Was macht eigentlich die Cyberwehr?

Immer weniger Firmen können im Alltag noch auf IT verzichten, gleichzeitig steigt die Anzahl der Cyberangriffe von Jahr zu Jahr an. Wird eine Firma gehackt, treten viele Fragen auf und besonders kleinere Firmen wissen nicht, an wen sie sich wenden sollen. Das Projekt Cyberwehr Baden-Württemberg möchte hier schnelle Hilfe für die Betroffenen bieten. Auch wir als synyx beteiligen uns an dem Projekt und möchten daher mal über diese wichtige Arbeit sprechen. Dazu haben wir ein Interview mit Leonard “Leeo” Frank gemacht, er koordiniert für synyx die Zusammenarbeit mit der Cyberwehr und begleitet dort Fälle als Vorfallsanalyst.

Was genau ist denn eigentlich die Cyberwehr und wie hat sie sich gegründet?

Zur Gründung kann ich gar nicht allzu viel sagen, da wir als synyx erst seit Anfang 2020 dabei sind. Gegründet wurde die Cyberwehr 2018 als Forschungsprojekt vom FZI Forschungszentrum Informatik, dem CyberForum e.V., der Karlsruhe Sicherheitsinitiative und dem DIZ | Digitales Innovationszentrum und wird unterstützt vom baden-württembergischen Innenministerium. Die Idee hinter der Cyberwehr ist, eine Art Feuerwehr-Notfallnummer für IT-Sicherheitsvorfälle anzubieten, also eine Stelle, an die sich vor allem kleine und mittelständische Unternehmen wenden können, wenn sie gehackt wurden, und die ihnen da direkt hilft und weitere Hilfe vermittelt.

Wer kann da anrufen?

Da es bisher ja kein vergleichbares Angebot gibt, wusste man im Vorfeld natürlich nicht, ob und wie viel diese Hotline nachher tatsächlich genutzt wird. Deswegen hat man sich zunächst nur auf Firmen aus dem Kreis Karlsruhe beschränkt. Dieses Aktionsgebiet wurde dann schrittweise erweitert. Als es zum Beispiel letztes Jahr mit Corona losging, da wurde das Angebot für Betriebe und Einrichtungen aus dem Gesundheitsbereich auf ganz Baden-Württemberg erweitert. Seit letztem September steht die Hotline allen Unternehmen aus ganz Baden-Württemberg zur Verfügung. Nur in Fällen, in denen ein Vor-Ort-Einsatz nötig ist, kann die Cyberwehr aktuell nur in den Stadt- und Landkreisen Karlsruhe, Rastatt und Baden-Baden helfen. Das ist aber nur selten nötig.  Langfristig soll das aber natürlich auch flächendeckend angeboten werden. Ich persönlich habe ja die Hoffnung, dass sich auch die anderen Bundesländer an dem Ansatz orientieren und vergleichbare Angebote schaffen, denn den Bedarf gibt es überall. Deswegen engagieren wir uns als synyx ja auch bei der Cyberwehr.

Und da gibt’s gar nichts vergleichbares bisher?

Nicht, dass ich wüsste. Es gibt etliche Handreichungen und Dokumente zu dem Thema und natürlich gibt es auch Firmen, die Incident Response, also die Behandlung von Sicherheitsvorfällen, als Dienstleistung anbieten. Aber das Besondere an der Cyberwehr ist eben, dass die Hilfeleistung zum einen neutral und zum anderen kostenfrei ist, zumindest bis zu einem gewissen Grad. Eben genau wie die 112. Ich kann zu jeder Tages- und Nachtzeit einfach bei dieser einen zentralen Hotline, der 0800-CYBERWEHR (0800-292379347), anrufen und bekomme Hilfe – ohne, dass ich erst mal den richtigen Dienstleister auswählen oder die Kosten abwägen muss.

Wie läuft das denn ab? Ich stelle als Unternehmen fest, dass ich gehackt wurde, dann rufe ich bei der Cyberwehr an. Und dann?

