Seit August 2017 ist der neue Jahresbericht zur IT-Sicherheit des BSI einsehbar; seit kurzem auch  öffentlich zugänglich. Eine Vielzahl der Fallbeschreibungen, welche auch unmittelbar datenschutz- und datensicherheitsrechtliche Aspekte berühren, ermöglichen es die bisherige praktische Handhabung im Unternehmen kritisch zu überprüfen.

Eine Übersicht hierzu haben wir Ihnen unter II. dargestellt.

I.  Allgemeine Risiken

Widmet man sich insofern der dargestellten Gefährdungslage in der Wirtschaft zeigen sich die üblichen Ursachenschemen. Es kann festgestellt werden, dass häufig menschliche Fehler wie beispielsweise falsche Konfigurationen zu einer IT-Störung führten. Weitere häufige Ursachen sind Hardwaredefekte oder fehlerhafte Software.

Wirtschaftsunternehmen in Deutschland sind aufgrund ihres technologischen Know-Hows und durch ihre Auslandsaktivität interessante Ziele für Cyber-Spionage. Sie sind zwar grundsätzlich den gleichen Gefahren ausgesetzt wie jeder andere Nutzer von IT und Internet; aufgrund der wirtschaftlichen Bedeutung und Ihrer Finanzstärke sind sie vermehrt Zielobjekt von Hackingaktionen.

II.  Handlungsempfehlungen

Infolge der Vielzahl von Schadensszenarien lassen sich die folgenden Best-Practice Vorgaben skizzieren.

1.  Einheitliches Sicherheitsniveau bei verschiedenen Unternehmensstandorten/ Netzwerken

Zielstellung der Täter ist zumeist an technologische oder marktoperative Informationen zu gelangen. Die registrierten Vorfälle verdeutlichen, dass insbesondere das Sicherheitsniveau verschiedener Standorte an den Standard des Hauptstandorts angeglichen werden muss, wenn diese Außenstellen in das Unternehmensnetzwerk integriert sind. Alternativ sollte es eine klare Trennung der Netzwerke und Domänen geben sowie ein stetiges Netzwerk-Monitoring umgesetzt sein. Die Infektion eines Systems darf nicht dazu führen, dass ganze Netzbereiche oder zentrale Server kompromittierbar werden.

Daher sind Netzwerke zu segmentieren, lokale Administratorenkonten auf Rechnern zu deaktivieren oder zumindest mit rechnerspezifischen Passwörtern zu versehen. Zudem sollten sich lokale Administratoren nicht über das Netzwerk auf anderen Rechnern einloggen können. Generell sollten Verbindungen zwischen Arbeitsplatzsystemen unterbunden und Daten mittels eigens dafür eingerichteter Fileserver ausgetauscht werden.

2.  „Security-by-Design“ im Besonderen bei IoT/ Industrie 4.0

Insbesondere Hersteller von über das Internet vernetzten Systemen sind gefordert, der IT-Sicherheit ihrer Produkte mindestens die gleiche Bedeutung beizumessen wie der Ergonomie oder dem Preis.

Im Sinne eines „Security-by-Design“-Ansatzes sollte IT-Sicherheit bereits bei der Entwicklung der Produkte mitgedacht und implementiert werden. Zur Unterstützung einer sicheren Entwicklung hat das BSI im „ICS-Security-Kompendium – Testempfehlungen und Anforderungen für Hersteller von Komponenten“ Fragestellungen formuliert, um Herstellern zu helfen, ihre Komponenten zu testen und Schwachstellen zu vermeiden. Das Dokument steht auf der BSI-Webseite zur Verfügung.

Betreiber Kritischer Infrastrukturen, die HMI einsetzen, sollten überprüfen, welche der Steuerungen grundsätzlich gefährdet sind. Vor allem sollten sie bei Steuerungssystemen mit Internetzugang (zum Beispiel für Fernwartung/ Remote) überlegen, ob ein Fernzugriff zwingend benötigt wird, und, falls ja, wie die Steuerungssystemen aus dem Internet heraus sichtbar sind. Für den Fernzugang sollten dann Sicherheitsmaßnahmen wie zum Beispiel VPN etabliert werden und es sollte geprüft werden, ob die vorgesehenen IT-Sicherheitsmaßnahmen (Soll-Ist-Vergleich) greifen. Zudem sollten Betreiber die Empfehlungen aus dem ICS-Security-Kompendium des BSI beachten, das ebenfalls auf der Webseite des BSI zur Verfügung steht.

