Wie im Wilden Westen: Cyber-Risiken und Prävention
Das Thema Risikoprävention stand im Mittelpunkt des IT-Arbeitskreistreffens des BioRiver e.V. im März. Ein Thema mit dem sich Gastreferent Dr. Florian Wrobel als Geschäftsführer der Cogitanda Risk Prevention GmbH bestens auskennt und das er anschaulich zu vermitteln wusste. Nachfolgend eine Auswahl der von ihm erläuterten Punkte.
Cyber-Sicherheit und Risikoprävention betrifft uns alle. Mittels Malware, Phishing, Ransomware, DDoS-Angriffe und Identitätsdiebstahl, um nur einige zu nennen, versuchen Angreifer, vertrauliche Daten wie Passwörter, Finanzinformationen oder persönliche Daten zu stehlen oder auch Systeme lahmzulegen. Dabei gleicht die heutige Situation, was die Sicherheit betrifft, dem „Wilden Westen“, wie Dr. Wrobel es formuliert: Jeder hat eine dicke Zielscheibe auf dem Rücken, ob Einzelperson oder Unternehmen. Das Ziel für jedes Unternehmen muss es deshalb sein, ein adäquates Sicherheitsniveau zu erreichen und in seinem Vortrag gab er hierfür Tipps und Tricks an die Hand.
Dabei ist ein entscheidender Punkt, sich darüber bewusst zu sein, dass Cyber-Sicherheit im Kern kein IT-Problem ist! Vielmehr stehen hier alle Mitarbeitenden in der Pflicht, Cyber-Sicherheit ist nicht nur eine Aufgabe für IT-Experten, sondern alle können dazu beitragen, ein sicheres Online-Umfeld zu schaffen. Auch wenn natürlich IT-Lösungen zur Prävention und Risiko- bzw. Schadenminimierung zum Einsatz kommen (müssen).
Ein weiterer wichtiger Punkt ist, dass es im Bereich der Cyber-Sicherheit keine 100%ige Sicherheit gibt, man hat immer ein Risiko, bzw. Restrisiko. Es geht darum, Transparenz herzustellen: Wo sind die Schwachstellen? Und auch die Frage, welches Risiko man tragen kann bzw. will muss geklärt werden. Denn die Abwägung von Investment und Risiko variiert von Unternehmen zu Unternehmen.
Die Cyber-Gefahr zu ignorieren, verbietet sich: Die weltweit erwarteten Schäden durch Cyber-Angriffe bis 2025 liegen bei 10 Billionen (!) US-Dollar, die kriminell erwirtschaftet bzw. erpresst werden. Zu Lösegeldzahlungen kommen bei den betroffenen Unternehmen Reputationsverlust und Strafen aufgrund von Datenschutzverstößen hinzu. Cyber-Versicherungen decken nur den finanziellen Schaden.
Schwachstelle Mensch
Viel gefährlicher als „bösartige Insider“, die Unternehmensdaten klauen, ist der „sorglose“ Mitarbeiter, der unbedarft E-Mails öffnet und Verlinkungen aktiviert, über die Ransomware oder andere Schadsoftware in die Unternehmens-IT geschleust werden. Deshalb müssen alle Mitarbeitenden und Führungskräfte regelmäßig geschult und für die Gefahren sensibilisiert werden.
50% aller Ransomware-Angriffe beginnen bei den Mitarbeitenden. Am Anfang steht oft eine E-Mail, deshalb müssen alle in der Lage sein, eine Phishing-Mail zu erkennen. Solche Phishing-Mails werden immer „besser“, hier helfen nur regelmäßige Schulungen mit praktischen Übungen und Simulationen, die sich am Unternehmen orientieren. Denn selbst modernen E-Mail-Gateway-Systemen gelingt es nicht zuverlässig, gefährliche Mails immer abzufangen.
Datensicherung
Eine Absicherung für Systemausfälle ist grundsätzlich ein Muss, nicht nur unter dem Aspekt potenzieller krimineller Angriffe. Das allein ist allerdings nicht ausreichend. Denn selbst wenn die Daten als solche gesichert und bei einem Diebstahl somit nicht „weg“ sind, droht Schweigegeld! Stichwort Reputationsverlust und Datenschutzverstöße.
Bei der Datensicherung ist auf den Medienbruch zu achten, die Sicherung sollte also z.B. auf einer separaten Festplatte oder in einer Third-Party-Cloud erfolgen. Bei Daten und konfigurierten Systemen muss zudem auch auf die Wiederherstellung geachtet werden. Insbesondere nach Umstellungen und Updates sollten Unternehmen unbedingt Tests durchführen, um sicherzustellen, dass die Wiederherstellung funktioniert.
Weitere technische Empfehlungen zur Risikominimierung (Auswahl)
- RDP (Remote Desktop) von Microsoft muss richtig konfiguriert werden; die Einstellungen müssen unbedingt überprüft werden, auch wenn RDP nicht genutzt wird.
- Software-Patches für bestehende Anwendungen oder Betriebssysteme zur Behebung von Fehlern oder Sicherheitslücken müssen umgehend in Betrieb genommen werden
- Makros grundsätzlich deaktivieren
- Passwörter auf hohe Passwortstärke achten, nicht mehrfach verwenden
Durchführung von Tests und Scans
- Schwachstellen-Scan (maschinell)
- Penetration-Test: Ein Pen-Test will nachweisen/prüfen, ob die Schwachstelle ausnutzbar ist
Beide müssen regelmäßig gemacht werden, allerdings kann ein Pen-Test aus Kostengründen auch gezielt, z.B. „nur“ beim ERP-System und nach großen Änderungen/Upgrades durchgeführt werden.
EU-Richtlinie zur Netz- und Informationssicherheit (NIS)
Insgesamt ist Cyber-Sicherheit eine komplexe und sich ständig weiterentwickelnde Herausforderung. Es erfordert eine Kombination aus technologischen Lösungen, organisatorischen Maßnahmen und dem Bewusstsein und Engagement jedes Einzelnen.
Neben dem Eigeninteresse zur Ergreifung von Schutznahmen müssen Unternehmen zudem rechtliche Vorgaben erfüllen. Im Januar 2023 traten mit der neuen EU-Richtlinie NIS 2 verschärfte Gesetze zur Stärkung der Cyber-Sicherheit in Kraft, mit der die Idee der kritischen Infrastruktur erweitert wird; die Regelung gilt beispielsweise auch für Unternehmen aus dem Gesundheitswesen (u.a. Labore) mit mindestens 50 Mitarbeitern und 10 Mio. EUR Jahresumsatz.
Zu den ab Herbst 2024 verpflichtenden Maßnahmen gehören unter anderem die Erstellung von Notfallplänen und Cyber-Security-Konzepten auch technische und organisatorische Maßnahmen wie Schwachstellen-Management und die Schulung der Mitarbeitenden.
Es gilt, das Thema ernst zu nehmen und zu investieren. Jetzt. Nicht erst im Herbst 2024.
Auch die LIMS at work unterstützt Unternehmen aus dem Laborumfeld bei der Einführung von Informationssicherheitsmanagementsystemen (ISMS), damit Angreifer ihr Ziel verfehlen.
Sprechen Sie uns gerne an: info@limsatwork.de