Es ist das Worst-Case-Szenario eines jeden Unternehmens: Cyberkriminelle hacken sich in das Netzwerk ein und verbreiten eine Schadsoftware.

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Unternehmen im Fadenkreuz von Cyberkriminellen

Ein Praxisleitfaden zur Vorbereitung auf das Schadensszenario „Cyberangriff“

24. November 2022, von Dr. Tobias Eggers und Carl Raffael Hillejan

Beitrag als PDF (Download)

 

Überblick über die aktuelle Bedrohungslage

Der Trend, dass sich Straftaten zunehmend vom analogen in den digitalen Raum verlagern, hält weiter an. In der aktuellen polizeilichen Kriminalstatistik ist ein Anstieg von über 12% gegenüber dem Vorjahr feststellbar. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem gefährlichen Mix aus Angriffsvektoren und staatlichen und kriminellen Akteuren. Seit 2015 hat sich die Zahl der registrierten Cyberstraftaten bereits mehr als verdoppelt. Insbesondere seit Beginn des Ukrainekriegs hat sich die Bedrohungslage durch Cyberangriffe nochmals verschärft.

Es gibt einige Erklärungsansätze, warum diese Art von Kriminalität derart angestiegen ist:

  • Durch die fortschreitende Digitalisierung mit der Verlagerung von Services und Waren in die digitale Welt, werden eine Vielzahl neuer Tatgelegenheiten für die Cyberkriminalität geschaffen.
  • Insbesondere die Coronapandemie dürfte hierbei als „Beschleuniger“ für weitere Cyberstraftaten einen nicht unerheblichen Beitrag geleistet haben.
  • Zunehmende Professionalisierung durch Cybercrime-as-a-Service führt auch zu einer wachsenden Anzahl an Tätern.
  • Dazu trägt auch das hohe Dunkelfeld und eine sinkende Aufklärungsquote bei (2021 gesamt: 29,3%, -2,7%).
  • Der Angriffskrieg gegen die Ukraine stellt die erste kriegerische Auseinandersetzung dar, die zu einem erheblichen Teil auch im Cyberraum geführt wird.

„Eine Cyberattacke ist jegliche Art von Angriff, der auf computergestützte Informationssysteme, Infrastrukturen, Rechnernetze oder PC-Geräte abzielt. Mit verschiedenen Methoden versuchen die Angreifer dabei, Daten abzugreifen, zu manipulieren oder zu löschen beziehungsweise Informationssysteme zu zerstören.“

Der Fokus der potentiellen Angriffsszenarien liegt für Unternehmen (derzeit) überwiegend auf der Bedrohung durch Ransomware. Beinahe täglich werden neue Angriffe bekannt, bei denen die Erpressertrojaner ganze Netzwerke befallen und alle Daten verschlüsseln, die sie finden können. Datenbanken, elektronische Akten, CAD-Zeichnungen – nichts ist vor der ausgeklügelten Schadsoftware sicher. Die Anzahl der Angriffe und das Schadenspotential sind zudem nochmals spürbar angestiegen. Im Jahr 2021 hat sich der ermittelte Schaden mit etwa 24,3 Milliarden Euro im Gegensatz zu 2019 fast verfünffacht.

Deutschland ist dabei auch im internationalen Vergleich überdurchschnittlich häufig von Ransomwareangriffen betroffen und gilt als eines der häufigsten Angriffsziele für Ransomwareakteure.

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegelds wieder freigeben. Der Name Ransomware setzt sich aus den englischen Begriffen ransom (deutsch: Lösegeld) und malware (deutsch: Schadprogramm) zusammen. Grundsätzlich gibt es zwei Arten von Ransomware:

  • Ransomware, die den Zugang zu einem System sperrt oder unterbindet.
  • Ransomware, die Daten verschlüsselt.

Cyberangriffe durch Ransomware verletzen das Sicherheitsziel der Verfügbarkeit von Daten und Systemen. Gleichzeitig handelt es sich um eine Form digitaler Erpressung.

Cybercompliance als Housekeeping

Unternehmen sollten hinsichtlich der Gefahren vor einem Cyberangriff bereits im Vorfeld ein spezielles IT-Risikomanagement in die bestehenden Compliancestrukturen etablieren. Die IT-Sicherheit kann in diesem Zusammenhang nicht allein eine Spezialaufgabe der IT-Abteilung darstellen, sondern muss auch im Aufgabenbereich der Geschäftsführung angesiedelt werden. Sollte die Geschäftsleitung es versäumen, die Cybersicherheit des Unternehmens durch geeignete Maßnahmen aufzubauen und zu erhalten, sind Haftungsrisiken und sogar strafrechtliche Ermittlungen gegen Unternehmens- und insbesondere IT-Verantwortliche unter dem Gesichtspunkt eines Unterlassens (§ 13 Abs. 1 StGB) nicht auszuschließen. Gleichzeitig besteht auch das Risiko der Verhängung einer Geldbuße gegen das Unternehmen selbst.

