Wenn Kundendaten zum Angriffsziel werden - GOLFCLUBS - LUKRATIVES ZIEL FÜR CYBER-KRIMINELLE - PC CADDIE
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
24 MANAGEMENT
GOLFCLUBS – LUKRATIVES ZIEL FÜR CYBER-KRIMINELLE
Wenn Kundendaten
zum Angriffsziel werden
Bild: © New Africa/shutterstock.com
D ie zunehmende Digitalisierung
sorgt unausweichlich für mehr
Daten auf den Servern der Golfanla-
Was wäre, wenn durch einen Daten-
verlust plötzlich alle Informationen
und Systeme nicht mehr zur Verfü-
Ihr IT-Dienstleister unternommen
haben, um einen Verlust der Daten
bzw. einen nicht berechtigten Zugriff
gen. Zahlreichere Bilder der Anlage, gung stehen? auf die Daten auszuschließen.
Events oder Sponsoren bzw. die vie-
len Listen, Statistiken, Auswertungen „Desaster Recovery“ – Bei der Planung von notwendigen
oder Dokumente – alles wird gespei- gibt es einen Notfallplan? Maßnahmen stellt sich bei den ent-
chert. stehenden Kosten immer eine Frage:
Was tun Sie, wenn Ihre IT-Systeme Was kostet mich eine Stunde/Tag
Viele Anlagen haben zwischenzeit- nicht mehr verfügbar sind? Haben Sie Ausfall des Systems – und wie lange
lich begonnen, kundenrelevante zusammen mit ihrem IT-Verantwortli- kann ich so einen Ausfall verkraften?
Dokumente und Daten in einem chen einen Plan, wie Sie sicherstellen, Reicht es also, bei einem Ausfall des
CRM-System (Customer Relationship dass die Daten im Fall der Fälle wie- Systems am Freitag um 19 Uhr, wenn
Management) zu verwalten, um auf der verfügbar gemacht werden kön- der Techniker am Montagmorgen
die Informationen schnell und kom- nen? Spätestens mit der Einführung erscheint? Je nach Antwort braucht
fortabel zugreifen zu können. Die der DSGVO sind Sie im Rahmen der man also Lösungsansätze, die zu-
Verfügbarkeit der IT-Systeme spielt vorgeschriebenen technischen und mindest ein Basissystem möglichst
im Golfsport eine immer größere Rolle, organisatorischen Maßnahmen1 dazu schnell wieder zur Verfügung stellen.
daher muss sich das Management verpflichtet, sich mit diesem Szenario Die klassischen Sicherungsmethoden
der Anlagen mit einem (nicht gerne) zu beschäftigen und schriftlich zu fi- kommen bei der immer komplexer
denkbaren Szenario beschäftigen: xieren, welche Maßnahmen Sie bzw. werdenden Anzahl von Angriffen
1 Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO
golfmanager 4/ 2021
MANAGEMENT 25
Zum einen wird verstärkt versucht,
sog. „Zero-Day-Attacken“ (Angriffe
auf fehlerhaften Programmcode, noch
bevor der Hersteller den Fehler behe-
ben konnte) durchzuführen oder die
Malware so häufig zu verändern, dass
die Signaturen mit der Aktualisierung
der Beschreibungen nicht mithalten
können.
Moderne Lösungen setzen dabei auf
einen anderen Ansatz: Sie beobach- Axel Heck
ten das Verhalten einer Anwendung Geschäftsführer PC CADDIE://online
und verhindern deren Ausführung,
wenn diese sich unangemessen ver-
hält. Diese Methode nennt man
NGAV (Next Generation Anti Virus). Verschlüsselungsangriff noch
Vorteil dieser Methode ist vor allem, immer nicht in der Lage, seine Sys-
dass es keiner aktualisierten Signatu- teme in vollem Umfang wieder in
ren bedarf und auch der Ressourcen- Betrieb zu nehmen.4
verbrauch dieser Lösungen auf dem
Computer sehr viel geringer als beim • Durch einen Angriff auf den Soft-
Vergleich mit Millionen von Signatu- warehersteller Kaseya haben Kri-
ren ist. Zusammen mit einer dauerhaf- minelle ihre Verschlüsselungstools
ten Verhaltensüberwachung kurz EDR bei mehr als 1.500 Unternehmen
(Endpoint Detection und Response) schnell und wirkungsvoll vertei-
kann so ein unberechtigter Zugriff auf len können. Die Forderungen der
Dateien und Netzwerk unterbunden Erpresser für einen „General-
werden. Für alle PC CADDIE://on- schlüssel“ lagen am Anfang bei 60
line-Cloud bzw. Netwatch-Kunden ist Millionen Euro5.
