Cyberrisiken im produzierenden Gewerbe - Report - GDV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesamtverband der Deutschen Versicherungswirtschaft e. V.
Eine Initiative der
deutschen Versicherer.
Report
Cyberrisiken
im produzierenden
Gewerbe
02 Cyberrisiken im produzierenden Gewerbe
Methodik: Das haben wir getestet
Zur Bewertung der Cyberrisiken und der IT-Sicherheit des produzierenden Gewerbes
hat der GDV im Jahr 2020 drei Untersuchungen mittelständischer Unternehmen aus
fünf Branchen durchgeführt:
Kunststoff- Maschinen- Lebens-
Elektro Chemie verarbeitung bau mittel
→ Die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH befragte
aus jeder der fünf Branchen jeweils 100 für die Internetsicherheit zuständigen
Mitarbeiter.
→ Der Hacker und IT-Sicherheitsexperte Michael Wiesner prüfte die technische und
organisatorische IT-Sicherheit von 40 freiwillig teilnehmenden Mittelständlern aus
dem produzierenden Gewerbe, unter anderem griff er die Unternehmen dabei mit
Phishing-Mails an.
→ Die PPI AG analysierte die Sicherheit der IT-Systeme von jeweils rund 500 Unter-
nehmen der genannten Branchen. Dabei erfasst und bewertet sie mit dem Analy-
se-Tool Cysmo alle öffentlich einsehbaren Informationen aus Sicht eines potentiel-
len Angreifers. Zur Analyse gehört außerdem eine Suche nach Unternehmensdaten
im Darknet.
Die Grafiken in diesem Report sind entsprechend gekennzeichnet.
Über die Initiative
Mit der Initiative CyberSicher sensibilisieren die
Versicherer für die Gefahren aus dem Cyberspace und
zeigen, wie sich kleine und mittlere Unternehmen
schützen können. Dabei nimmt die Initiative auch die Eine Initiative der
Cyberrisiken einzelner Branchen unter die Lupe. Deutschen Versicherer.
#cybersicher
Inhalt 03
Cyberrisiken im
produzierenden Gewerbe
1 Die verdrängte Gefahr
Oft im Fadenkreuz, zu selten vorbereitet
Die Folgen eines Cyberangriffs können buchstäblich vernichtend sein -
doch viele Unternehmen wiegen sich in falscher Sicherheit. → Seite 04
Nach der Attacke
Der Unternehmer Gerhard Klein spricht über die Konsequenzen
einer Cyberattacke auf seine Druckerei. → Seite 10
2 Die Sicherheitslücken
Einmal drin, alles hin
Der IT-Sicherheitsexperte Michael Wiesner hat im Auftrag des GDV
40 Unternehmen aus dem produzierenden Gewerbe gehackt.
Die Ergebnisse sind teilweise erschreckend. → Seite 12
Gefährliche Post
E-Mails sind für Hacker die ideale Angriffswaffe -
und die erfolgversprechendste. → Seite 16
3 Der Schutz
Achtung: Dringender Sicherheitshinweis!
Diese drei Tipps sollte jedes Unternehmen beherzigen. → Seite 20
„Ransomware ist derzeit die größte Bedrohung“
Steffen Zimmermann, Leiter des VDMA-Competence Centers
Industrial Security, unterstützt Maschinenbauer bei der
Verbesserung der IT-, Operational Technology- und Product Security. → Seite 23
Selbsttest: Wie gut ist Ihre IT-Sicherheit?
Finden Sie heraus, wo Ihre Schwachstellen sind und wie Sie diese
schließen können. → Seite 24
#cybersicher
04 Die verdrängte Gefahr
Oft im Fadenkreuz,
zu selten vorbereitet
Kleine und mittelständische Unternehmen des produzierenden
Gewerbes gelten oft als Hidden Champions: Egal ob im Maschi-
nenbau, der Elektrotechnik oder im Bereich der Lebensmittel
stellen sie weltweit begehrte Waren her. Dass sie dadurch für
Hacker besonders interessant sind, ist vielen nicht bewusst. Die
Folgen können buchstäblich vernichtend sein.
#cybersicher
Die verdrängte Gefahr 05
E
in Freitag im Mai 2019. Als Nesa Meta sei-
nen Rechner starten will, merkt er, dass etwas
nicht stimmt. „Wir haben die Systeme hoch-
gefahren, dann kam schon die Meldung der Ha-
cker“, erinnert sich der damalige Geschäftsführer
des Schweizer Fensterherstellers Swisswindows.
Die unbekannten Angreifer hatten alle 120 Server
des Unternehmens mit Hilfe eines berüchtigten
Verschlüsselungstrojaners gekapert. „Der Ryuk-
Trojaner hat uns erwischt“, sagt Meta. Und zwar so
richtig. Die rund 170 Mitarbeiter des Mittelständ-
lers können keine E-Mails mehr verschicken, keine
Kundentermine mehr einsehen und die Produktion
liegt brach. Umgerechnet 650.000 Euro in Bitcoins
soll die Firma zahlen, damit die Hacker die Systeme
freigeben.
Doch ein Lösegeld kommt für das Management
nicht in Frage. „Uns war sofort klar, dass wir mit
Tätern nicht verhandeln wollen“, erzählt Meta.
Auch die inzwischen eingeschalteten Sicherheits-
behörden hätten ihnen von einer Lösegeldzahlung
abgeraten, sagt Meta.
Was folgt, ist eine Betriebsunterbrechung von
mehr als einem Monat. Weil auch die Backups fast
vollständig verschlüsselt sind, müssen alle Sys-
teme von Spezialisten neu aufgesetzt werden. Die
Stammdaten sind größtenteils verloren: Kunden-
daten, Maschinendaten, Verträge – all das müssen
die Mitarbeiter aufwendig von Hand neu eingeben.
Doch damit ist der Alptraum nicht zu Ende. Nur
wenige Kunden hätten Verständnis für die dra-
matische Lage gezeigt, berichtet Meta. So gesellen
sich zu den Kosten für die Wiederherstellung der
Systeme und zum Produktionsausfall auch Ver-
tragsstrafen in erheblicher Größenordnung. „Durch
den Angriff ist uns ein millionenschwerer Schaden
entstanden.“ Zu viel für den Mittelständler. „Der
Cyberangriff hat uns die Existenz genommen.“
Rund sieben Monate nach der Attacke meldet das
Unternehmen Konkurs an. →
#cybersicher
06 Die verdrängte Gefahr
Verdrängtes Risiko – Verantwortlichen darauf? Hier spielen vor
das kann teuer werden allem zwei Argumente eine Rolle. Zum einen
Das Beispiel des Schweizer Fensterherstellers meinen die Verantwortlichen, ihre Compu-
ist drastisch – und es macht deutlich, wohin tersysteme umfassend gegen Cyberangriffe
ein erfolgreicher Cyberangriff im schlimmsten geschützt zu haben. Zum anderen halten sich
Fall führen kann. Umso beunruhigender, wie viele für zu klein und unbedeutend, um für
das produzierende Gewerbe in Deutschland Hacker interessant zu sein. Insbesondere die
mit der Bedrohung durch Cyberkriminalität letztgenannte Einschätzung ist für Sicher-
umgeht. Nach einer Forsa-Umfrage im Auftrag heitsexperten bestenfalls leichtsinnig. „Hoch-
des GDV ist sich eine Mehrzahl der kleinen professionelle Angriffe von Cyberkriminellen
und mittelgroßen Unternehmen in diesem mit Ransomware etwa, Verschlüsselung und
Sektor zwar grundsätzlich der Gefahr bewusst, Diebstahl von Daten und Firmengeheimnis-
die von Hackern ausgeht: 56 Prozent schätzen sen und deren Verkauf oder Veröffentlichung
sie als hoch bis sehr hoch ein. Wenn es jedoch sind eine reale Gefahr geworden“, sagt Arne
um den eigenen Betrieb geht, sind viele der Schönbohm, Präsident des Bundesamts für
500 befragten Entscheider aus Maschinen- Sicherheit in der Informationstechnik (BSI).
bau, Elektro-, Chemie-, Lebensmittelindustrie Nach Aussage des BSI, der Cybersicherheits-
sowie der Kunststoffverarbeitung wesentlich behörde des Bundes, werden auch kleine und
zuversichtlicher: Für sich selbst stufen nur mittelständische Unternehmen Opfer von
noch 42 Prozent das Risiko einer Cyberatta- Cyberangriffen. Vor allem dann, wenn sie
cke als sehr hoch beziehungsweise hoch ein über gefragte Alleinstellungsmerkmale im
(siehe Grafik). Markt verfügen – etwa Maschinenbauer, die
Das Risiko ist da, aber mein Unternehmen spezielle Komponenten herstellen. Das belegt
wird es schon nicht treffen. Wie kommen die auch die Forsa-Umfrage: Während jedes vierte
Die Einschätzung des eigenen Risikos wirft Fragen auf
„Ich halte das Risiko von Cyber-
kriminalität für meine Branche 56 %
für hoch oder sehr hoch“
„Ich halte das Risiko von Cyberkri-
minalität für mein eigenes Unter-
nehmen für hoch oder sehr hoch“
42 % ?
