Kontakt

Zurück zur Übersicht

Top 3 Bedrohungen für die IT-Sicherheit bei KMU

, Tags:
Roland Portmann, Carlos Rieder und Oliver Hirschi

Dieser Bericht basiert auf einer Besprechung von Roland Portmann, Carlos Rieder und Oliver Hirschi, die gemeinsam versucht haben, die Top 3 Bedrohungen für KMU Firmen zu identifizieren.

Gemäss den Angaben des Bundesamtes für Statistik gibt es in der Schweiz knapp 600'000 Betriebe. 90% dieser Unternehmen haben weniger als 10 Angestellte und werden als Mikro-Unternehmen bezeichnet. Etwas über 40% aller Angestellten arbeiten in Firmen mit weniger als 50 Mitarbeitenden. Diese kleinen Unternehmen kümmern sich erfahrungsgemäss nur wenig um Informationssicherheit, da sie sich auf das Kerngeschäft fokussieren müssen. Vielfach haben sie die Betreuung der gesamten IT an externe Partner ausgelagert.

Wir beschreiben die drei grössten IT-Vorfälle, welche Mikro-Unternehmen und kleine KMU am meisten bedrohen. Die IT-Bedrohungen sind seit dem letzten Bericht grundsätzlich identisch geblieben, haben sich aber in der Ausprägung verändert.

Bedrohung 1: Malware / Schadsoftware

Bei Malware oder Schadsoftware spricht man von Programmen, die etwas machen, was den Interessen des Anwenders widerspricht. Während auch kleine Firmen die klassische Malware (Viren, Würmer usw.) recht gut im Griff haben, verursacht die Verseuchung mit Trojanern immer grössere Schäden: Daten können abgezogen, verschlüsselt oder gelöscht werden, Backups werden unbrauchbar gemacht und vieles mehr. Die Folgen eines Angriffes sind für KMU oft desaströs.

Generell fand in den vergangenen zwei Jahren eine sehr starke Professionalisierung der Angriffe statt. Die Angreifer haben komplexe Unternehmensstrukturen oder sind auf verschiedene Organisationen aufgeteilt: Eine Organisation oder ein spezialisierter Organisationsteil führt beispielsweise die erste Phase durch, d.h. es wird ein externer Zugang zu den Systemen einer angegriffenen Firma erstellt. Es folgen weitere Phasen wie Erweiterung der Zugriffsrechte, Sammeln und Untersuchen von Daten, Verschlüsselung, Erpressung, Einkassieren usw. durch weitere spezialisierte Organisationen. Es finden teilweise auch Angriffe aus dem Darknet statt. Erfolge der Polizei oder von spezialisierten Firmen haben daher in der Regel nur einen kleinen, zeitlich beschränkten positiven Einfluss.

Während früher vorwiegend der Trojaner Emotet für die erste Phase benutzt wurde (siehe auch https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/emotet.html), werden heute auch andere Produkte für diese Phase verwendet. Für die weiteren Phasen werden sehr unterschiedliche Methoden und Praktiken eingesetzt, was die Abwehr sehr erschwert.

Heute betreiben die Angreifer recht viel Aufwand für die Auswertung der illegal kopierten Daten. Sie streben einen möglichst hohen Erpressungsbetrag an, den die angegriffene Firma bezahlen kann, ohne direkt in den Konkurs zu laufen. Vorwiegend (aber nicht ausschliesslich) werden finanzstarke Firmen Opfer eines Angriffes.
In der ersten Phase wird häufig mit gefälschten E-Mails gearbeitet (siehe auch nächste Bedrohung). In Anhängen oder Links ist die eigentliche Malware versteckt.
Die typische Laufzeit eines Angriffes ist wegen der verschiedenen beteiligten Organisationen und dem dazwischenliegenden Handel auf dem Darknet relativ lange und liegt typischerweise zwischen 10 Tagen und 12 Monaten. Es ist meistens ausreichend Zeit verhanden, um den Angriff zu entdecken und sich entsprechend zu verteidigen.

Es haben sich verschiedene Abwehrmechanismen für Ransomware bewährt:

  • Einsatz eines Schutzprogramms wie beispielsweise AppLocker vom Microsoft. Dieses lässt nur die Ausführung von im Voraus bestimmten Programmen zu. Somit kann keine Schadsoftware gestartet werden. Die korrekte Konfiguration eines AppLockers kann recht aufwändig sein.

  • Eine gute Sensibilisierung und Schulung der Mitarbeitenden kann viel bringen, da am Anfang eines Angriffs sehr oft die falsche Aktion eines Mitarbeitenden steht.

  • Die Abwehrmechanismen für Malware werden immer besser und sind teilweise speziell auf Trojaner zugeschnitten. Ein gutes Produkt ist daher sehr wichtig.