Vielleicht sprechen wir zuerst mal drüber, was ganz allgemein bei Sicherheitsvorfällen passiert. Der erste Punkt, das hast Du schon richtig gesagt, ist, dass man überhaupt erkennen muss, dass was passiert ist. Und das ist, glaube ich, ein besonders relevanter Punkt, denn manchmal ist das gar nicht so einfach festzustellen. Bei den Unternehmen, die die Cyberwehr anrufen, ist das normalerweise schon relativ offensichtlich dadurch, dass z.B. Systeme nicht mehr funktionieren oder Erpresserschreiben vorliegen. Die rufen ja genau deshalb an, weil sie gemerkt haben, dass da was nicht stimmt. Es gibt aber, denke ich, eine ganze Menge von Fällen, in denen Unternehmen gehackt werden und Daten abfließen, es aber niemand mitbekommt.

Wie geht es dann weiter?

Als nächstes ist es natürlich wichtig, sich anzuschauen, was genau da passiert ist, denn ganz oft kommen die Hilfesuchenden nur mit einer groben Symptombeschreibung zu uns und wir müssen dann wie Ärzte versuchen herauszufinden, was denn die Ursache dafür ist. Das ist für uns zum einen relevant, um den Schaden abschätzen zu können, und zum anderen natürlich Grundvoraussetzung für den nächsten Schritt, nämlich den Schaden einzudämmen. Es gibt ja unterschiedliche Arten von Sicherheitsvorfällen, und manche davon entwickeln sich drastisch weiter, wenn man nicht eingreift. Vielleicht wächst der Schaden ins Unüberschaubare. Vielleicht kann ich aktuell noch etwas retten, wenn ich jetzt aber noch einen Tag warte, dann nicht mehr. Deswegen ist es wichtig, als nächstes erst mal zu schauen, dass sich der Schaden möglichst nicht vergrößert. Wie genau ist von Fall zu Fall unterschiedlich. Das kann z.B. durch Runterfahren aller Rechner passieren oder auch, indem alle Geschäftspartner gewarnt werden, etwa wenn ein Angreifer die Möglichkeit hatte, Mails unter der Identität der Betroffenen zu verschicken.

Damit ist der Schaden aber ja noch nicht behoben, oder?

Richtig. Wenn der Vorfall analysiert und das Schadenspotential stabilisiert wurde, ist die nächste Priorität, die Arbeitsfähigkeit wieder herzustellen, denn so ziemlich jedes Unternehmen ist irgendwie auf funktionierende IT angewiesen. Sei es der kleine Handwerksbetrieb, der eine Webseite betreibt und Aufträge per E-Mail rein bekommt oder der Friseursalon, der seine Termine über ein System verwaltet und Verbrauchsmaterial im Internet bestellt. Wenn diese Systeme ausfallen hat das in der Regel Konsequenzen für den laufenden Betrieb. Je nachdem, wie stark sich ein Unternehmen auf die betroffene IT stützt, steht dann auch schon mal der Betrieb. Und jede Stunde, die das andauert, kostet das bares Geld, denn Gehälter müssen weiter gezahlt werden, es kann kein Geld verdient werden und eventuell drohen auch noch Vertragsstrafen, weil man Aufträge nicht fristgerecht erfüllen kann. Deswegen muss möglichst zeitnah eine Lösung gefunden werden, wie das Unternehmen wieder arbeitsfähig wird, und sei es auch nur mit Einschränkungen. Manchmal kann man Systeme aus Backups wiederherstellen oder auf Alternativen ausweichen, in anderen Fällen muss man etwas kreativer werden.

Wenn man den Schaden dann eingedämmt und die Arbeitsfähigkeit wiederhergestellt hat, kann man sich daran machen, die Systeme zu bereinigen, also die Spuren des Angriffs und alle durch den Angreifer eventuell eingespielte Schadsoftware zu beseitigen um dann schlussendlich den Zustand vor dem Angriff wiederherzustellen. Diese Schritte sind übrigens nicht unbedingt klar getrennt. Es kommt schon auch vor, dass man, um wieder arbeiten zu können, alle Systeme neu aufsetzen muss, etwa wenn man die Systeme herunterfahren muss, um eine weitere Ausbreitung zu verhindern, aber kein Ersatzgerät zur Verfügung steht, auf dem man weiterarbeiten kann. Das ist von Fall zu Fall unterschiedlich. In manchen Fällen ist hier auch ein Vor-Ort-Einsatz nötig, damit alles wieder funktioniert wie vor dem Angriff.

Ist der Prozess dann schon zu Ende?