Das produzierende Gewerbe ist ein beliebtes Ziel von Cyberkriminellen
Wurde Ihr Unternehmen durch Cyberangriffe geschädigt?
Kunststoff- Maschinen- Lebens- Mittelstand
Elektro Chemie verarbeitung bau mittel Alle Branchen
20 % 30 % 25 % 31 % 23 % 14 %
Quelle: Forsa
#cybersicher
Die verdrängte Gefahr 07
Viele sehen sich gut vorbereitet ... ... sind es aber im Ernstfall nicht
Hat Ihr Unternehmen ausreichende Maßnahmen zum Schutz Haben Sie ein schriftliches Notfallkonzept und/oder eine
gegen Internetkriminalität ergriffen? entsprechende Vereinbarung mit Ihrem IT-Dienstleister?
77 % 21 % Ja 55 % 45 %
Nein
74 % 25 % 63 % 37 %
77 % 20 % 69 % 31 %
71 % 26 % 58 % 42 %
77 % 19 % 54 % 46 %
73 % 24 % 52 % 48 %
Unternehmen mindestens einen Angriff erlebt Hacker zurück. Ein weiteres Indiz dafür, wie
hat, ist es im Maschinenbau und in der Chemi- dynamisch sich die Cyberkriminalität entwi-
eindustrie beinahe jedes dritte (siehe Grafik). ckelt: Das BSI zählt binnen eines Jahres mehr
Der Trugschluss, nicht groß oder spannend als 117 Millionen neue Schadprogramme, das
genug für Hacker zu sein, kann mindestens entspricht rund 320.000 pro Tag.
sehr teuer werden. Dabei muss es nicht so dra-
matisch enden wie im Fall von Swisswindows.
Doch bereits eine Woche Betriebsunterbre- Gut geschützt – IT-Experten
chung kann bei einem produzierenden Mit- sehen das anders
telständler schnell zu finanziellen Schäden in Ist das produzierende Gewerbe angesichts
fünfstelliger Höhe führen – mindestens. Folge dieser wachsenden Bedrohung also wirklich
kosten für die Wiederherstellung der Daten, so gut geschützt, wie die Entscheider meinen?
Rechtsberatung und Krisenkommunikation Drei von vier sind der Auffassung, in ausrei-
hinzugerechnet, kann sich der Schaden leicht chendem Maße in den Schutz vor Internetkri-
verdreifachen. Das Bundeskriminalamt (BKA) minalität investiert zu haben (siehe Grafik).
und der IT-Branchenverband Bitkom beziffern Auch ihre Auskünfte in der Forsa-Studie zu
die Schäden durch Hacker in der deutschen Sicherheitsmaßnahmen (siehe Seite 24 ff.)
Wirtschaft auf hochgerechnet 103 Milliarden legt diesen Schluss zunächst nahe. Demnach
Euro (2019). Gegenüber dem Vorjahr sei dies machen viele Mittelständler vieles richtig: Sie
nahezu eine Verdopplung, schreibt das BKA in vergeben Administratoren-Rechte nur an we-
seinem Lagebild Cybercrime. nige Mitarbeiter, spielen automatisch Sicher-
Auch die Versicherer beobachten einen heitsupdates ein. Sicherungskopien werden
Trend zu höheren Schäden durch Cyberkri- wöchentlich erstellt und ohne Netzzugang
minalität. In einer aktuellen Analyse hat der aufbewahrt, damit sie bei einem Angriff nicht
Industrieversicherer AGCS kürzlich mehr in Mitleidenschaft gezogen werden. Doch nur
als 1.700 Schadenmeldungen bei mehreren eine knappe Mehrheit hat ein schriftliches
Versicherern über einen Zeitraum von fünf Konzept für den Notfall in der Schublade oder
Jahren ausgewertet. Demnach lag der Gesamt- einen externen Dienstleister damit betraut
schaden in der Cyberversicherung zwischen (siehe Grafik). Und bei allen technisch und ad-
2015 und 2020 bei 660 Millionen Euro, mit ministrativ aufwendigen Vorkehrungen – oft
jährlich steigender Tendenz. Der weit über- kommen die Hacker auf den vermeintlich ein-
wiegende Teil (85 Prozent) geht auf kriminelle fachsten Wegen ins System: über E-Mails. →
#cybersicher
08 Die verdrängte Gefahr
Geringe Investitionsbereitschaft in IT-Sicherheit
Werden Sie in den kommenden Auf jeden Fall Wahrscheinlich Eher nicht Bestimmt nicht
zwei Jahren in
weitere
Schutzmaß- 30 % 27 % 22 % 17 %
nahmen gegen
Cyberkriminali- 23 % 27 % 25 % 21 %
tät investieren?
30 % 19 % 28 % 19 %
19 % 27 % 25 % 25 %
26 % 23 % 23 % 22 %
27 % 27 % 24 % 19 %
→ So verschafften sich die Kriminellen IT-Sicherheit in Unternehmen. Sein
mit weitem Abstand am häufigsten über nüchternes Urteil: Die Firmen investieren
das Mailsystem Zugang zu ihren Opfern weder finanziell noch personell merklich
(siehe Seite 16). mehr in Cyberschutz. „Ich sehe keinen
Auch Emotet, für das BSI bis zu ihrer Kulturwandel“, sagt er. Defizite gibt es
Zerstörung Anfang 2021 die gefährlichste vor allem in Sensibilisierung gegen Phis-
Schadsoftware der Welt, fand ihren Weg hing-Angriffe, wie er in einer aktuellen
per Mail in die Firmensysteme. Diese Untersuchung von 40 KMU des produ-
Funktionsweise ist mit Emotet aber zierenden Gewerbes für den GDV (siehe
nicht verschwunden, sondern wird weiter Seite 12) herausgefunden hat. Mit seiner
genutzt: Öffnet der Nutzer die Dateien Phishing-Mail kam er bei jedem zweiten
im Anhang, ist es bereits zu spät: Das Unternehmen an die Zugänge und Pass-
Programm kann weitere Schadsoftware wörter gleich mehrerer Mitarbeiter – in
nachladen und die Angreifer übernehmen einem Unternehmen fielen sogar gleich
die Kontrolle über die infizierten Rech- dutzende Angestellte auf die Mail herein.
ner. Inzwischen nutzen die Kriminellen Hinzu kommen demnach Sicherheitslü-
ihren Zugang nicht mehr nur, um Daten cken in internen IT-Systemen sowie feh-
zu verschlüsseln und Lösegeld dafür zu lendes Informationssicherheits- und Vor-
verlangen, sondern immer häufiger auch fallmanagement. Das durchschnittliche
um interne Informationen zu kopieren Sicherheitsniveau bewertet Wiesner als
und zu stehlen. „Auch für KMU gilt des- unzureichend, das resultierende Risiko,
halb: Voraussetzung einer erfolgreichen Opfer eines Angriffs zu werden, als mittel
Digitalisierung ist die Informationssi- bis hoch. Laut Forsa-Studie will lediglich
cherheit“, mahnt BSI-Chef Schönbohm. jeder zweite Betrieb den IT-Schutz in
Nicht zuletzt deshalb bewerten den kommenden zwei Jahren ausbauen
unabhängige IT-Sicherheitsexperten (siehe Grafik). Für Wiesner ist das ange-
die Bemühungen der Unternehmen, sichts der dynamischen Entwicklung der
sich gegen Cyberangriffe zu schützen, Angriffe zu wenig. „Die Firmen tun das,
als unzureichend. Als Berater und so was absolut notwendig ist – mehr aber
genannter White-Hat-Hacker prüft auch nicht.“ ←
Michael Wiesner seit vielen Jahren die
#cybersicher
Die verdrängte Gefahr 09
Was eine Cyberattacke kosten kann –
und eine Cyberversicherung deckt ( )
Musterszenario Ransomware:
Hacker attackieren mit einem Verschlüsselungs-Trojaner die IT-Systeme eines Maschinenbauers. Sie wollen die gesperrten
Rechner erst wieder freigeben, wenn sie Lösegeld bekommen.
