Risiken aufgeklärt werden. So werden regelmäßig Unternehmen Opfer so genannter "Social Engineering"- Angriffe. Dabei erschleichen sich Kriminelle das Vertrauen von Angestellten, um Informationen zu gewinnen.

Bei der sogenannten "Chef-Masche", täuschen die Angreifer dann beispielsweise in der Finanzbuchhaltung vor, als Mitglied der Führungsebene dringend einen hohen Geldbetrag zu benötigen. Diese Attacken sind sehr raffiniert vorbereitet und setzen die Angestellten unter massiven Druck.

Angestellte müssen daher wissen, wie sie in sicherheitskritischen Situationen adäquat reagieren sollten. "Eine angemessene Informationssicherheit sollte von allen Mitarbeitern als selbstverständlicher Teil ihrer Arbeitsumgebung verinnerlicht werden", schreibt das BSI.

Schutz vor externen Angriffen

Mit einfachen Sicherheitslösungen wie Firewalls und Schutzsoftware lässt sich der Schutz vor Würmern und Trojaner erhöhen. Alle großen IT-Sicherheitsdienstleister bieten hier Anwendungen für jeden Bedarf. Auch spezielle Anforderungen können dabei berücksichtigt werden.

"Auf Clients und Servern, wo viele Dateien verarbeitet werden und viele Nutzer tätig sind, sind solche Anwendungen noch wichtiger als früher", sagt Hemker von Symantec. Die angebotenen Lösungen müssten hier auf dem aktuellen Stand der Technik sein. Kritische Systeme in der Produktion sollten gehärtet sein, sagt Hemker weiter.

"Unternehmen benötigen mehrschichtigen Schutz für alle Endpunkte und Plattformen. Nicht nur für Windows-PC, sondern auch für Server, Macs und alle mobilen Geräte", heißt es bei Kaspersky. Speziallösungen könnten sensitive Bereiche wie Webauftritt, Bezahl-Möglichkeiten oder einen Webshop vor DDoS-Attacken und Finanzbetrug schützen.

Externer Support

Unternehmen, die beim Thema Datensicherheit an ihre Kapazitätsgrenzen stoßen, sollten außerdem erwägen, externe Experten zu beauftragen. Diese könnten Angriffe aufspüren und mögliche Schäden beseitigen, rät Hemker von Symantec. Auch dazu gibt es diverse Angebote verschiedener Hersteller, beispielsweise als Software-as-a-Service.

Bei IT-Infrastruktur die ein Unternehmen selber betreibt, empfehle sich eine Art externer Wachschutz, der rund um die Uhr das System überwacht. Auch bei der Aufarbeitung und Schadensreduzierung bei erfolgten Angriffen sei das Hinzuziehen von Experten, die sich mit derartigen Vorfällen sehr gut auskennen, ratsam.