Häufig kommt dann natürlich die Frage, wie man denn jetzt dafür sorgt, dass einem das in Zukunft nicht mehr passiert. Und das ist genau die richtige Frage, denn es hilft ja nichts,wenn ich jetzt nur die Systeme säubere oder neu aufsetze und dann in zwei Monaten den nächsten Vorfall habe. Das ist immer wichtig, sich das bewusst zu machen: Nur weil die Symptome weg sind und die Spuren des Angriffs beseitigt wurden, hat man die eigene Position noch nicht verbessert. Es wurde ja nichts an den Rahmenbedingungen geändert. Das, was dazu geführt hat, dass mir das jetzt passiert ist, kann halt jederzeit wieder dafür sorgen, dass mir das erneut passiert. Man sollte so etwas immer zum Anlass nehmen, die eigene Sicherheitspraxis zu überprüfen und zu verbessern.

Und welchen Teil davon übernimmt die Cyberwehr?

Die Cyberwehr selbst stellt die Infrastruktur, also die Hotline, und diverse Server, mit denen wir arbeiten, organisiert Schulungen und übernimmt ansonsten vor allem eine koordinierende Rolle. Die praktische Fallarbeit übernehmen die sogenannten Cyberwehr-Experten. Das sind Leute die, wie ich, für eines der Partnerunternehmen der Cyberwehr arbeiten und ihre Kompetenzen der Cyberwehr zur Verfügung stellen. Die Idee dahinter ist, ein breites Netzwerk von Partnerunternehmen aus ganz BaWü aufzubauen, um überall jemanden in der Nähe zu haben, dessen Kompetenzen zu den Anforderungen des Falls passen. Das Ganze ist übrigens kein Ehrenamt, die Partnerunternehmen bekommen den Einsatz nämlich bezahlt, dazu aber später mehr.

Die Cyberwehr kann aber natürlich kein kostenloses Rundum-Sorglos-Paket für IT-Sicherheit anbieten, das wäre denke ich auch nicht nachhaltig. Die Aufgaben der Cyberwehr sind daher klar definiert. Wir unterstützen bei der Begrenzung des Schadens durch erste Soforthilfemaßnahmen, sorgen gemeinsam mit den Betroffenen für Erhalt oder Wiederherstellung der Arbeitsfähigkeit und führen eine Schadensanalyse und Erstberatung bezüglich des weiteren Vorgehens durch. Eben wie die Feuerwehr, die kommt, um den Brand zu löschen, zu schauen, dass das Feuer nicht wieder ausbricht und einem sagt was jetzt die nächsten Schritte sind, aber danach eben nicht die Wohnung entkernt, saniert und Rauchmelder installiert.

Wie geht die Cyberwehr da vor und wie kommen wir als synyx ins Spiel?

Ich skizziere mal einen typischen Fall. Der erste Schritt ist, dass den Betroffenen das Problem auffällt und sie die Hotline anrufen. Da geht dann ein Disponent der Cyberwehr-Leitstelle ans Telefon, der den Fall aufnimmt, auch schon erste Rückfragen stellt, um einen groben Überblick über die Lage zu bekommen und, je nach Fall, vielleicht auch schon erste Soforthilfemaßnahmen empfehlen kann. Das Bild, das sich daraus ergibt, ist natürlich oft nur ein sehr grobes. Je nachdem, wann der Vorfall entdeckt wird, sind die Kollegen, die die relevanten Infos liefern können, vielleicht schon im Feierabend, oder das ganze passiert am Wochenende. Generell ist das natürlich auch meist eine sehr stressige Situation für die Betroffenen, wenn ein Sicherheitsvorfall festgestellt wird. Da ist völlig klar, dass man nicht direkt einen kompletten Überblick über die Lage hat. Deswegen rufen die Unternehmen ja auch bei der Cyberwehr an.