1 Angriff 3 Betriebsunterbrechung 5 Vertrauenskrise
Sämtliche Rechner und die Bis die Systeme wieder laufen, Der bisher tadellose Ruf des Unter
vernetzten Produktions- kann das Unternehmen nicht nehmens nimmt in wichtigen Kunden
systeme des Maschinen- produzieren. Die Mitarbeiter branchen Schaden; einige Kunden
bauers sind ohne Funktion. aus Fertigung und Verwaltung wenden sich vom Unternehmen ab,
Auf den Bildschirmen bleiben zuhause. der Umsatz sinkt spürbar.
der Steuerungsrechner
Kosten für 5 Tage Betriebs Krisenkommunikation:
erscheint lediglich eine
unterbrechung: 45.000 Euro 30.000 Euro
Nachricht der Erpresser.
Der Umsatzrückgang ist nicht gedeckt.
1 2 3 4 5
2 IT-Forensik und Datenwiederherstellung 4 Information von Kunden und
Vertragspartnern
Nach Rücksprache mit Polizei und Staats-
anwaltschaft zahlt das Unternehmen kein Die IT-Forensiker können nicht ausschließen,
Lösegeld. IT-Spezialisten arbeiten mehrere dass Daten nicht nur gesperrt, sondern
Tage daran, den Trojaner von sämtlichen auch entwendet wurden. In diesem Fall
Systemen zu entfernen; anschließend wären auch Betriebsgeheimnisse von
müssen sie alle Daten aus den Backups Vertragspartnern betroffen, die vorsorglich
wiederherstellen. informiert werden müssen.
Kosten für IT-Forensik und Datenwieder- Informationskosten und Rechts
herstellung: 40.000 Euro beratung: 20.000 Euro
#cybersicher
10 Interview
→Eine Cyberpolice ist
dringend notwendig←
G
erhard Klein führt eine Druckerei in Saarbrücken.
Im Herbst 2018 wird sein Unternehmen zum Ziel
einer Ransomware-Attacke. Er zahlt 3.500 Euro
an die Erpresser – als diese mehr Geld wollen, ändern
Klein und sein Team die Taktik. Statt zu zahlen, versu-
chen Spezialisten gesperrte Daten wiederherzustellen.
Wochenlang haben die Beschäftigten damit zu tun,
verlorene Kundendaten, Rechnungen und auch die
Lohnbuchhaltung wieder in den Griff zu bekommen.
Klein schaltet die Polizei ein und macht den Hacker-
angriff auf sein Unternehmen öffentlich. Zahlreiche
Medien berichteten vom Schadensfall bei dem Mittel- Das ist ja
ständler. Gerade dieser offene Umgang ist ungewöhn- vorbildlich.
lich – viele Betroffene scheuen aus Sorge um den Ruf Führen Sie das
ihrer Firma davor zurück. Für Klein und sein Team ist der auf den Schock
Schritt an die Öffentlichkeit bis heute richtig. Denn statt damals zurück oder
Häme erfuhren sie Verständnis. Statt Kritik an mangel- schulen Sie Ihre Beschäftig-
hafter Cybersicherheit gab es aufmunternden Zuspruch. ten einfach häufiger?
Nach dem Schock und dem Schaden von rund Wer einen solchen Angriff und die Folgen einmal
70.000 Euro rüstete Klein bei der Computersicherheit miterlebt hat, ob nun als Mitarbeiter oder als Firmen-
systematisch auf. Ein wichtiger Aspekt für ihn dabei: Das chef, verfällt danach nicht wieder in Routine. Das ist, um
Team muss mitmachen. Denn alle technische Finesse es noch mal ganz deutlich zu sagen, ein dramatisches
nützt nichts, wenn die Beschäftigten sie im Alltag nicht Ereignis. Insofern resultiert das beschriebene Verhalten
zu nutzen wissen. sicher zu 80 Prozent aus dem heilsamen Schock von da-
Und heute? Lässt die Wachsamkeit nach? Schleichen mals. Und ansonsten schulen wir stetig im Berufsalltag:
sich Nachlässigkeiten ein? Wie gehe ich mit Mails um? Wenn ich mir nicht sicher
bin, wo eine Mail herkommt, wenn der Betreff seltsam
aussieht, wenn mich irgendetwas stört, wird gelöscht.
Herr Klein, inzwischen ist der Hackerangriff auf Ihr Das ist die Vorgabe.
Unternehmen zwei Jahre her. Was ist von dem Schreck
damals geblieben? Finden Sie das nicht übervorsichtig?
Wir sind heute natürlich wieder deutlich entspannter Nein, das ist nicht übervorsichtig. Vor kurzem habe ich
als in den ersten Monaten nach dem Angriff. Aber die selbst eine Mail gelöscht, die mir verdächtig vorkam,
Mitarbeiter sind dennoch sehr, sehr aufmerksam. Ein weil sie keinen Betreff hatte. Hinterher stellte sich he-
Beispiel: Ich habe immer noch sehr engen Kontakt zur raus, sie war von einem Kunden. Gut, dann muss man
Kriminalpolizei, die sich mit Cyberattacken beschäftigt. eben telefonieren und der Kunde muss die Mail nochmal
Da bekommen wir auch regelmäßig Warnungen über schicken. Aber es ist kein Grund für uns, unser Verhalten
neue Bedrohungen, die ich an meine Mitarbeiter wei- zu ändern. Sicherheit geht hier ganz klar vor.
terleite. Und genauso regelmäßig fragen einige extra bei
mir nach, ob diese Mail tatsächlich von mir kommt und Wie reagieren Kunden in einem solchen Fall?
ob sie das darin enthaltene Dokument wirklich öffnen Ich habe bisher noch keinen Kunden erlebt, der das nicht
dürfen. verstanden hat.
#cybersicherInterview 11
Zur Person
Gerhard Klein ist Geschäftsführer der Braun und Klein Siebdruck GmbH. Die digitale Welt ist
ihm nicht fremd. Noch aus dem Informatik-Studium ist ihm die Sache mit den Einsen und
den Nullen wohl vertraut. Und später im Beruf: Wohl kaum eine andere Branche hat sich
durch die Digitalisierung so früh und nachhaltig verändert wie die Druckindustrie.
Apropos Kunden: Sie sind Firma und in die Geschäftsführung behalten. Das heißt,
damals sehr offen mit dem ich erkläre meine Entscheidungen heute ausführlicher
Angriff umgegangen, als früher.
haben Interviews gegeben,
Vorträge gehalten. Haben Der Hackerangriff erwischte Sie damals in einer Phase,
Sie langfristig negative in der Sie noch keine Cyberversicherung hatten.
Reaktionen von Kunden Wir hatten damals bereits ein Angebot vorliegen und
erfahren? dann kam der Angriff. Heute muss man sagen: Die Police
Nein, wir haben bis heute kei- hätte uns ohnehin nicht viel geholfen, weil dort Schäden
ne negativen Erfahrungen ge- bis maximal 50.000 Euro abgedeckt gewesen wären. Mit
macht. Die Menschen reagieren dem Wissen von heute ist das natürlich viel zu wenig.
positiv, nach dem Motto: Wenn ein
Unternehmen offen mit einem solchen Eine Cyberversicherung hilft also nicht?
Angriff umgeht, wird es diese Situation Doch, natürlich. Nach der Erfahrung, die wir damals mit
meistern. Die Kunden haben uns von Anfang der Ransomware-Attacke machen mussten, kann ich
an Vertrauen entgegengebracht. Unternehmen nur dringend empfehlen, sich mit einer
solchen Police zu beschäftigen. Das ist wie eine Elemen-
Führen Sie heute regelmäßig Schulungen Ihrer Mitar- tarschadenversicherung fürs Haus – aus meiner Sicht
beiter durch? unbedingt notwendig. Das Thema Cyberversicherung
Schulungen in Form von Seminaren oder Veranstaltun- sind wir angegangen, sobald wir nach dem Angriff wie-
gen führen wir nicht durch. Unser Betrieb hat 27 Leute der einen klaren Kopf hatten. Inzwischen haben wir eine
und nur etwa die Hälfte arbeitet mit dem Internet. Aber: passende Versicherung gefunden und abgeschlossen.
Wir sprechen unsere Mitarbeiter im Arbeitsalltag immer
wieder auf das Thema IT-Sicherheit an und sensibilisie- Und die Deckungssumme reicht?
ren sie dafür, wie wichtig das ist. Die aktuelle Police deckt Schäden bis hin zur Abwicklung
des Unternehmens ab.