Ein sogenanntes Information Security Management System (ISMS), das für einzelne Branchen bereits vorgesehen ist, kann den verantwortlichen Personen helfen, die Ganzheitlichkeit des Sicherheitskonzepts im Auge zu behalten. Neben der Geschäftsführung besitzt jeder Mitarbeiter eine persönliche Verantwortung, durch sein Verhalten die Systemsicherheit nicht zu gefährden. Die klaren Vorgaben, was geboten und was verboten ist, müssen allen Mitarbeitern in Awarenessschulungen nähergebracht werden, sodass die Richtlinien in die (Alltags-)Routinen des Einzelnen übergehen.

IT-Hygiene als Gefahrenabwehr

Ebenso wie die menschliche Gesundheit benötigen IT-Systeme daher einen sorgsamen Umgang, um auf Dauer sicher und zuverlässig funktionieren zu können. Die effektivste Abwehr ist daher immer, auf ausreichende IT-Hygiene zu achten. Anstatt auf Cyberattacken nur zu reagieren, sollten proaktive Maßnahmen zur Absicherung von IT-Infrastrukturen getroffen werden. Das heißt vor allem, Sicherheitsrisiken aufzuspüren und Sicherheitslücken zu schließen, bevor sie von Cyberkriminellen ausgenutzt werden. Ein dauerhaftes Security-Monitoring sowie automatisierte Penetrationstests können dabei helfen. Bewährte Maßnahmen für die Cyberhygiene sind (siehe auch hier):

  • Eine Richtlinie für die IT-Hygiene erstellen. Die Einführung gemeinsamer Grundlagen und Vorgehensweisen zur Aufrechterhaltung der IT-Hygiene erleichtert die Wartung von Hard- und Software.
  • Dokumentieren und inventarisieren Sie alle Soft- und Hardware. Erstellen Sie eine Übersicht der verwendeten Hardware, Software, Webanwendungen und Clouddienste. Alle neuen Installationen sollten von vornherein aktiv verwaltet und bei Bedarf aktualisiert werden.
  • Achten Sie auf eine kontinuierliche Überprüfung der verwendeten Soft- und Hardware und eine regelmäßige Deinstallation veralteter Software, die Sicherheitslücken aufweisen können.
  • Soft- und Hardware, für die Updates zur Verfügung stehen, sollte entsprechend aktualisiert werden.
  • Sicherheitslösungen wie Antimalwareprodukte müssen ordnungsgemäß installiert und konfiguriert sein.
  • Einrichtung eines sachgerechten Passwortmanagements.
  • Begrenzung der Anzahl der Anwender oder Administratoren mit Superuserkonten oder administrativem Zugriff.
  • Fortlaufende Überwachung und Aktualisierung der Richtlinie zur IT-Hygiene.

Schadenseindämmung durch Incident-Response

Keine Sicherheitstechnologie und keine noch so umfangreiche Mitarbeiterschulung kann jedoch hundertprozentige Sicherheit garantieren. Cyberkriminelle finden häufig immer noch Wege, unbemerkt in Netzwerke zu gelangen und diese zu infizieren. Mit einem ausgereiften und erprobten Incident-Response-Plan lässt sich der Erfolg der Angreifer und die Höhe des angerichteten Schadens jedoch mindern.

Worin liegt also der Schlüssel zum Erfolg? Bei einem Cyberangriff ist Schnelligkeit der wesentliche Faktor für eine wirksame Abwehr beziehungsweise Schadensbegrenzung. Je effektiver die Reaktion auf einen Security-Incident ist, desto höher ist die Chance, einen Datendiebstahl oder das Verschlüsseln Ihrer Systeme zu verhindern.

Zudem schreibt die DSGVO eine Reaktion auf Sicherheitsvorfälle und – unter gewissen Umständen – auch eine Meldung an die Datenschutzbehörde innerhalb von 72 Stunden vor. Und auch Cyberversicherungen setzen adäquate IT-Securityprozesse voraus und koppeln Schadensersatzzahlungen an eine angemessene Reaktion auf Sicherheitsvorfälle.