Genau darum geht es dann auch im zweiten Schritt, der Verfallsanalyse. Der Disponent wählt nun mit den Informationen aus der Vorfallsannahme einen Analysten aus dem Expertennetzwerk der Cyberwehr aus, dessen Kompetenzprofil auf den Fall passt. Und da komme ich als Vorfallsanalyst ins Spiel. Die Leitstelle ruft mich dann an, stellt mir kurz den Fall vor, fragt, ob ich Zeit habe, und wir setzen einen Termin für die Vorfallsanalyse fest. Der Termin muss natürlich sehr zeitnah passieren, weil sich die Schäden eben wie gesagt entwickeln können. Aber durch das breite Netzwerk ist es nicht schlimm, wenn man selbst genau in dem Zeitraum keinen freien Termin findet, dann geht der Fall eben an einen anderen Analysten. Ist ein Termin gefunden, erhalte ich das Protokoll mit den Informationen aus der Vorfallsannahme und kann mich schon mal auf das Analysegespräch vorbereiten. Beim Analysegespräch sind dann außer mir noch jemand von der Cyberwehr Leitstelle und natürlich die Betroffenen dabei. Im Optimalfall mit jemandem aus der IT und der Geschäftsführung, damit möglichst zeitnah Informationen beschafft und Entscheidungen getroffen werden können.

Für mich als Analyst beginnt dann die eigentliche Arbeit. Ich muss jetzt viele Fragen stellen, um einen genauen Überblick über die Infrastruktur, die Symptome und mögliche Ursachen zu bekommen. Ich habe da im Endeffekt zwei Aufgaben: Priorität Nummer eins ist es, den Schaden einzudämmen, also dafür zu sorgen, dass keine weiteren Schäden dazukommen. Priorität Nummer zwei ist es dann, die Betroffenen so schnell wie möglich wieder arbeitsfähig zu bekommen. Dazu erstellen wir gemeinsam mit den Betroffenen ein Konzept, sprechen Handlungsempfehlungen aus und planen nächste Schritte. Umsetzen müssen das aber die Betroffenen selbst, wir können hier nur beraten.

Das ist aber nur die fachliche Seite des ganzen. Dazu kommt natürlich, dass die ganze Situation, wie gesagt, für die Betroffenen sehr stressig sein kann, denn nicht jedes Unternehmen kann einen Angriff gleich gut wegstecken. Für einen kleinen Familienbetrieb können die Schäden aus so einem Vorfall schnell an die Reserven oder die Existenz gehen, da wird es dann schnell emotional. Dazu kommt, dass die meisten Unternehmen, die die Cyberwehr anrufen, eben nicht aus der IT-Branche kommen und so zu dem eh schon komplexen Thema IT jetzt noch die komplett neue Dimension IT-Sicherheit dazu kommt. Daher ist es hier besonders wichtig, die Betroffenen erstmal zu beruhigen und ihnen einen klaren, sachlichen Überblick über die Situation, Schadenspotentiale und ihre Handlungsoptionen zu geben. Manchmal muss man den Betroffenen aber auch ins Gewissen reden, um ihnen die Brisanz des Vorfalls klar zu machen.

Wenn wir mit der Vorfallsanalyse durch sind, bekommen die Unternehmen ein sogenanntes Vorfallsbild, also einen Bericht von uns, in dem alle Erkenntnisse aus der Vorfallsanalyse, Schadenspotentiale und unsere Handlungsempfehlungen aufgeführt sind. Bis hier hin ist das ganze für die Betroffenen komplett kostenlos. Danach gibt es dann zwei Möglichkeiten: Entweder ist für die Unternehmen alles geklärt und sie kriegen den Rest alleine hin, eben aus den Empfehlungen, die wir ihnen ausgesprochen haben, oder es kommt ein optionaler dritter Schritt dazu. In diesem Schritt kann die Cyberwehr dem hilfesuchenden Unternehmen weitere Hilfe vermitteln. Das sind dann auch Experten aus dem Netzwerk der Cyberwehr, die dann, sei es vor Ort oder remote, mit den Betroffenen gemeinsam die Infrastruktur wieder hinbiegen und dafür sorgen, dass alles wieder läuft. Da können dann auch präventive Sicherheitskonzepte entwickelt oder Forensik betrieben werden, was immer das Unternehmen eben möchte. Aber was da vor Ort getan werden muss, fällt nicht mehr ins Aufgabenspektrum der Cyberwehr und ist daher für die Betroffenen kostenpflichtig. Die Cyberwehr übernimmt hier aber nach wie vor die Koordination und ist Hauptansprechpartner für die Betroffenen. In solchen Fällen wird dann in Absprache mit den Betroffenen ein Angebot erstellt und ein passendes Einsatzteam geformt.