Was ist bei Ihnen persönlich vom Angriff geblieben?
In jedem Fall habe ich eine gewisse Stressresistenz ent- Um eine solche Police zu bekommen, müssen Unterneh-
wickelt. Als Unternehmer ist es ja so, dass man eben men ja bestimmten Sicherheitsanforderungen
etwas unternimmt, wenn es ein Problem gibt. Nach der genügen.
Cyberattacke konnte ich aber nichts tun, sondern musste Natürlich konnten wir einen Plan für unsere IT-Sicher-
mich darauf verlassen, dass die Spezialisten das Richtige heit vorlegen, weil wir uns ja gerade ausführlich damit
unternehmen. Ich war also gezwungen, eine größere Ge- auseinandergesetzt hatten. Unternehmen, die noch
lassenheit zu entwickeln. Und mehr zu kommunizieren. nicht so weit sind, bekommen von den Versicherern
Hilfe angeboten, um die Kriterien zu erfüllen.
Die Cyberattacke hat Ihre Art, das Unternehmen zu
leiten, verändert?
Ja. Damals haben wir als Geschäftsführung gelernt,
mehr mit unseren Mitarbeitern zu reden. Kommuni-
kation mit jeder Mitarbeiterin, mit jedem Mitarbeiter
ist gerade in Krisenzeiten ein wichtiges Element. Nur
so kann ich dafür sorgen, dass sie das Vertrauen in die
#cybersicher12 Die Sicherheitslücken
Einmal drin, alles hin
Was passiert, wenn ein Hacker sich kleine und mittelständische Betriebe im produzierenden
Gewerbe vornimmt? IT-Sicherheitsexperte Michael Wiesner hat es ausprobiert.
Die Ergebnisse sind teilweise erschreckend.
W
enn die Maschine die Fertigung aufmerksam zu machen. Für den Gesamtver-
selbst organisiert und intelligente band der Deutschen Versicherungswirtschaft
Roboter Menschen bei der Ferti- hat er 40 kleine und mittelständische Unter-
gung zur Hand gehen, ist das Industrie 4.0. nehmen aus dem produzierenden Gewerbe
Und intelligente Lieferketten, die Material just einem mehrstufigen Stresstest unterzogen.
in time dahin bringen, wo es benötigt wird, „Das Ergebnis war insgesamt nicht schön, aber
sind im produzierenden Gewerbe zunehmend es hat mich auch nicht überrascht“, berichtet
so selbstverständlich wie intelligente Steuer- der IT-Sicherheitsexperte, der seit 25 Jahren
ketten, die wissen, wann sie das nächste Mal im Geschäft ist.
gewartet werden müssen. Doch wie gut sind „Nicht schön“ – das bedeutet im Klartext:
die Maschinendaten vor Hackerangriffen Bei mehr als der Hälfte der Firmen konnten
geschützt? Sind Produktionsbetriebe bei der Wiesner und sein Team die Systeme hacken.
IT-Sicherheit genauso innovativ wie bei der Spielend leicht hätten sie Daten manipulie-
Fertigung? ren und Maschinen übernehmen können. Ein
„Sagen wir es mal so: Die Eigenwahrneh- verheerendes Fazit – vor allem, weil sich die
mung in puncto Informationssicherheit unter- Unternehmen freiwillig für den Test gemeldet
scheidet sich bei sehr vielen Mittelständlern hatten. Sie waren also vorgewarnt und hätten
ganz eklatant von der Realität“, sagt Michael vorbereitet sein können. Dabei verhielten sich
Wiesner. Als so genannter White-Hat-Hacker die IT-Sicherheitsspezialisten wie echte Cyber-
wird er von Unternehmen beauftragt, um in kriminelle, wenn sie es auf ein ganz bestimm-
simulierten Angriffen ihren tatsächlichen tes Ziel abgesehen haben: Sie suchen den
Schutz zu prüfen und auf Sicherheitslücken schnellsten Weg ins Herz der Systeme. Stufe
#cybersicherDie Sicherheitslücken 13
Eins ist zunächst einmal ganz analog. Wie ist
der Eingangsbereich des Unternehmens gesi-
chert? Gibt es dort Möglichkeiten, leicht ins
Netzwerk oder an Passwörter von Angestellten
zu gelangen? In einer zweiten Stufe schick-
ten die Experten Phishing-Mails an die ganze Einfallstore waren überwiegend gut gegen
Belegschaft. Waren sie dann erst einmal in ein Eindringlinge abgeschirmt. Ebenfalls nur ein
System eingedrungen, erfolgte der Angriff auf kleiner Lichtblick: In einigen Unternehmen
alle möglichen Datenbanken und Maschinen- gab es getrennte Kreisläufe für unterschiedlich
steuerungen der Unternehmen. sensible Bereiche. Im Fall eines Hackerangriffs
kann das von existentieller Bedeutung sein.
Gelingt es Cyberkriminellen etwa sich Zugriff
Unternehmen sind Eindringlingen auf den Mailserver zu verschaffen, könnten
schutzlos ausgeliefert sie andernfalls nämlich Maschinen kapern
Die größte Schwachstelle ist noch immer und schlimmstenfalls die Produktion kom-
der Mensch. Allein über Phishing-Mails und plett stoppen. Allerdings: „Die Segmentierung
gefälschte Webseiten gelangte Wiesner an der Sicherheitskreisläufe verbessert sich nur
die Zugangsdaten von 200 Mitarbeiterinnen langsam“, sagt IT-Sicherheitsexperte Wiesner.
und Mitarbeitern aus 19 Firmen. In sieben „Inzwischen sehen wir sie immerhin in 20 bis
weiteren Unternehmen gaben Angestellte 30 Prozent der Unternehmen.“
zwar keine Daten preis – dafür klickten sie
aber Links an, über die echte Cyberkriminel-
le leicht Schadsoftware im Firmensystem Drei zentrale Punkte machen
hätten installieren können. Eigentlich eine Unternehmen schwach
alarmierende Bilanz. Aber: „Dass Phishing so Insgesamt bemängelt Wiesner die Geschwin-
erfolgreich war, hat die wenigsten Unterneh- digkeit, mit der sich der Sinneswandel in den
men überrascht“, berichtet Wiesner von der Unternehmen vollzieht. Für ihn sind es drei
Reaktion der Firmen. zentrale Knackpunkte, die zu den wenig er-
Geschockt zeigten sich einige Firmen freulichen Ergebnissen der Studie führen:
immerhin über das, was dann folgte. „Wenn wir unklare Zuständigkeiten, mangelhafte Risiko-
einmal in ein Netzwerk eingedrungen waren, einschätzung und fehlende Ressourcen. Wenn
konnten wir dort praktisch machen, was wir es darum geht, wer für die Datensicherheit in
wollten“, beschreibt der White-Hat-Hacker. der Produktion zuständig ist, schieben sich
Das heißt: Wenn ein Angreifer einmal drin die Abteilungen nach Erfahrung des Experten
ist, geben die Systeme auch dann keine War- die Verantwortung zu häufig gegenseitig zu.
nung aus, wenn Anomalien auftreten. „Nicht Das liege nicht zuletzt an der zunehmenden
ein Unternehmen verfügte über reaktive Digitalisierung der Produktionsprozesse. IT
Maßnahmen.“ und produktionsnahe Steuerung verschmel-
Angesichts solch eklatanter Sicherheitslü- zen also immer stärker. „In der Praxis führt
cken treten die wenigen positiven Ergebnisse das oft zu einem Kompetenzvakuum“, erläu-
der Untersuchung in den Hintergrund. So tert Wiesner. „Die IT fühlt sich nicht für die
war die „physische Sicherheit“ bei den meis- Maschinensicherheit verantwortlich und die
ten Mittelständlern weitgehend gegeben. operativen Mitarbeiter fühlen sich nicht als
Netzwerk-Stecker in der Lobby oder ähnliche IT-Spezialisten.“ →
#cybersicher14 Die Sicherheitslücken
→ Doch sind es längst nicht die Mitar- beitende. Für Mittelständler mit 200 Beschäf-
beitenden, die mit ihrem Verhalten für die tigten bedeutet das, sie haben 2,2 Angestellte,
in vielen Betrieben noch immer mangelhafte die sich um die gesamten IT-Systeme des
IT-Sicherheit sorgen. „Dem Management Betriebes inklusive des Maschinenparks küm-
fehlt nach wie vor zu häufig die Expertise, mern und alles am Laufen halten müssen – für
um die richtigen Schritte in der IT-Sicherheit Prävention und die ständige Verbesserung der
zu gehen“, urteilt Wiesner. Teils mangele es IT-Sicherheit bleibt dann kaum noch Zeit. Je
bei den Verantwortlichen an Vorstellungs- kleiner das Unternehmen, desto größer übri-
kraft, wie kreativ Cyberkriminelle sind. Und gens das Problem: Ein Drittel der untersuch-
diese Fehleinschätzung bestehender Risiken ten Betriebe beschäftigt gar keine eigenen
hat nach Erfahrung des Experten wiederum IT-Kräfte – alle diese Firmen haben weniger
fatale Folgen für das IT-Budget – personell wie als 100 Mitarbeiter.