z.B. das Tool „FortiEDR“2 auf allen be-
treuten Servern im Einsatz, das diese Auch einige Golfanlagen wurden in
beiden Technologien miteinander den letzten Monaten Opfer solcher
kombiniert. Attacken aus dem Internet. Dabei
wurden entweder die vorhandenen
immer mehr an ihre Grenzen, so dass Cybercrime im Golfbusiness? Daten verschlüsselt oder personen-
ein Konzept unter Berücksichtigung bezogene Daten (z.B. Mitgliederin-
aktueller Cyberbedrohungen wichtig Welcher Schaden durch einen Da- formationen) gestohlen und mit der
ist. tenverlust entstehen kann, lesen wir Veröffentlichung der Daten gedroht.
immer häufiger in der Presse: Problematisch wird eine Verschlüs-
Moderne Malware bringt Anti- selung der Daten immer dann, wenn
Viren-Lösungen an ihre Grenzen • Eines der größten Industrieunter- über einen längeren Zeitraum keine
nehmen in Österreich hat 4 Millio- aktuelle Datensicherung verfügbar
Ein „klassischer“ Virenscanner ba- nen Euro an Lösegeld bezahlt, um ist. Stellen Sie sich z.B. ein Kunden-
siert darauf, dass mehrmals täglich die Funktionalität der IT-Systeme konto vor, auf dem Ihre Mitglieder
sog. „Signatur-Informationen“ vom wiederherzustellen, weil dies aus und Gäste Leistungen der Golfanlage
Hersteller der Virenschutzsoftware den bestehenden Sicherungen konsumieren können (Restaurant,
aktualisiert werden. Der Virenscanner nicht möglich war und der abzu- Ballautomaten, Shop etc.). Schon
kann dann aufgerufene Prozesse mit sehende Schaden noch viel größer nach wenigen Tagen ist die Chance
diesen Signaturen vergleichen und eingeschätzt wurde.3 alle Buchungen zu rekonstruieren
ggf. stoppen, wenn diese als bösar- und somit den richtigen Kontostand
tig eingestuft werden. Genau an die- • Der Landkreis Anhalt-Bitterfeld ist der Kunden wiederherzustellen, fast
ser Stelle setzen die Kriminellen an: auch einige Wochen nach einem unmöglich.
2 Schutz und Response-Maßnahmen für Endgeräte mit FortiEDR von Fortinet
3 https://futurezone.at/amp/b2b/ransomware-oesterreichische-firma-zahlte-4-millionen-loesegeld/400699662
4 Hackerangriff: Erste Cyber-Katastrophenfall in Deutschland (handelsblatt.com)
5 Kaseya-Ransomware-Angriff: Rund 1500 Unternehmen betroffen | ZDNet.de
Gehen Sie mit uns online – gmgk-online.de 4/ 2021 golfmanager
26 MANAGEMENT
Kommt es zu einer Erpressung, sind
die Forderungen der Kriminellen auf Fünf Tipps für den „Fall der Fälle“ (Verdacht auf Cyberangriff)
den ersten Blick zwar schmerzhaft,
aber im Vergleich zum ggf. entste- Trennen Sie Ihr Netzwerk vom Internet schutzbehörden bzw. die Betroffenen
henden Schaden noch überschaubar und auch die einzelnen Rechner/Server Kunden in den vorgegebenen gesetzli-
vom Netzwerk, um eine weitere Verbrei- chen Fristen erledigen kann.