Hast du ein typisches Beispiel für so einen Vorfall, also gibt es Dinge, die ganz oft passieren oder ist das immer unterschiedlich?

Sicherheitsvorfälle sind so vielfältig wie Angriffstechniken, die Angreifer und ihre Ziele selbst, zudem ständig im Wandel. Aber natürlich gibt es da auch Trends und Angriffe, die sich nicht gezielt und hochspezifisch auf ein Ziel richten, sondern in die Breite gehen, wie etwa die klassischen “Sie haben ein iPhone gewonnen, klicken Sie jetzt hier” Mails. Das, was bei der Cyberwehr rein kommt, ist aber nur bedingt repräsentativ für das, was in der Realität passiert. Wir kriegen natürlich bei weitem nicht alles mit, denn nicht jeder kennt die Cyberwehr und nicht jeder Sicherheitsvorfall wird überhaupt bemerkt. Manchen ist es vielleicht auch schlicht peinlich, dass sie gehackt wurden. Wir sehen also nur die Schnittmenge der Unternehmen, die einen Vorfall bemerkt haben, die Cyberwehr kennen und beschlossen haben, sich Hilfe zu holen. Das sind dann typischerweise die Fälle, bei denen man die Auswirkungen deutlich spürt. Ein Beispiel wäre da der klassische Ransomware-Angriff. Jemand fängt sich eine Schadsoftware ein und diese Schadsoftware verschlüsselt nach und nach alle Dateien und hinterlässt ein Erpresserschreiben, englisch Ransom Notice, in welchem dann zur Zahlung von mehreren tausend bis zehntausend Euro, typischerweise via Bitcoin, aufgefordert wird, mit dem Versprechen, dass die Angreifer nach Zahlungseingang eine Möglichkeit zur Verfügung stellen, um die Dateien wieder zu entschlüsseln.

Was macht man in so einem Fall?

Wir empfehlen zunächst mal ganz klar, nicht zu zahlen. Grund ist einfach, dass man keinerlei Garantie hat, nach Zahlung des Betrags auch tatsächlich die Dateien zurück zu bekommen. Es gibt sogar Fälle, die aussehen wie ein normaler Ransomware-Angriff, in denen die Dateien aber gar nicht verschlüsselt, sondern überschrieben oder gelöscht wurden. Da gibt es dann, selbst wenn der Angreifer kooperieren würde, rein technisch keine Möglichkeit mehr, wieder an die Daten zu kommen. Natürlich kann es Fälle geben, in denen keine Backups existieren und man wirklich unbedingt auf die Daten angewiesen ist, da kann man dann schon versuchen, mit dem Angreifer zu verhandeln. Es hat tatsächlich schon Fälle gegeben, wo Einrichtungen aus dem Medizinbereich getroffen wurden, die den Angreifern dann klar machen konnten, dass an diesen Daten Menschenleben hängen und wo die Angreifer dann tatsächlich eingelenkt und auf eine Lösegeldzahlung verzichtet haben. Aber solche Fälle sind die absolute Ausnahme. Dagegen steht eine Vielzahl von Fällen, in denen Lösegeld gezahlt und dann nie wieder etwas vom Angreifer gehört wurde und die Daten verschlüsselt blieben. Und dann sind eben nicht nur die Daten, sondern zusätzlich auch noch eine ordentliche Stange Geld weg.

In manchen Fällen kann die Verschlüsselung der Angreifer aber geknackt werden, etwa weil der Angreifer beim Schreiben der Schadsoftware Fehler gemacht hat. Und dann können Entschlüsselungstools gebaut werden, welche ohne den Schlüssel des Angreifers auskommen. Solche Tools werden z.B. auf der Webseite nomoreransom.org gesammelt. Die Angreifer sind aber meist auch nicht dumm und setzen dann eben auf andere Schadsoftware, für die kein solches Entschlüsselungstool existiert. Zu einem aktuellen Fall dort ein Entschlüsselungstool zu finden ist daher eher unwahrscheinlich, aber man kann die verschlüsselten Daten aufheben und mit etwas Glück kann die Schadsoftware irgendwann geknackt werden und man kommt wieder an die Daten. Das beste Mittel gegen Ransomware ist und bleibt aber Prävention in Form eines sinnvollen Backupkonzepts.