„Cyberangriffe treffen Unternehmen zumeist dann, wenn sie am wenigsten damit rechnen. Eine Incident-Response-Checklist kann hier Abhilfe schaffen und Unternehmen in die Lage versetzen, im Ernstfall ausreichend schnell zu reagieren und so die negativen Auswirkungen der Attacke möglichst gering zu halten.“

Üblicherweise durchläuft ein Incident-Response unterschiedliche Phasen:

To Do
– Bewertung, ob Vorfall Eskalation rechtfertigt
– Start Dokumentation
– Aktivierung „Incident-Response-Plan“ und Einschaltung Incident-Response-Team
– Mitigation des Vorfalls und Schutz der Daten(-verfügbarkeit)
– Info an Cyberversicherer, Geschäftspartner, soweit vertragliche Verpflichtung und Aufsichtsbehörden (ggf. mehrere Jurisdiktionen betroffen!)
– Beweismittelsammlung
– Vorbereitung Kommunikationsplan (für etwaige Presseanfragen)
– Absicherung gegen zukünftige Vorfälle (Anpassung Sicherheits­architektur)

Vorbereitung

Die Vorbereitungsphase bildet den Grundstein für den gesamten Prozess und entscheidet über Gelingen oder Versagen. Hier gilt es sicherzustellen, dass alle Mitarbeiter im Hinblick auf ihre Rollen und Verantwortlichkeiten bei der Reaktion auf Cybervorfälle angemessen geschult sind und auf etwaige Gefahren hinreichend sensibel reagieren. Es ist sinnvoll, Übungsszenarien zu entwickeln und regelmäßig „Scheinangriffe“ durchzuführen, um den Vorfallreaktionsplan evaluieren und gegebenenfalls optimieren zu können.

Vorfallerkennung

Der Incident-Response-Prozess beginnt schließlich mit der Identifizierung eines potentiellen Cyberangriffs oder einer möglichen Datenschutzverletzung. Hier gilt es klar zu definieren, welche Kennzeichen und Symptome das Incident-
Response-Team und die Einrichtung der erforderlichen Kommunikationskanäle in Gang setzen. Folgende Fragen müssen anschließend kurzfristig beantwortet werden können und sollten zu Dokumentationszwecken festgehalten werden:

  • Wann fand der Angriff statt?
  • Wer hat ihn entdeckt?
  • Welche Bereiche sind betroffen?
  • Wurde die Ursache, die Schwachstelle oder der Einstiegspunkt bereits identifiziert?
  • Welche Auswirkungen hat der Vorfall auf den laufenden Betrieb?

Eindämmung

Bei der Eindämmung des Vorfalls sollten IT-Teams zwar schnell, aber dennoch behutsam vorgehen. Anstatt alle betroffenen Dateien sofort zu löschen, sollten Bedrohungen zunächst nur an der weiteren Ausbreitung gehindert werden. Auf diese Weise bleiben wichtige Hinweise auf den Ursprung des Vorfalls bewahrt. Generell sollten alle betroffenen Systeme unbedingt gespeichert werden, um sie später forensisch untersuchen zu können. Dieser Schritt ist insbesondere zum Schutz der Daten(-verfügbarkeit) sowie für die Beweismittelerhebung und -sammlung erheblich.

Rechtliche Begleitung im Schadensfall

Neben der „technischen“ Arbeit im Rahmen einer Incident-Response ist ein weiteres Augenmerk auf die rechtliche Begleitung eines solchen Vorfalls zu richten. Wie oben bereits dargestellt wurde, bestehen gegebenenfalls Meldepflichten gegenüber den zuständigen Aufsichtsbehörden. Im Fall einer Missachtung dieser datenschutzrechtlichen Meldepflichten droht dem betroffenen Unternehmen gegebenenfalls eine Geldbuße.

Weitere Risiken bestehen zudem, wenn ein Lösegeld ohne ausreichende Abstimmung mit den Ermittlungsbehörden gezahlt wird.

Unternehmensverantwortliche können dabei selbst in den Fokus der Ermittler rücken, da eine Zahlung möglicherweise eine strafbewehrte Unterstützung einer kriminellen Vereinigung (§ 129 StGB) darstellen könnte, welche mit bis zu drei Jahren Haft oder mit Geldstrafe sanktioniert wird. Vor diesem Hintergrund sollten anwaltliche Berater stets Kontakt zu den Ermittlungsbehörden aufnehmen und die Umstände des Einzelfalls offenlegen. Eine Zahlung kann bei Vorliegen bestimmter rechtlicher Umstände auch gerechtfertigt sein. Es gibt zentrale Ansprechstellen für Cybercrime (ZAC), die bei den Landeskriminalämtern angesiedelt sind. Weitere Meldepflichten bestehen regelmäßig gegenüber Cyberversicherern und – soweit eine vertragliche Verpflichtung existiert – gegenüber Geschäftspartnern. Die Missachtung einer solchen Pflicht kann zu einer haftungsrelevanten Obliegenheitsverletzung führen. Die Einbindung von spezialisierten Beratern ist schließlich auch zum Zweck einer forensischen Beweissicherung sinnvoll. Durch die Einschaltung entsprechender Experten kann dem Verlust (beweis-)erheblicher Daten und Dokumente vorgebeugt werden. Daneben bietet sich die Einschaltung spezialisierter Rechtsanwälte, unter Umständen zur Stellung einer Strafanzeige an.