(beim Crypto-Trojaner SODIBIKI lag
tung des „Schädlings“ zu vermeiden.
diese z.B. bei 7.500 Euro). Das Prob- Prüfen Sie vorhandene Sicherungen vor
lem ist jedoch, dass mit der Zahlung Nehmen Sie eine Analyse des Angriffs und einem Zurückspielen, denn ggf. befindet
dieser Forderung (natürlich anonym der entstandenen Schäden zusammen mit sich auch dort schon ein Schadcode, der
in Bitcoin) der Erpresser auf das In- Ihrem zuständigen IT-Experten vor und er- dann wieder aktiv werden könnte.
mitteln Sie auch, ob ggf. personenbezo-
teresse an den verschlüsselten Daten gene Daten von dem Vorfall betroffen sein Zahlen Sie kein Lösegeld an Cyberkri-
hingewiesen wird. So erhält man können. minelle – auch wenn es ob der ggf. ver-
dann auch gerne einmal nach der ge- lorenen Daten „wirtschaftlich sinnvoll“
leisteten Zahlung über die geforderte Informieren Sie Ihren zuständigen Daten- erscheint. Informieren Sie die zuständige
schutzbeauftragten schnellstmöglich über Kriminalpolizei über den Vorfall, sofern
Summe den Hinweis, dass die Anzah-
den Vorfall, so dass dieser die eventuell hier ein krimineller Hintergrund vermutet
lung eingegangen sei und man nun notwendigen Meldungen an die Daten- wird.
gerne nochmals einen hohen fünfstel-
ligen Betrag nachzahlen darf, damit
die Entschlüsselung auch stattfinden cher, dass das Medium, das im Tresor Nachteil einer hybriden Sicherung
kann. Eine Chance auf die Rückab- der Bank liegt, im Fall der Fälle auch sind zusätzliche einmalige und mo-
wicklung der Zahlung oder eine wirklich verwertbare Daten für die natliche Kosten. Hier bleibt nur eine
Nachverfolgung gibt es nicht, daher Rücksicherung enthält. Uns ist der klare Abwägung von Risiko und po-
empfehlen alle Sicherheitsexper- Fall einer Golfanlage in der Schweiz tenziell verlorenen Daten. Die zusätz-
ten und das Bundeskriminalamt von bekannt, in der die Mitarbeiter Woche lichen Kosten für die Datensicherung
der Zahlung – egal welcher Summe für Woche ein Sicherungsmedium in muss man in dem Fall als eine Art
– einer Lösegeldsumme abzusehen. den Banktresor getragen haben und „Versicherungsgebühr“ ansetzen und
Dass diese Art von Business funktio- erst nach 14 Monaten fiel auf, dass der dann entscheiden, ob man diese Ver-
niert, zeigen die geschätzten Zahlen Sicherungsdienst, der die Daten täg- sicherung braucht. Ergänzend bietet
von gezahltem Lösegeld, das sich im lich auf das Medium kopieren sollte, die Versicherungsbranche auch „Cy-
dreistelligen Millionenbereich befin- nach einem Windows-Update gar berschutzversicherungen“ an, die als
det. Wie viele dieser Zahlungen „er- nicht mehr gestartet werden konnte. Teil des Risikomanagements Unter-
folgreich“ in einer Entschlüsselung Auf manch anderen Anlagen klappt nehmen gegen existenzgefährdende
endeten, weiß dabei niemand. zwar die Sicherung auf ein externes Folgen eines Cyber-Vorfalls wie bei-
Medium, aber irgendwie vergessen spielsweise Datenverlust und Daten-
die Mitarbeiter dann doch dieses Me- schutzverletzung absichern sollen.
Backup – Am besten dium „in Sicherheit“ zu bringen. Auf Schutz bietet eine Cyberversicherung
ohne Risikofaktor Mensch den „Faktor Mensch“ sollte bei dieser jedoch nur in finanzieller Hinsicht.
wichtigen Aufgabe möglichst verzich- Verlorene und/oder verschlüsselte
Eine Sicherung in mehreren Gene- tet werden. Daten kann auch eine Versicherung
rationen6 inkl. Auslagerung an einen nicht wieder zurückbringen und von
externen Ort galt in der Vergangen- Daher ist heutzutage eine sog. Hybri- Ihren Pflichten im Sinne von Datensi-
heit als eine „sichere Sache“. Wäh- den-Datensicherung anzuraten. Diese cherung und Datenschutz entbindet
rend eine räumliche Trennung der besteht aus einer lokalen Sicherung eine solche Versicherung auch nicht.