Hast du noch andere Empfehlungen für Unternehmen um sich abzusichern?

Unsere Empfehlungen sind natürlich immer fallbezogen, aber es fällt auf, dass es ein paar Dinge gibt, die wir immer wieder empfehlen. Neben den spezifischen Empfehlungen gibt es eben ein paar grundsätzliche Dinge, die Unternehmen tun können, um das Risiko solcher Angriffe bzw. die Schäden daraus massiv zu senken. Da ist Punkt eins definitiv Software und Systeme aktuell zu halten. Also nicht nur immer die Windows Updates durchzuführen, Sicherheitsupdates wirklich zeitnah einzuspielen, sich auch zu vergewissern, dass das wirklich passiert und sich nicht darauf verlassen, dass das schon automatisch passieren wird, sondern eben auch Anwendungen und andere Komponenten, die man gerne mal vergisst, wie z.B. den Router oder Netzwerkdrucker aktuell zu halten. Was man gerne mal sieht ist ein top-aktuelles Windows 10 mit allen Updates, darauf aber eine veraltete Office-Version, die vom Hersteller nicht mehr unterstützt wird und daher seit zwei Jahren keine Sicherheitsupdates mehr bekommt. In diesen zwei Jahren können aber halt allerhand Schwachstellen gefunden werden, die dann vom Hersteller nicht mehr behoben werden. Und die kursieren dann natürlich im Netz. Da gibt es tatsächlich richtige Börsen, in denen die Hacker, die die Schwachstelle gefunden haben, diese an andere Hacker verkaufen, welche die Schwachstellen dann ausnutzen wollen. Wenn ich keine Sicherheitsupdates mehr bekomme, bin ich da schlicht und einfach angreifbar. Und Office und E-Mail sind dabei besonders empfindlich, denn ganz häufig läuft der erste Schritt, mit dem Angreifer in die Systeme eindringen, eben über E-Mail und Office ab. Das geht von der total offensichtlichen “Jetzt supergünstige Haarwuchsmittel/Potenzpillen/Sofortkredite/…” Mail mit tausend Schreibfehlern bis hin zur super legitim aussehenden Mail deiner Bank, in der auch Daten drin stehen, die eigentlich nur die Bank wissen sollte, mit korrekten Logos und dem Namen der eigenen Sachbearbeiter. Und auch die alte Regel, keine Anhänge aus Mails zu öffnen, deren Absender man nicht kennt, funktioniert für Unternehmen nur bedingt. Denn für Unternehmen ist es absolut üblich, Office-Dokumente von Fremden zu erhalten und zu öffnen – man denke da mal an Aufträge neuer Kunden oder Bewerbungen.

Dann ist wie gesagt Prävention ganz wichtig. Es ist ja so: Ich muss tausend Dinge beachten, wenn ich eine Firma absichern will. Der Angreifer muss aber nur eine Sache finden, die ich nicht bedacht habe, um reinzukommen. Den interessiert nicht, wie gut und sorgfältig ich den Rest abgesichert habe. Deswegen nie darauf verlassen, dass schon alles sicher sein wird, sondern immer auch für den Ernstfall vorplanen. Das heißt sich Gedanken zu machen, was passiert, wenn der Worst Case auftritt und ich meine komplette Infrastruktur plattmachen und neu aufsetzen muss, wie ich dann vorgehe und was ich brauche, um weiter arbeiten zu können. Dafür ein Konzept zu haben, kann im Ernstfall viel Zeit sparen. Ein Baustein davon sind definitiv Backups. Im einfachsten Fall können das zwei externe Festplatten sein, auf die man im Wechsel sichert. Zwei, weil es immer sein kann, dass eine kaputt geht oder zufällig genau in dem Moment am Rechner hängt, in dem die Schadsoftware aktiv wird. Aus diesem Grund sollte man diese Platten dann auch nur zum Backup anschließen und danach direkt wieder abstecken und in den Schrank legen. Selbst das beste Backup nützt mir nichts, wenn es dann von der Ransomware mit verschlüsselt wird. Dann sollte man Backups langfristig denken. Manchmal liegt eine Schadsoftware für Wochen oder gar Monate inaktiv auf dem System, bevor sie vom Angreifer aktiviert wird und zuschlägt. Wenn ich dann nur Sicherungen von den letzten sieben Tagen habe, kann ich die zwar einspielen, aber spiele damit vielleicht auch die Schadsoftware wieder mit ein. Natürlich kann es auch sein, dass mir erst nach einer Woche auffällt, dass meine Daten verschlüsselt wurden, weil ich sie nur selten brauche. Auch da helfen mir sieben Backups der schon verschlüsselten Daten nicht weiter. Das Stichwort lautet hier “Backup nach dem Generationenprinzip”, also z.B. tägliche Sicherungen für die letzten 14 Tage, wöchentliche Sicherungen für ein Quartal und quartalsmäßige Sicherungen für die letzten zwei Jahre aufbewahren. Und wenn man dann noch sicherer sein will, lagert man die Festplatten in unterschiedlichen Gebäuden. Dann ist man sogar für den Fall abgesichert, dass die Firma niederbrennt.