finanziell. „Wenn Sicherheitslücken bestehen,
hat das nicht zwingend mit einer mangelnden
Kompetenz der IT-Mitarbeiter zu tun – son- Zu oft steht Sicherheit
dern vielmehr mit fehlendem Personal und nur auf dem Papier
einer zu geringen finanziellen Ausstattung.“ Was können kleine und mittelständische Un-
Bei den untersuchten Unternehmen ternehmen tun, um der wachsenden Gefahr
kommt im Schnitt eine IT-Kraft auf 87 Mitar- durch Cyberangriffe zu begegnen? Sie müs-
„Wenn Sicherheitslücken bestehen, hat das nicht
zwingend mit einer mangelnden Kompetenz
der IT-Mitarbeiter zu tun – sondern vielmehr
mit fehlendem Personal und einer zu geringen
finanziellen Ausstattung.“
Michael Wiesner, IT-Sicherheitsexperte
#cybersicherDie Sicherheitslücken 15
Der Weg ins IT-Netzwerk führt über die Mitarbeiter
So waren die Teilnehmer am IT-Sicherheitscheck gegen die Angriffswege von Cyberkriminellen geschützt
Stufe 0: Stufe 1: Stufe 2: Stufe 3: Stufe 4:
kein Risiko sehr niedriges Risiko mittleres Risiko hohes Risiko sehr hohes Risiko
Angriffsweg 1: 2
Zugriff über
das Internet 11 14 13
Angriffsweg 2: 8 5 3 1
Physischer Zugriff
auf das Netzwerk 23
Angriffsweg 3: 1 9 7
E-Mail-
Phishing* 19
Angriffsweg 4: 5
Zugriff über das
interne Netzwerk 12 23
* Vier Unternehmen haben am Phishing-Test nicht teilgenommen
sen IT-Sicherheit leben – und das bedeutet, Unternehmen ihre Betriebssysteme aktuell
IT-Sicherheit muss Managementaufgabe sein, halten, regelmäßig Sicherheitsupdates ein-
meint White-Hat-Hacker Wiesner. Ein so ge- spielen und eine Zwei-Faktor-Authentifizie-
nanntes Information Security Management rung für ihre Mitarbeitenden einführen“, zählt
System (ISMS) kann hier ein sinnvolles Ins- Wiesner auf. Und auch wenn die finanziellen
trument sein. Ein solches Konzept definiert Mittel gerade in kleineren Produktionsbetrie-
Regeln und Methoden, um die Informati- ben endlich seien, sei IT- und Maschinensi-
onssicherheit in einem Unternehmen zu ge- cherheit gut umsetzbar: „Ein wichtiger Faktor
währleisten. Ganz zentral dabei: Es verfolgt neben mehr Geld und mehr Personal und Kon-
einen Top-Down-Ansatz ausgehend von der zepten wie einem Informationssicherheitsma-
Unternehmensführung. nagementsystem ist: die Kommunikation.“
Ein ISMS nützt allerdings wenig, wenn es Hier sind alle Mitarbeitenden gefragt.
nur auf dem Papier steht, wie auch die aktuelle Regelmäßige Phishing-Kampagnen beispiels-
Untersuchung zeigt. Nach eigenen Angaben weise könnten Belegschaften für die Gefah-
besitzen nämlich sechs der 40 Unternehmen ren, die dort lauern, sensibilisieren. „Und:
Grundzüge eines ISMS, eines betreibt sogar Geschäftsführung und IT-Verantwortliche
ein vollständiges. „Ausgerechnet eines dieser müssen mehr miteinander reden.“ Manage-
Unternehmen war es, in das wir am leichtesten mententscheidungen können nur so gut sein,
eindringen konnten“, sagt Wiesner. wie die Informationen, auf denen sie beruhen.
Ob mit ISMS oder ohne – schon mit eigent- „In zu vielen Unternehmen lebt noch das Kli-
lich selbstverständlichen technischen Maß- schee von den IT-Mitarbeitenden, die im Keller
nahmen lässt sich eine verbesserte Sicherheit sitzen und Pizza bestellen und ansonsten die
gegen Hacker erzielen. „Zum Beispiel, indem Bürotür am liebsten geschlossen halten.“ ←
#cybersicher16
Gefährliche
Post
Das E-Mail-Postfach ist für viele Unternehmen
die wichtigste digitale Schnittstelle zu Kunden
und Lieferanten. Für Hacker ist dies der ideale
Angriffspunkt: Sie bringen mit immer raffinierteren
Methoden ihre Opfer dazu, Spam E-Mails zu
öffnen – und legen mit ihrer Schadsoftware nicht
nur die IT-Systeme, sondern ganze Betriebe lahm.
Manche schaffen es sogar, die Zugangsdaten von
Mitarbeitern abzufragen und können so das ganze
IT-Netzwerk nicht nur sperren, sondern fast nach
Belieben – und häufig unbemerkt – kontrollieren. Die
dritte Gefahr schließlich geht über den Mail-Eingang
hinaus: Bei der privaten Nutzung dienstlicher
Accounts können Mail-Adressen und Passwörter ins
Darknet geraten und werden Hackern somit auf dem
Silbertablett präsentiert.
#cybersicherDie Sicherheitslücken 17
F Die Einfallstore
rüher war Spam leicht zu er-
kennen: unseriöse Absender,
Erfolgreiche Cyberangriffe erfolgten durch ... 1
vermeintliche Gewinn-Überra-
schungen oder kuriose Satzstellun-
gen. Doch diese Zeiten sind vorbei. E-Mails 60 %
Und falls solche E-Mails es durch den
Hackerangriffe 18 %
Spam-Filter schaffen, liegt es an den
Empfängern, sie als unseriös einzu- DDoS-Attacken 3%
stufen und in den Papierkorb zu
verschieben. Hacker finden jedoch Stick/Datenträger 2%
immer wieder ausgefeilte Metho-
Auf andere Weise 15 %
den, Menschen so zu manipulieren,
dass sie Schadsoftware herunterla- Ursache ungeklärt 4%
den oder Passwörter herausgeben.
Mit zuvor gesammelten Daten eines Quelle: Forsa 1 Mehrfachnennungen möglich
Unternehmens können sie ihren An-
griff als seriöse Mail ausgeben und
nutzen so die menschliche Neugier-
de aus. Social Hacking nennt sich Virenscanner verlässt, ist es keine unbedacht eine infizierte E-Mail
diese geschickte Manipulation. Überraschung, dass fast zwei Drittel öffnen.“ Deswegen ist es umso wich-
So hat es auch Michael Wiesner aller erfolgreichen Hacker-Angriffe tiger, Mitarbeiterinnen und Mitar-
gemacht. Der IT-Sicherheitsberater ganz einfach am Mail-Postfach beiter entsprechend zu schulen und
und White-Hat-Hacker hatte vom ansetzen – denn die Schwachstelle Richtlinien zur Nutzung von E-Mail
GDV den Auftrag erhalten, Mittel- Mensch lässt sich noch zu leicht festzulegen.
ständler aus dem produzierenden überlisten. „Die technischen Hilfs- Vor allem in Bezug auf die
Gewerbe auf Herz und Nieren zu mittel können den gesunden Men- private Nutzung des dienstlichen
prüfen (siehe Seite 12). Sein Phis- schenverstand und eine gewisse Mail-Accounts sollte es verbindliche
hing-Trick: Er lud die Belegschaft aus- Skepsis nicht ersetzen, Unter- Regelungen geben, denn viele sind
gerechnet zu einer angeblichen IT-Si- nehmen müssen ihre Mitarbeiter sich der Gefahr bei privater Nutzung
cherheitsschulung ein, zu der sich die daher besser auf die Gefahren aus offenbar nicht bewusst: Bei einer
Mitarbeiter mit ihrem Windows-An- dem Netz vorbereiten“, sagt Peter Prüfung von mehr als 2.500 Mittel-
meldedaten einloggen sollten. So Graß, Cyberversicherungsexperte ständlern aus dem produzierenden
kam er an die Zugangsdaten von 200 des GDV. „Cyberangriffe sind sel- Gewerbe mit Hilfe des Analyse-Tools
Angestellten aus 19 Firmen. ten ausgefeilte Angriffe durch Cysmo konnten von knapp 1.000
Weil sich zu viele Menschen Netzwerklücken, viel öfter entste- Unternehmen Daten im Darknet
nahezu blind auf Firewall und hen Schäden durch Menschen, die gefunden werden, darunter fast →
Sensible Daten im Darknet
Anteil der Unternehmen, von denen Daten im Darknet zu finden waren.