Sicherung (z.B. in einem anderen Ge- (am besten auch in einem getrennten Daher ist auch hier eine Abwägung
bäude) in vielen Golfanlagen machbar Gebäude), um im Fall der Fälle schnell von Kosten und Nutzen individuell
ist, bleibt das Thema der Auslagerung eine Rücksicherung der Daten durch- von der Golfanlage vorzunehmen.
der Daten. Einige Golfanlagen tragen führen zu können. Parallel dazu sichert
die Sicherungsmedien im täglichen, man die Daten zusätzlich in der Cloud, Alternative „komplettes
wöchentlichen oder monatlichen um im Falle eines Verschlüsselungsan- Arbeiten in der Cloud“
Rhythmus in einen Tresor einer Bank griffs oder defekten Sicherungsmedi-
oder mit nach Hause zu einem Mitar- ums ebenfalls Zugriff auf die Daten zu Immer mehr Anlagen verlegen ihren
beiter aus dem Sekretariat (was der haben. Der Nachteil der Cloud ist der Server und somit ihre Daten komplett
Datenschutzbeauftragte dann nicht langsamere Zugriff auf die Datensiche- in die Cloud. Vorteil ist dabei, dass das
so gerne sieht). Das „Problem“ einer rung, denn diese müssen ja dann erst gesamte Datensicherungsproblem ge-
solchen Sicherung ist immer, die Va- einmal wieder alle aus der Cloud über löst ist. Nachteil ist die komplette Ab-
lidierung der Sicherung. Wer ist si- das Internet zurückgespielt werden. hängigkeit vom Internet – denn ohne
6 https://de.wikipedia.org/wiki/Generationenprinzip
golfmanager 4/ 2021MANAGEMENT 27
Internet gibt es dann auch keinen Zu- Verfügung (Stichwort: NON PROFIT), Konzept Ihrer Golfanlage für den „Fall
griff auf den Server, die Programme so dass auch hier z.B. mit Office 365 der Fälle“. Spielen Sie ggf. auch zu-
und die Daten. Eine „Ausfallsiche- eine zusätzliche Möglichkeit besteht, sammen einmal die Situation durch.
rung“ per Mobilfunk ist leider noch eine zusätzliche Verfügbarkeit der Damit die Funktionalität Ihrer Daten-
nicht bei allen Golfanlagen realisier- Daten in der Cloud zu gewährleisten. sicherung auch langfristig erhalten
bar, so dass diese Lösung leider noch Bei Microsoft stehen beispielsweise bleibt, sollten Sie Ihren IT-Verant-
nicht für alle Anlagen und Standorte jedem zertifizierten NON PRO- wortlichen auch mit einer dauerhaften
verfügbar ist. Gerade wenn Neuinves- FIT-Teilnehmer bis zu 10 kostenlose Prüfung und ggf. auch einem Rücksi-
titionen in Server-Hardware anstehen, Office 365 PREMIUM-Lizenzen kos- cherungsversuch beauftragen und do-
sollten Sie diese Alternative mit Ihrem tenlos (sog. Donation) zur Verfügung. kumentieren lassen.
IT-Betreuer einmal besprechen. Weitergehende Informationen zu den
NON PROFIT-Programmen finden Sie Axel Heck
Einsparpotenziale für Gemein- im Web7.
nützige Gesellschaften/Vereine
Fazit
Für gemeinnützige Vereine und Ge-
sellschaften stellen einige Hersteller Sprechen Sie mit Ihrem IT-Verant-
(u.a. Microsoft) stark vergünstigte wortlichen und ggf. auch mit Ihrem
bzw. teilweise kostenlose Lizenzen zur Datenschützer über das individuelle
7 https://owncloud.pccaddie.net/index.php/s/d0jHZED5UFpiu0p
Gehen Sie mit uns online – gmgk-online.de 4/ 2021 golfmanagerSie können auch lesen