3.  Aktualisierung von eingesetzter Software/ Umgehende Reaktion bei Angriffen/ Vorhalten von Backups

Zur Vermeidung von Online-Skimming Angriffen (Einschleusen von schädlichen Programmcode zur Ausspähung von personenbezogene Daten) sollten Anwender die von ihren Netzbetreibern oder anderweitig über Software-Sicherheitslücken in eingesetzten Produkten informiert werden, diese umgehend schließen, indem entsprechende Updates ausgeführt werden. Wesentlich ist hier, dass nicht nur Basis-Funktionalitäten (z.B. das CMS) aktualisiert werden, sondern auch alle installierten Plug-Ins, die häufig über keine automatischen Update-Funktionen verfügen.

Für kommerzielle Nutzer sollten in den IT-Dienstleistungsverträgen mit Dritten entsprechende Klauseln für schnellstmögliches Testen und Patchen enthalten sein.

Verzögerungen spielen den Cyber-Kriminellen in die Hände, die die Sicherheitslücken weiterhin ausnutzen können. Damit es nicht zu einem Verlust von Daten kommt, sollten Anwender bereits im Vorfeld Backups anlegen, aus denen der Datenbestand wiederhergestellt werden kann.

4.  Vermeidung von Spearfishing-Mails/ Sensibilisierung

Unter anderem seit Juni 2017 wurden vermehrt Spearfishing-Mail-Attacken festgestellt. Hierbei werden täuschend echt erscheinende Unternehmens-Account-Mails an ausgewählte Führungspersonen gesandt. Die Angreifer geben vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben.

[Das Wort setzt sich aus „password“ und „fishing“ zusammen, zu Deutsch „nach Passwörtern angeln“. Der Angreifer versucht dabei, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internetnutzers zu gelangen und diese für seine Zwecke meist zulasten des Opfers zu missbrauchen.]

Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach eines Opfers und dessen Inhalte. Die Angreifer haben so die Möglichkeit, weitere – gegebenenfalls auch dienstliche – Informationen über die Zielperson zu sammeln und diese für spätere gezielte Angriffe zu nutzen. Mit Zugriff auf das Postfach können die Angreifer zudem auch im Namen des Nutzers kommunizieren und dessen Identität missbrauchen.

Es obliegt daher dem Unternehmer im Zuge des Digitalen Persönlichkeitsschutz die Absicherung der Aktivitäten von Mitarbeitern (insbesondere mit Führungsverantwortung) sicherzustellen. Dazu gehören neben dem Schutz privater E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Folgende Maßnahmen schützen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal, sondern auch gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:

• Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
• E-Mail-Kommunikation sollte verschlüsselt werden.
• Anwender sollten eine Zwei-Faktor-Authentifizierung nutzen. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
• Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden.
• Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
• Wenn das Passwort auf einer nicht vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Originalseite geändert werden.

Schutz gegen Betrugshandlungen bieten Schulungsmaßnahmen, die die Mitarbeiter für betrügerische und manipulative Verhaltensweisen sensibilisieren. Dabei sollten Mitarbeiter aus kritischen Bereichen wie zum Beispiel der Buchhaltung im Fokus stehen. Als Präventivmaßnahme ist für Zahlungsanweisungen das Vier-Augen-Prinzip zu empfehlen, um zusätzliche Sicherheit zu etablieren.

5.  Zertifizierung

Die IT-Sicherheit von vernetzten Systemen wird zukünftig immer mehr zum Qualitätsmerkmal werden.

Die Cyber-Sicherheitsstrategie der Bundesregierung sieht die Entwicklung eines entsprechenden Gütesiegels vor, das derzeit im BSI entwickelt wird. Im Rahmen einer Zertifizierung können Hersteller die IT-sicherheitstechnische Qualität eines Produkts für die eigene Sicherung als auch für den Kunden sichtbar machen.