Kunststoff- Maschinen- Lebens-
Elektro Chemie verarbeitung bau mittel Durchschnitt
53 % 41 % 39 % 45 % 28 % 41 %
Zum Vergleich: Mittelstand branchenübergreifend: 53 %
Quelle: Cysmo
#cybersicher18 Die Sicherheitslücken
→
„Regelmäßige Schulungen und verbindliche Anmeldung in Portalen für „Erwach-
Vorsichtsmaßnahmen sind unverzichtbar, wenn senenunterhaltung“. Zu den gefun-
Unternehmen nicht riskieren wollen, dass Adressen und denen Rückzugsorten gehören hier
Passwörter im Darknet landen oder Spam geöffnet wird.“ zum Beispiel Brazzers oder Youporn.
Peter Graß, GDV-Cyberversicherungsexperte
Durch diese fragwürdige private
Nutzung der dienstlichen Mail-Ad-
resse schleusen die Mitarbeiter mög-
licherweise sogar Daten ins Darknet,
→ 35.000 Mail-Adressen mit den sondern auch privat benutzen – und die von Hackern zur Erpressung
dazugehörigen Passwörtern. das nicht nur für Einkäufe in online genutzt werden können. „Private
Doch wie kommen die dienst- Shops oder soziale Netzwerke wie und berufliche Mail-Accounts und
lichen E-Mail-Adressen der Mitar- Facebook. So manch einer scheut die entsprechenden Aktivitäten
beiter überhaupt ins Darknet? Auch nicht davor zurück, sich mit seiner sollten immer strikt voneinander
darauf geben die Daten Hinweise: Dienstadresse in Dating-Portalen getrennt werden – dazu gehört auch,
Die Studie zeigt, dass Mitarbeiter wie Badoo, Dating.de oder Fling nicht ein und dasselbe Passwort für
ihre dienstlichen Mail-Adressen zu registrieren. Seltener, aber bei- beide Accounts zu benutzen“, warnt
vielfach eben nicht nur dienstlich, leibe kein Einzelfall ist auch die Graß. ←
So schützen Sie Ihr Unternehmen vor schädlichen E-Mails
Nur ein einziger falscher Klick auf einen verseuchten verhindern Sie, dass sich schädliche E-Mails automa-
Mail-Anhang oder einen Link kann Ihre Unterneh- tisch öffnen und Viren oder Würmer sofort aktiv werden.
mens-IT lahmlegen. Wenn Sie Ihre Mitarbeiter regelmä-
ßig für die Gefahren sensibilisieren und einige grundle- 4. Vor dem Öffnen: Prüfen Sie Absender und Betreff
gende Regeln für den Umgang mit E-Mails aufstellen, Cyberkriminelle verstecken sich gern hinter seriös wir-
können Sie sich vor vielen Angriffen schützen. kenden Absenderadressen. Ist Ihnen der Absender der
E-Mail bekannt? Und wenn ja: Ist der Absender wirklich
1. Arbeiten Sie mit hohen Sicherheitseinstellungen echt? Achten Sie auf kleine Fehler in der Schreibweise
Nutzen Sie die Sicherheitseinstellungen Ihres Betriebs- oder ungewöhnliche Domain-Angaben hinter dem @.
systems und Ihrer Software zu Ihrem Schutz. Im Office- In betrügerischen E-Mails ist auch der Betreff oft nur
Paket sollten zum Beispiel Makros dauerhaft deaktiviert unpräzise formuliert, z. B. „Ihre Rechnung“.
sein und nur bei Bedarf und im Einzelfall aktiviert wer-
den können – denn auch über diese kleinen Unterpro- 5. Öffnen Sie Links und Anhänge nur von wirklich
gramme in Word-Dokumenten oder Excel-Listen kann vertrauenswürdigen E-Mails
sich Schadsoftware verbreiten. Wollen Banken, Behörden oder Geschäftspartner sensible
Daten wissen? Verweist eine kryptische E-Mail auf weitere
2. Halten Sie Virenscanner und Firewall immer auf Informationen im Anhang? Dann sollten Sie stutzig wer-
dem neuesten Stand den und auf keinen Fall auf die E-Mail antworten, Links
Die meisten schädlichen E-Mails können Sie mit einem folgen oder Anhänge öffnen. In Zweifelsfällen fragen Sie
Virenscanner und einer Firewall automatisch herausfil- beim Absender nach – aber nicht per E-Mail, sondern am
tern lassen. Wirksam geschützt sind Sie aber nur, wenn Telefon! Auch eine Google-Suche nach den ersten Sätzen
Sie die Sicherheits-Updates auch schnell installieren. der verdächtigen Mail kann sinnvoll sein – weil Sie so
auch Warnungen vor der Betrugsmasche finden.
3. Öffnen Sie E-Mails nicht automatisch
Firewall und Virenscanner erkennen nicht alle schäd- 6. Löschen Sie lieber eine E-Mail zu viel als eine zu wenig
lichen Mails. Öffnen Sie also nicht gedankenlos jede Erscheint Ihnen eine E-Mail als nicht glaubwürdig,
Mail in Ihrem Posteingang. Erster Schritt: Stellen Sie löschen Sie die E-Mail aus Ihrem Postfach – und leeren
in Ihrem E-Mail-Programm die „Autovorschau“ aus. So Sie danach auch den Papierkorb Ihres Mailprogramms.
#cybersicherInterview 19
→Viele gehen zu sorglos mit ihren Daten um←
Mit dem Analyse-Tool cysmo findet der IT-Berater Jonas Schwade
auch ohne Penetrationstests Schutzlücken in IT-Systemen.
Herr Schwade, Sie haben für den GDV die IT-Systeme es keiner Zustimmung des
von über 2.500 mittelständischen Unternehmen des zu bewertenden Unterneh-
produzierenden Gewerbes mit dem Analyse-Tool cysmo mens und es besteht für das
überprüft. Dabei sind Sie zum Teil auch auf sehr alte Unternehmen dadurch auch
Systeme gestoßen – überrascht? keine Gefahr.
Jonas Schwade: Überrascht nicht – erschrocken ja.
Leider setzen Unternehmen immer noch veraltete Be- Zu Ihrer Untersuchung gehört auch eine Recherche im
triebssysteme mit nicht mehr geupdateter Software ein. Darknet. Wie gehen Sie bei der Suche vor?
In dem geprüften Sample war das älteste noch im Einsatz Schwade: Tatsächlich ist das Aufspüren von Daten im
befindliche System eine Debian Linux Version 4.0, die Darknet deutlich schwieriger als im herkömmlichen
schon seit 2010 nicht mehr mit Updates vom Hersteller Internet. Suchmaschinen existieren, decken aber nur
versorgt wird. einen Bruchteil der dortigen Daten ab. Auch erschwe-
ren fehlende Standards eine automatische Suche und
Welches Risiko besteht, wenn Unternehmen diese alten Bewertung. cysmo prüft mit Hilfe eines Dienstleisters,
Systeme nutzen? ob E-Mail-Adressen oder andere technische Details des
Schwade: In jeder Software gibt es grundsätzlich zu bewertenden Unternehmens im Darknet auftauchen.