  • Falls das KMU mit einem externen Dienstleister zusammenarbeitet, kann der externe Dienstleister mit einem SOC (Security Operation Center) geschützt sein. Ein SOC wird typischerweise von einer Security Firma betrieben, die versucht, eine mögliche Infektion mit einer Ransomware zu entdecken und allenfalls Massnahmen einzuleiten. Es können auch weitere Dienstleistungen von einem SOC angeboten werden. Typischerweise werden Dienstleistungen in Security-Bereich angeboten, die sehr gut skalieren (Einsatz bei vielen Firmen). Die SOC’s sind eine neue Dienstleistung, die erst im Aufbau begriffen ist. Für ein Mikro-Unternehmen ohne externen IT-Dienstleister ist heute ein SOC vielfach zu teuer.

Abwehr von Malware

Bei einer Ransomware-Attacke werden in der Regel verschiedene Malware-Produkte eingesetzt. Es ist sehr wichtig, dass ein Malware-Befall verhindert wird. Die folgenden Massnahmen haben sich in der Praxis als notwendig erwiesen:

  • Stellen Sie sicher, dass alle Sicherheitsupdates eingespielt werden und möglichst aktuelle Versionen von Applikationsprogrammen verwendet werden. Stellen Sie dies insbesondere auch bei Nicht-Microsoftprodukten sicher. Bei Microsoftprodukten hat sich der Einsatz von WSUS-Installationen (Automatisiertes Updateverfahren) im KMU Umfeld sehr bewährt.

  • Stellen Sie sicher, dass ein gutes Antimalware-Produkt eingesetzt wird. Dieses muss heute sehr häufig (mindestens täglich) aktualisiert werden.

  • Stellen Sie ein gutes Backup sicher. Es ist insbesondere darauf zu achten, dass eine Malware das Backup nicht überschreiben kann. Traditionelle Offline Backups auf Band werden als recht sicher betrachtet. Das korrekte Wiedereinspielen (Restoren) der Backupdaten sollte regelmässig getestet werden.

  • Stellen Sie sicher, dass Benutzende mit Administratorrechten mit diesem Account keine E-Mails verfassen können. Auch ein Internetzugriff ist mit Administratorrechten gefährlich.

  • Stellen Sie sicher, dass Anhänge (auch von bekannten Absendern!!) nicht einfach geöffnet werden können. Die Ausführung von Makros sollte generell gesperrt sein. Es ist heute praktisch nie notwendig, dass die Makros wirklich unverzichtbar sind. Klicken Sie auch keine Links in E-Mails an. Bei Unsicherheiten muss den Benutzern effizient geholfen werden. Es gibt verschiedene Methoden, um festzustellen, ob eine E-Mail gefälscht ist. Ein Spezialist oder ein IT-Administrator sollte diese kennen.


Bedrohung 2: Identitätsdiebstahl

Beim Identitätsdiebstahl werden Identitätsinformationen einer Person (E-Mail-Adresse, Benutzername, Passwort etc.) gestohlen. Die entwendeten Identitäten werden danach bei sehr vielen Angriffen (Einloggen in Firmeninfrastruktur, Einloggen in andere Accounts mit dem gleichen Passwort usw.) eingesetzt.

Primär sind zwei verschiedene Arten zu unterscheiden, wie Angreifer in den Besitz einer Identität kommen können. Die Identitätsinformationen können entweder durch das Hacken von Online-Dienstleistern entwendet oder durch Phishing beim Opfer selbst beschafft werden.

Hacken von Online-Diensten

Durch das Hacken von Online-Diensten (z.B. LinkedIn, Dropbox) können Angreifer auf einen Schlag an Tausende oder Millionen von Identitäten gelangen. Seriöse Anbieter speichern das Passwort zwar nicht in Klartext, werden aber unsichere Passwörter verwendet, ist es oft ein Kinderspiel diese zu knacken.
Auf der kostenlosen Plattform «Have I Been Pwned» können Sie herausfinden, ob Ihre Login-Daten zu einem Online-Konto kompromittiert oder bei einer Datenpanne veröffentlicht wurden.

Phishing

Beim Phishing versuchen Angreifer das Opfer direkt zu veranlassen, ihm persönliche Informationen wie E-Mail-Adresse, Benutzername und/oder Passwort etc. preiszugeben. Dabei benutzen die Angreifer eine spezifische Malware oder täuschen bereits falsche Identitäten vor und versuchen so, die Gutgläubigkeit der Opfer auszunutzen. Sehr erfolgreich sind auch Wettbewerbe, wo man E-Mail-Adresse, Benutzername und Passwort angeben muss, um sich angeblich zu identifizieren.

