Das 51. BremSec-Forum fand erneut in der Handelskammer statt und hatte dieses Mal das Thema Cyberangriff bzw. was Unternehmen nach einem erfolgreichen Hackerangriff beachten sollten. Dazu referierte Ralph Bargmann von der StadtWerkegruppe Delmenhorst in einem Impulsvortrag, um eine sich anschließende Diskussion zu ermöglichen. Dabei wurde auch das Für und Wider von Cyberversicherungen aufgegriffen - ein sehr aktuelles Thema, welches leider heutzutage alle Unternehmen mehr oder weniger betrifft.

Die StadtWerkegruppe versorgt mit 338 Mitarbeitern insgesamt 36.000 Haushalte in Delmenhorst mit Wasser und Strom. Diverse Netzwerke werden aus Sicherheitsgründen voneinander getrennt betrieben. Ralph Bargmann leitet seit 2017 den Bereich IT, Organisation und Sicherheit bei der StadtWerkegruppe und ist dementsprechend auch für die IT-Sicherheit zuständig. Er referierte, dass laut des Branchenverbands Bitkom (www.bitkom.org) im Zeitraum von 2019 bis Ende 2021 die Schäden durch Ransomware um 358 % angestiegen sind. Dabei werden betroffene Unternehmen oftmals mehrfach erpresst. Eine reine Backup-Strategie ist daher nicht mehr ausreichend. Jedes zweite Unternehmen bezahlt die Erpressung – soweit die statistischen Fakten.

Aber was sollten Unternehmen eigentlich beachten, wenn ein solcher Ernstfall eintritt? Als Erstmaßnahmen wurden u.a. ein Notfallplan und die Trennung aller Systeme vom Internet genannt. Eine abrupte Trennung beinhaltet aber auch, dass das betroffene Unternehmen erst einmal nicht mehr arbeiten kann. Deshalb muss diese Entscheidung jedes Unternehmen für sich abwägen. Wichtig ist dabei aber, dass im Vorfeld entsprechende Prozesse definiert wurden, um solche Entscheidungen auf den Weg bringen zu können. Weiter wichtig ist, dass es keine Nutzung privilegierter Konten auf potenziell infizierten IT-Systemen im Produktivnetz gibt, man alle Administrationen (OT, IT, Dienstleister etc.) informiert, die betroffenen Systeme/Umgebungen isoliert und die Auswirkungen analysiert.

Da viele IT-Systeme von einem Cyberangriff betroffen sind, sollte eine eigene Liste mit Schwerpunkten und Kontaktdaten möglichst Offline gehalten werden. Denn es ist wahrscheinlich nicht möglich, den zentralen Exchange-Server mit allen Kontaktdaten im Ernstfall aufzurufen. Im Vorfeld könnten Unternehmen sich informieren, welche Dienstleister es zur Wiederherstellung von Daten oder für die Forensik gibt. Beispielsweise empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) qualifizierte Advanced-Persistent-Threat-Response-Dienstleister (Stand: Juni 2022) auf ihrer Webseite: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.html.

Außerdem gilt es Meldepflichten zu beachten. So müssen der Informationssicherheitsbeauftragte (wenn es ihn im Unternehmen gibt), der Datenschutzbeauftragte, der Vorstand/die Geschäftsführung (etwaige Aufsichtsgremien), Versicherungen (generelle mit einbezogen),  Dienstleister (ggf. wegen vertraglicher Informationspflichten) und der Personal-/Betriebsrat (bzgl. personenbezogener Daten, anfallender Überstunden etc.) informiert werden, wenn es zu einem Sicherheitsvorfall kommen sollte. Das BSI hat sogar das BSIG-Gesetz für Kritische Infrastrukturen (KRITIS) erlassen und es gibt die EU-NIS-Richtlinie für KRITIS-Unternehmen. Zur besseren Außenwirkung sollte die Kommunikation über den Pressesprecher (soweit vorhanden) einheitlich erfolgen und das betroffene Unternehmen sollte offen mit dem Vorfall umgehen, um Reputationsschäden zu vermeiden. Die Krisenkommunikation ist aber auch intern wichtig. Hier sollte im Vorfeld eine einheitliche Sprachregelung geschaffen werden. Es hilft ebenfalls bereits eine Webseite vorzubereiten, die über mögliche Schäden und die getroffenen Gegenmaßnahmen informiert und im Ernstfall online geschaltet wird. Denn im Krisenfall hat dafür kein Mitarbeiter mehr Zeit. Auch soziale Medien und ein Notfalltelefon könnten dafür einbezogen werden.

Ob ein Lösegeld bezahlt werden sollte, muss hingegen jedes Unternehmen für sich entscheiden und hängt auch vom Umfang des Schadens ab (z. B. ob ein funktionierendes Backup vorhanden ist). Eine Lösegeldzahlung ist allerdings keine Wiederherstellungsgarantie und die Polizei sollte auf jeden Fall eingeschaltet werden. Eine formlose Information an eine Dienststelle zur Strafanzeige ist dabei ausreichend. Helfen kann in diesem Zusammenhang auch eine Cyberversicherung, die im Vorfeld durch entsprechende Fragebögen bereits auf IT-Sicherheitsproblematiken hinweisen kann. Wichtiger in diesem Zusammenhang ist es aber, dass solche Versicherungen meistens auch auf ein Kompetenznetzwerk zurückgreifen können, um möglichst schnell technische Hilfe anbieten zu können. Ob eine Versicherung so etwas anbietet bzw. auf kompetente Firmen zurückgreifen kann, sollte daher auf jeden Fall im Vorfeld abklärt werden.

Die DECOIT^® GmbH brachte noch andere Aspekte in die anschließende Diskussion mit ein. So sollte ein Unternehmen im Vorfeld bereits seine technischen Abwehrmöglichkeiten kennen und verbessern, die durch ein IT-Sicherheitskonzept analysiert und dokumentiert werden können. Auch sollte es eine klare Backup-Strategie geben. Offline-Medien von LTO-Laufwerken wurden beispielsweise von der DECOIT^® GmbH immer schon empfohlen und stehen nun wieder in der Beliebtheitsskala weit oben, da Online-Backups in vielen Fällen mit verschlüsselt werden. Dabei ist allerdings zu analysieren, ab wann der Trojaner in das Unternehmen gelangte, um eine Wiederherstellung der Daten erst vor diesem Zeitpunkt anzustoßen. Die Ausfall- und Wiederherstellungszeiten sind ebenfalls zu berücksichtigen. Auch sollte der Backup-Server nicht im selben Netz mit den Produktivsystemen stehen. Hinzu kommt, dass der Stand der Technik bei den IT-Sicherheitsvorkehrungen mindestens umgesetzt und kontinuierlich überprüft werden sollte. Denn auch Firewall-Systeme sind nur so gut, wie sie eingerichtet wurden.

Zusammenfassend wurde festgehalten, dass ein Notfallmanagement-Handbuch eine sinnvolle Investition ist, um im Schadensfall vorbereitet zu sein. Dabei sind auch Lieferengpässe zu beachten (wenn ausgefallende Hardware vorhanden ist). Denn Firewalls, Switches und Serversysteme sind durch die Corona- und politische Lage nicht mehr ad-hoc lieferbar. Daher sollte eine Anpassung der Ersatzteilvorhaltung vorgenommen, die Backup-Strategie überprüft, ein Sicherheitskonzept und ein Notfallmanagement etabliert werden.