Schwachstellen, die Frage ist immer nur: „Wann wer-
den diese entdeckt?“. Im Normalfall bringen Hersteller Und obwohl die Suche also nicht ganz einfach ist,
ein Update heraus, wenn eine Sicherheitslücke bekannt haben Sie im Darknet Daten von mehr als 1.000 der
wird. Solange die Updates regelmäßig eingespielt wer- 2.500 untersuchten Firmen gefunden?
den, sind die Systeme grundsätzlich erstmal „sicher“. Schwade: Ja, leider ist das Auftauchen von Firmen-
In dem hier vorliegenden Fall hat der Hersteller der E-Mail-Adressen im Darknet kein Einzelfall. Die Mitar-
Software vor zehn Jahren gesagt, dass diese Version zu- beiter der Unternehmen gehen teils sorglos mit Ihren
künftig nicht mehr mit Updates versorgt wird - es hat beruflichen E-Mail-Adressen um und melden sich damit
das sogenannte end-of-life (Lebensende der Software) auch in privaten Netzwerken/Diensten an. Sollte dann
erreicht. Dann sollte man unbedingt auf eine neue Ver- für den Zugang zur Musikplattform dasselbe Passwort
sion umsteigen. Sonst kann es passieren, dass Wochen, verwendet werden wie für den Login im Mitarbeiter-
Monate oder auch Jahre später eine Sicherheitslücke be- portal, können Angreifer diese Sorglosigkeit natürlich
kannt wird, die durch den Hersteller nicht mehr behoben schnell ausnutzen.
wird. Für Unternehmen, die dann noch das System mit
der entsprechenden Software im Einsatz haben, besteht Wie können Unternehmen verhindern, dass ihre Daten
dann die Gefahr Opfer einer Cyberattacke zu werden. ins Darknet gelangen?
Schwade: Wir beobachten, dass unternehmensspezifische
Müssen Sie für Ihre Analyse die IT-Systeme tatsächlich Daten primär über Datenlecks bei Drittanbietern ins
hacken und wenn ja: Dürfen Sie das überhaupt ohne Darknet gelangen und nicht direkt aus dem Unterneh-
das Wissen der Unternehmen? mensnetz entwendet werden. Da die Sicherheit der
Schwade: cysmo arbeitet zu 100 % passiv. Anders als bei IT-Infrastruktur anderer Anbieter meist nicht in der
einem Penetrationstest wird die zu analysierende In- Hand des Unternehmens liegt, hilft hier vor allem der
frastruktur nicht angegriffen, sondern es werden Da- Grundsatz der Datensparsamkeit. Mitarbeiter sollten
ten aus frei verfügbaren, offenen Quellen gesammelt dazu angehalten werden, umsichtig bei der Weitergabe
und aufbereitet, im Fachjargon heißt das Open Source von Daten wie E-Mail-Adressen und Telefonnummern
Intelligence (OSINT). Auf Basis dieser Daten wird eine zu sein. Im Idealfall wird die private Nutzung der ge-
Außensicht auf das Unternehmen erstellt und bewertet. schäftlichen E-Mail-Adresse, zum Beispiel für Social
Durch den reinen Einsatz von OSINT-Methoden bedarf Media, durch den Arbeitgeber eingeschränkt. ←
#cybersicher20 Der Schutz
Achtung! Dringender
Sicherheitshinweis
Kaum ein Tag vergeht ohne großangelegte Cyberattacken–
dabei greifen Hacker nicht immer gezielt an, sondern suchen
vor allem nach leichten Opfern. Wenn Sie nicht dazugehören
wollen, sollten Sie mindestens diese drei Tipps beherzigen.
1. Schützen Sie die Zugänge zu Ihren IT-Systemen!
Ihr Passwort ist 12345? Qwertz? Pass-
Zu einfach
15 %
wort? Der Name Ihres Mannes? Das ist
nicht gut, denn Passwörter sollen nicht Müssen Passwörter bestimmte
Mindestanforderungen erfüllen? lassen auch
leicht zu merken, sondern schwer zu
knacken sein. Machen Sie es Hackern einfachste Pass-
Ja Nein wörter zu
also nicht zu leicht. Am besten stellen
Quelle: Forsa
Sie Ihre Computer-Systeme so ein, dass
sie zu einfache Passwörter gar nicht erst
akzeptieren oder einen zweiten Faktor 85 15
zur Legitimation verlangen.
Drei Tipps für sichere Passwörter
1. Denken Sie sich laaaaaaaange Passwörter aus einzugeben. Das macht es Hackern zu einfach. Die bes-
Sonderzeichen und Großbuchstaben helfen nur bedingt sere Alternative sind Passwort-Manager. Sie generieren
weiter, ebenso das ständige Wechseln von Passwörtern. und verwalten starke (=lange) Passwörter, die Sie sich
Wichtiger ist die Länge. Hacker „raten“ Passwörter in nicht merken müssen; das übernimmt der Manager.
der Regel nicht, sondern probieren in kurzer Zeit große
Mengen möglicher Kombinationen aus. Je länger das 3. Nutzen Sie die Zwei-Faktor-Authentifizierung
Passwort ist, desto länger braucht auch der Computer. Auch wenn es etwas komplizierter ist, sollten Sie eine
Zwei-Faktor-Authentifizierung in Betracht ziehen. Dann
2. Verwenden Sie einen Passwort-Manager bekommen Sie nach der Eingabe Ihres Passwortes zum
Sie und Ihre Mitarbeiter können und wollen sich die Beispiel noch einen Code auf Ihr Smartphone geschickt.
vielen langen und komplizierten Passwörter nicht Alternativ bekommt jeder Mitarbeiter eine Chipkarte,
merken? Dann fangen Sie auf keinen Fall an, immer das mit der er sich identifizieren kann. Mit dem Passwort
gleiche oder nur ein leicht abgewandeltes Passwort allein können Hacker dann nichts mehr anfangen.
#cybersicherDer Schutz 21
2. Sichern Sie Ihre Daten richtig!
Ein Backup schützt Sie vor dem Verlust Ih- Sichern -
rer Daten, wenn Sie keinen Zugriff mehr
und dann trennen
auf Ihre Systeme haben, etwa nach einem
Brand oder einem Diebstahl. Doch dafür Trennen Sie Ihre Sicherungskopien 20 %
bewahren ihre
physisch vom gesicherten System?
dürfen Sie die Kopien nicht in der Nähe Backups nicht
der laufenden Systeme aufbewahren. Noch Ja Nein sicher auf
wichtiger: Stellen Sie durch regelmäßige
Quelle: Forsa
Testläufe sicher, dass Ihr Backup auch
wirklich funktioniert. Der Ernstfall ist der
schlechteste Zeitpunkt um festzustellen, 80 20
dass Ihre Sicherungskopie fehlerhaft ist.
So sichern Sie Ihre Daten richtig
Was? Vom Smartphone bis zum Desktop-Rechner soll- Daten sollten auf mindestens zwei unterschiedlichen
ten alle Geräte gesichert werden. Kritische Daten sollten Speichermedien liegen, von denen eines außerhalb Ihres
besser mehrfach gesichert werden. Unternehmens liegt (z. B. in der Cloud).
Wie oft? So oft und so regelmäßig wie möglich. Stellen Wie aufbewahren? Achten Sie darauf, dass Ihr Backup
Sie am besten mit einem automatisierten Zeitplan nicht mit Ihrem Hauptsystem verbunden ist – weder
sicher, dass keine Lücken entstehen. über Kabel noch über das WLAN.
Wohin? Speichern Sie das Backup auf jeden Fall isoliert Was noch? Testen Sie regelmäßig, ob sich die Daten
vom Hauptsystem, also auf einer externen Festplatte, Ihrer Backups im Ernstfall auch wirklich wiederherstel-
einem Netzwerkspeicher oder in einer Cloud. Kritische len lassen.
3. Halten Sie Ihren Schutz immer aktuell!
Software-Anbieter veröffentlichen Schließen Sie diese Lücken sofort und dennoch sind in fünf Prozent
für ihre Produkte regelmäßig Sicher- und spielen Sie sämtliche Updates der Unternehmen noch Programme
heitsupdates. Das bedeutet auch: In am besten automatisch in Ihre Syste- im Einsatz, die teilweise schon seit
der bisher benutzten Version gibt me ein. Software, die keine Updates Jahren veraltet sind.
es Sicherheitslücken – und die sind mehr erhält, hat auf Ihren Rechnern
Cyberkriminellen auch bekannt. schon gar nichts mehr zu suchen –
Tickende Zeitbomben Updates in der
Warteschleife 6%
Werden Sicherheitsupdates auto lassen sich mit
matisch und zeitnah eingespielt? Sicherheitsupdates
der Unternehmen aus dem auch mal Zeit
5%
produzierenden Gewerbe Ja Nein
nutzen Software, für die es
keine Sicherheitsupdates Quelle: Forsa
mehr gibt
94 6
Quelle: cysmo
#cybersicher22 Der Schutz
Wie eine erfolgreiche Cyberattacke
Unternehmen verändert
Ein erfolgreicher Cyberangriff und seine Folgen sind für viele Verantwortliche der endgültige Weckruf: Wer
nicht wieder und wieder Opfer sein will, muss etwas ändern – und tut das dann auch.