Punkt drei auf der Liste sind für mich definitiv sichere Passwörter. Ich glaube die meisten kennen das Thema schon: Ständig muss man sich irgendwo Passwörter ausdenken, aber wer kann sich schon 30, 50, 100 verschiedene, lange und komplexe Passwörter merken? Viele Leute lassen sich deshalb dazu hinreißen, wenige Passwörter oder sogar nur eins für eine Vielzahl an Diensten zu verwenden oder Passwörter nach einem bestimmten Schema, etwa Name der Seite plus Jahreszahl und vielleicht noch ein Ausrufezeichen, zu erstellen. Spannenderweise passiert das meist nicht aus Unwissenheit. Den Leuten ist komplett klar, dass das keine sichere Praxis ist, aber ihnen fehlt die Alternative. Und da kann ich nur jedem, egal ob Unternehmen oder Privatperson, empfehlen, einen Passwortmanager zu verwenden, denn der löst dieses Problem und spart meist sogar noch Arbeit. Mit einem Passwortmanager kann ich für jeden Dienst ein super langes und komplexes Passwort vergeben, das ich mir nie merken könnte, und das muss ich auch nicht. Ich muss mir nur noch ein einziges sicheres Passwort merken, nämlich das für den Passwortmanager. Und im besten Fall spart mir der Passwortmanager auch noch richtig Arbeit, weil er die ganzen Passwörter sogar für mich eintippt. Da ein bisschen die Augen aufmachen, welchen man da auswählt. Vielleicht einen nehmen, der regelmäßig von externen Experten überprüft wird und die Ergebnisse davon auch veröffentlicht. Und dann kann man, was Passwörter angeht, echt ruhig schlafen. Bonuspunkte gibt’s dann noch, wenn man, wo das möglich ist, noch die Zwei-Faktor-Authentifizierung aktiviert. Das bedeutet, dass man zusätzlich zum Passwort noch etwas anderes benötigt. Meist ist das ein sechsstelliger Code, den man sich über eine App generieren kann oder per SMS zugeschickt bekommt. Das unterstützen immer mehr Dienste und ist ein großartiger Schutz, da ein Angreifer so selbst, wenn er das Passwort erraten oder geklaut hat, trotzdem nicht in den Account kommt, da ihm eben das Gerät fehlt, auf dem man den Code generiert oder empfängt.

Und dann kann man natürlich die Liste gängiger Härtungsmaßnahmen durchgehen, also nichts ans Internet hängen, was nicht unbedingt am Internet hängen muss, was am Internet hängen muss durch eine Firewall absichern und so weiter. Aber die Liste ist lang und da kann man sehr ins Detail gehen. Mit den drei Maßnahmen, Software und Systeme aktuell halten, Backups machen und Passwortmanager einsetzen, kann man denke ich mit verhältnismäßig geringem Aufwand viel bewirken.

Eines sollte man sich aber bewusst machen und nie vergessen: Sicherheit ist kein Produkt, sondern ein Prozess. Sicherheit ist nichts, was ich einmal mache und danach bin ich sicher, sondern ich muss konstant am Ball bleiben. Das Thema entwickelt sich immer weiter, für jede Lücke, die gestopft wird, finden die Angreifer eine Neue, und was vor einem halben Jahr noch als sicher galt, kann plötzlich schon nicht mehr ausreichen. Wer das Thema Sicherheit unterschätzt muss damit rechnen, früher oder später selbst ein Fall für die Cyberwehr zu werden.