Schutz vor Identitätsdiebstahl

Schützen Sie sich und Ihr Unternehmen vor Identitätsdiebstahl:

Eine Sensibilisierung der Mitarbeitenden ist unbedingt notwendig. Diese kann umfassen:

  • Generell nur Informationen von sich veröffentlichen (z.B. auf Social Media), welche auch einem wildfremden Menschen auf der Strasse anvertraut würden.

  • Verwendung von unterschiedlichen und sicheren Passwörtern für jeden Dienst (mind. 12 Zeichen, bestehend aus Ziffern, Gross- und Kleinbuchstaben sowie Sonderzeichen).

  • Gesunder Menschenverstand: Bei ungewöhnlichen oder zweifelhaften Kontaktaufnahmen keine Information preisgeben, auf keine Links klicken und keine Anweisungen befolgen, auch wenn Druck ausgeübt wird.

  • Verwendung eines Passwortsafes. Damit die Mitarbeitenden die Möglichkeit haben, die unterschiedlichen Passwörter zu verwalten, ist ein Passwort Safe zur Verfügung zu stellen. Dieser sollte von einem vertrauenswürdigen Anbieter stammen, z.B. SecureSafe oder KeePass.

Weiterführende Informationen zum Thema Phishing und Sichere Passwörter finden sich auf «eBanking – aber sicher!».

Bedrohung 3: Unvorbereitet auf Krisen

In letzter Zeit wurde unser Leben von verschiedenen Krisen überschattet. Das Corona-Virus beschäftigt uns noch immer stark (wenn auch in der Schweiz weniger), der Krieg in der Ukraine artet immer mehr aus und hat grosse Auswirkungen auf unsere Energieversorgung. Keine dieser Ereignisse hatte man vorausgesehen. Sie schienen undenkbar.

Eine aktuelle Notfallplanung kann Firmen helfen, viele und bekannte Krisen-Szenarien besser zu managen. Auch wenn die vorbeugend definierten Massnahmen nicht exakt auf das auftretende Szenarium passen, so sind sie vielfach sehr hilfreich, geben einen grösseren Handlungsspielraum und reduzieren so das Schadensausmass.

Heute können in einer Notfallplanung beispielsweise folgenden Szenarien betrachtet werden:

  • Malware-Befall mit Erpressung und Datenabfluss

  • Datenschutzverletzungen

  • Ausfall Serverraum (Feuer, Wasser usw.) oder Ausfall des Internets und der damit verbundene Ausfall der eingesetzten Cloud-Lösungen

  • Ausfall der Stromversorgung und/oder Telekommunikation (Unterschiedliche Massnahmen für kurzfristigen und langfristigen Ausfall notwendig)

  • Ausfall eines grossen Teils oder des gesamten IT-Teams resp. des externen IT-Partners

Die Notfallplanung konkret

Die Notfallplanung sollte die folgenden Themen abdecken:

  • Alarmorganisation: Wer kann einen Notfall ausrufen? Wer ist Mitglied des Notfallstabs? Wie wird alarmiert? Wer leitet den Notfallstab (nicht unbedingt der CEO, dieser muss im Notfall allenfalls andere Aufgaben übernehmen)? Kontaktlisten der Stabsmitglieder und der relevanten externen Supporter/Lieferanten, Kommunikation mit den Betroffenen (Der E-Mail-Server kann unter Umständen nicht mehr verfügbar sein!)

  • Szenarien: Es sind die wahrscheinlichsten Szenarien auszuwählen. Die folgenden Beschreibungen sollten in einem Notfallkonzept enthalten sein:

    • Genaue Beschreibung des Szenariums

    • Beschreibung der Auswirkungen

    • Massnahmen zur Schadensbegrenzung (z.B. Notbetrieb, Isolieren, Ersatzgeräte an Lager, Ersatzstandorte definieren und vorbereiten, Dokumentation offline verfügbar, Vorgehen beim Wiedereinspielen der Daten, Wiederanlaufpläne mit Prioritäten usw.)

    • Kommunikation gegenüber den Mitarbeitenden, den Kunden, den Regulatoren, den Medien

Einige Massnahmen können nur getroffen werden, wenn gewisse Vorarbeiten gemacht wurden. So sind beispielsweise Ersatzgeräte ans Lager zu nehmen. Einzelne Massnahmen können zudem besser durchgeführt werden, wenn sie vorbereitet und eingeübt wurden (z.B. Kommunikation mit der Presse).

Viele KMU haben keine aktuelle Notfallplanung. Die Erfahrung zeigt, dass regelmässige Überprüfungen notwendig sind. Üblicherweise sollte das Notfallhandbuch mindestens jährlich überprüft werden und es sollten für einzelne Szenarien Notfallübungen durchgeführt werden. Allfällige Erkenntnisse aus den Übungen sollten bei der Überarbeitung der Notfallplanung berücksichtigt werden.