Schritt 1: Eine neue Wahrnehmung dafür entstehen Notfallkonzepte und entsprechende
Chaos, Hilflosigkeit, hohe Kosten, Reputationsverlust – Verträge mit IT-Dienstleistern. Darüber hinaus werden
wer einmal eine Cyberattacke erlebt hat, will nie wieder Sicherheitslücken geschlossen: Egal, ob Sicherheitskopien
in eine solche Situation kommen. Wie gravierend die beim ersten Angriff gefehlt haben oder funktionierende
Folgen eines Angriffs sein können, wird vielen Verant- Rettungsanker in höchster Not waren – jetzt werden sie in
wortlichen erst durch die eigene Erfahrung bewusst. festen Zeitabständen angefertigt und sicher aufbewahrt.
Bevor sie selbst betroffen sind, geht nur eine Minderheit Parallel verschaffen sich die Unternehmen einen besseren
von einem sehr hohen Risiko durch Cyberkriminalität Überblick, wer wo wann im Netzwerk was genau macht.
aus. Nach einem erfolgreichen Angriff halten hingegen Dafür bekommt jeder Mitarbeiter einen persönlichen und
rund ein Drittel die Gefahr für sehr groß – und haben mit einem Passwort geschützten Zugang.
damit eine deutlich realistischere Einschätzung.
Schritt 3: Ein neues (Un-)Sicherheitsgefühl
Schritt 2: Ein neues Handeln Am Ende sind die Betroffenen für einen erneuten An-
Auf die Einsicht folgen in den meisten Unternehmen griff besser gewappnet als beim ersten Mal – und wis-
dann auch Taten – und die Bereitschaft, für die IT-Sicher- sen trotzdem, dass sie völlige Sicherheit nicht erreichen
heit Geld in die Hand zu nehmen und Strukturen zu stär- können. Obwohl sie deutlich besser vorbereitet sind als
ken. Um künftige Angriffe besser abzuwehren und die früher, bleibt ein Unsicherheitsgefühl zurück. Daher be-
Folgen eines erneuten Angriffs einzudämmen, sorgen schäftigen sich die Opfer von Cyberattacken auch häu-
die Firmen dafür, dass im Ernstfall nicht mehr plan- und figer mit einem möglichen Versicherungsschutz gegen
kopflos, sondern schnell und konsequent reagiert wird; Cybergefahren. ←
Lernen durch Schmerzen
Diese Konsequenzen ziehen Opfer aus dem produzierenden Gewerbe nach einer erfolgreichen Cyberattacke
Unternehmen ohne Schäden durch Cyberangriffe Unternehmen mit Schäden durch Cyberangriffe Quelle: Forsa
Ich halte das Risiko von Cyberkriminalität gegen
mein eigenes Unternehmen für sehr hoch 9% 31 %
Mein Unternehmen wird in den kommenden
zwei Jahren auf jeden Fall in weitere Schutz- 24 % 29 %
maßnahmen gegen Cyberkriminalität investieren.
Mein Unternehmen hat ein Notfallkonzept und/oder
eine schriftliche Vereinbarung mit dem IT-Dienstleister. 57 % 65 %
In meinem Unternehmen werden mind.
1x pro Woche Sicherungskopien aller Daten erstellt. 89 % 96 %
In meinem Unternehmen werden
Sicherungskopien auch sicher aufbewahrt. 79 % 86 %
Jeder Nutzer hat eine individuelle, mit einem
Passwort geschützte Zugangskennung. 86 % 94 %
Mein Unternehmen hat ausreichende Maßnahmen
zum Schutz gegen Cyberkriminalität ergriffen. 71 % 77 %
Ich weiß, dass es Versicherungen gegen
Cyberkriminalität gibt. 57 % 67 %
#cybersicherInterview 23
→Ransomware ist derzeit
die größte Bedrohung←
Der Maschinenbau ist der größte industrielle Arbeitgeber in Deutschland, der Verband
Deutscher Maschinen- und Anlagenbau e. V. (VDMA) mit rund 3.300 überwiegend
mittelständischen Mitgliedern Europas größter Industrieverband. Wir sprachen mit Steffen
Zimmermann, Leiter des VDMA-Competence Centers Industrial Security, über IT- und Product
Security, die Chancen und Risiken durch Industrie 4.0 und Phishing-Kampagnen zur Abwehr von Ransomware.
Herr Zimmermann, Sie leiten beim Umfragen und Studien haben Industrie 4.0 wird langfristig nur
VDMA das Competence Center wiederholt gezeigt, dass das Niveau funktionieren, wenn Security in
Industrial Security, das sich um der IT-Sicherheit mit der Unterneh- Entwicklung und Betrieb angemes-
zahlreiche Facetten von Sicherheit mensgröße zunimmt, also gerade sen berücksichtigt wird. Aus meiner
kümmert – welchen Stellenwert hat kleinere Unternehmen sich mit Sicht ist das kein Hemmschuh für
die Sicherheit bei den ausreichendem Schutz schwer tun. Industrie 4.0, sondern ein Schub
Maschinenbauern? Trifft das auch auf die Maschinen- für die Security, die damit digitale
Neben der „Safety“ steht seit langem und Anlagenbauer zu? Geschäftsmodelle erst ermöglicht.
auch die Security im Fokus der Ma- Security kostet Geld. Die Mittel kom-
schinen- und Anlagenbauer. Hier men auch bei uns aus dem IT-Budget Wie hilft Ihr Competence Center den
gibt es grundsätzlich drei Security- und wachsen mit der Betriebsgröße. VDMA-Mitgliedsunternehmen
Bereiche: IT-Security, OT-Security Die Herausforderung ist nicht die konkret?
und Product Security. Die IT-Security Wir erarbeiten konkrete Praxishil-
ist dabei der etablierteste Teil, denn fen, z. B. zu Ransomware, entwickeln
„Security kostet Geld.“
digital vernetzt sind die Maschinen- Lerninhalte für IEC 62443, Security
bauer nicht erst mit Industrie 4.0. Steffen Zimmermann, Leiter des VDMA- by Design und bieten in unseren
Competence Centers Industrial Security
IT-Sicherheit ist durchaus gelebte Security-Arbeitskreisen eine etab-
Praxis. Operational Technology Se- lierte Austauschplattform zwischen
curity und Product Security für den Technik, sondern die organisatori- Automatisierern, Maschinenbauern,
Maschinenpark sind deutlich jünger, sche Umsetzung. Der „IT-Grund- Security-Experten und dem BSI.
und durch lange Nutzungszeiträu- schutz“ muss anwendbar sein! In
me und Prozessabhängigkeiten auch Unternehmen mit bis zu 250 Mitar- Immer wieder kommen Cyberan-
deutlich komplexer. beitern finden Sie weniger oft einen griffe nur deshalb ans Ziel, weil ein
IT-Sicherheitsexperten. Zudem gilt einzelner Mitarbeiter einen ver-
Was sind Ihrer Erfahrung nach der Maschinenbau für IT-ler auf den seuchten Anhang öffnet oder
aktuell die größten Herausforde- ersten Blick weder als sexy noch er- falschen Link anklickt. Was raten Sie
rungen der VDMA-Mitgliedsunter- tragreich. Dabei gibt es gerade hier Unternehmen, um die Aufmerksam-
nehmen hinsichtlich ihrer die Themen der Zukunft, deren Ab- keit und Vorsicht der Belegschaft
Cybersicherheit? sicherung die Unternehmen stark nachhaltig zu steigern?
Derzeit stellt Ransomware die größ- zunehmend im Fokus haben. Unsere Mitglieder haben gute Erfah-
te Bedrohung dar. Gezielte Angriffe rungen mit Phishing-Kampagnen
auf Weltmarktführer mit Schäden Bei produzierenden Unternehmen gemacht, z. B. mit Gophish. Beson-
im Millionenbereich. Daneben ist liegen Risiken nicht nur in der ders gefährdete Gruppen können so
die Herausforderung in der Aus- Office-IT, sondern auch in den zielgerichtet sensibilisiert werden.
und Weiterbildung von Ingenieu- Produktionsumgebungen. Ist die Regelmäßige Informationen über
ren zu sehen, Security muss in die Gefahr von Cyberkriminalität ein aktuelle Angriffe, eine persönliche
Maschinenbauprodukte integriert Hemmschuh für die weitere Ent- Erreichbarkeit und der klassische
werden. Nicht zuletzt fehlt es an wicklung der Industrie 4.0? „Take Home Value“ helfen, die Aware
Experten und Lösungen, die Dinge Die Chancen durch Industrie 4.0 ness hoch zu halten.
auch umzusetzen. überwiegen klar die Risiken. Doch
#cybersicherSie können auch lesen