Kommunikation

Im Krisenfall sollten sich Unternehmen zusätzlich auf Presseanfragen einstellen und einen Kommunikationsplan mit reaktiven Statements vorbereiten. Jüngst hat die Cyberattacke auf den DAX-Konzern Continental wieder einmal gezeigt, welches mediale Interesse bei einer Ransomwareattacke entstehen kann. Diese führen beinahe zwingend zu erheblichen Reputationsschäden und können auch die bestehenden Kundenbeziehungen nachhaltig schädigen oder zumindest stark beeinträchtigen.

Vollständige Beseitigung

Sobald die Bedrohung eingedämmt wurde, gilt es, die Ursache für den Vorfall zu identifizieren (Root-Cause-Analysis) und zu beseitigen. Das bedeutet, dass sämtliche Schaddateien umfänglich entfernt, die betroffenen Systeme gehärtet und gepatcht und sämtliche Updates installiert werden müssen. Hier ist äußerste Gründlichkeit gefragt, da Rückstände von Malware oder übersehene Sicherheitslücken eine Wiederholung des Vorfalls bedeuten könnten. Wenn zweifelsfrei feststeht, dass alle Systeme sicher und frei von Malware sind, ist es Zeit für die Wiederherstellung und Rückführung der betroffenen Systeme und Geräte in ihre Geschäftsumgebung.

Gewonnene Erkenntnisse

Sobald der Wiederherstellungsprozess abgeschlossen ist, sollten alle Mitglieder des Incident-Response-Teams in einem sogenannten Lessons-Learned-Meeting zusammenkommen und gemeinsam besprechen, welche Erkenntnisse aus dem Vorfall gezogen werden können und müssen. Wie hat die Zusammenarbeit im Incident-Response-Team funktioniert? Kann der Plan beziehungsweise die Checkliste weiter optimiert werden? Welche Maßnahmen können und sollten getroffen werden, um vergleichbare Angriffe zukünftig zu verhindern? Unter Umständen ist auch eine Anpassung der Sicherheitsarchitektur erforderlich.

Fazit

Unternehmen müssen für das Krisenszenario Cyberangriff ausreichend gewappnet sein. Die Vorbereitung auf den Ernstfall ist essentiell für die Frage des Erfolgs oder Misserfolgs der Incident-Response. Unternehmen sollten sich unabhängig von der Größe und der Branche auf die dargestellten Risiken einstellen, um einem Cyberangriff mit geeigneten Maßnahmen entgegentreten zu können. Schlüsselfaktoren sind dabei sowohl die Einhaltung einer ausreichenden Cyberhygiene als auch die Zusammenstellung eines kompetenten Teams zur Umsetzung der Incident-Response-Checklist. Die Beachtung der vorgenannten Maßnahmen minimiert letzten Endes auch das Risiko der Einleitung von straf- oder ordnungswidrigkeitsrechtlichen Ermittlungen gegen das Unternehmen beziehungsweise seine Organe.

 

eggers@park-wstr.de

hillejan@park-wstr.de

Themen

Aktuelle Beiträge

Ein Verstoß gegen das LkSG soll vorliegen, „wenn in der Lieferkette eines deutschen Unternehmens eine Verletzung von im Gesetz genannten Menschenrechten oder Umweltbelangen eingetreten ist oder unmittelbar bevorsteht“.
ComplianceBusiness
Haftung unter dem Lieferkettensorgfaltspflichtengesetz Ein Vergleich mit dem EU-Richtlinienentwurf zur Corporate Sustainability Due Diligence (CSDD) weiterlesen
Smarte Compliance-Management-Tools decken das HSE,- ESG,- und Lieferantenmanagement nach LkSG vollständig ab, so dass Unternehmen ihre Anforderungen in allen drei Disziplinen kennen und beherrschen. Unternehmen mit einer starken digitalen Compliance verschaffen sich dadurch erhebliche Wettbewerbsvorteile.
ComplianceBusiness
HSE im Kontext mit ESG und dem neuen Lieferkettensorgfaltspflichtengesetz Nachhaltigkeit beginnt beim eigenen betrieblichen Arbeits- und Umweltschutz weiterlesen
Nur wenn die meldenden Personen keine Repressalien befürchten müssen, leisten sie auch tatsächlich „einen wichtigen Beitrag zur Aufdeckung und Ahndung von Missständen“, wie es im Gesetzesentwurf ausdrücklich betont wird.
ComplianceBusiness
Der Countdown für das Hinweisgeberschutzgesetz läuft Darum sollten kleine und große Unternehmen jetzt handeln weiterlesen
© 2023 Deutscher AnwaltSpiegel