NIS-2 und Cybersicherheit: Effektiv vor Cyberangriffen schützen
Data Privacy von Chantal Nußbaum
„Mein Unternehmen ist so klein, Hacker interessieren sich sowieso nur für große Konzerne.“ – eine trügerische Annahme vieler Unternehmen. Die Frage ist nicht, ob ein Unternehmen betroffen sein wird, sondern wann. Wir Informationssicherheitsbeauftragte und Berater für Informationssicherheitsmanagement, ISMS und Datenschutz werden nicht müde, darauf hinzuweisen, dass Unternehmen sich aktiv vor Cyberangriffen schützen müssen.
Spätestens jetzt, mit dem Inkrafttreten der NIS-2-Richtlinie müssen sich zahlreiche Unternehmen mit dem Thema Incident-Response befassen. Incident Response heißt soviel wie „die Reaktion auf Cybersicherheitsvorfälle“. Dabei umfasst die Reaktion auf Cybersicherheitsvorfälle nicht nur die Reaktion auf einen Vorfall, sondern ebenso die schnelle Erkennung von Sicherheitsvorfällen sowie die Minimierung der Auswirkungen und des Schadens.
Eine sehr verbreitete Art von Cyberangriffen ist der sogenannte Ransomware-Angriff. Dabei entwickeln kriminelle Organisationen oder Einzelpersonen Software (Ransomware) und setzen diese ein, um Zugang zu einem Computer oder einer Netzwerkkomponente zu erlangen. Anschließend werden Unternehmensdaten und auch Daten natürlicher Personen verschlüsselt. Die Angreifer fordern Lösegeld (Ransom) vom Opfer, um die entschlüsselte Zuführung zurückzugeben.
Sobald Cyber-Erpresser einmal in den Systemen sitzen, die Daten verschlüsselt und womöglich vorher noch kopiert haben, befinden sich Unternehmen in einer Ausnahmesituation. Oft wurde eine solche Situationen nicht durchdacht oder durchgespielt. Das Arbeiten ist unter diesen Umständen nicht möglich. Die Produktion steht still, Aufträge gehen verloren, Mitarbeiter können nicht mehr bezahlt werden. Jede Stunde kostet Geld.
Mit unserer Erfahrung bereiten Sie sich präventiv vor, um das Risiko eines Cyberangriffs zu reduzieren und wissen, wie Sie sich im Falle einer Attacke verhalten.
Externe Unterstützung durch Experten – präventiv und während des Angriffs
Um sich präventiv auf einen Cyberangriff vorzubereiten, können Security Checks oder Penetrationtests (PEN-Tests) durchgeführt werden. Bei einem Security Check wird geprüft, in welchem Maß Ihre IT-Infrastruktur und die eingesetzten Sicherheitslösungen den aktuellen Bedrohungen standhalten. Zudem wird untersucht, ob die Konfiguration den Best Practices der Branche entspricht. Anders als bei Penetrationstest werden hier keine Hacker-Tätigkeiten ausgeführt, sondern das Netzwerk auf bekannte Lücken untersucht.
Auch wir bieten Security Checks an und unterstützen bei der Identifikation von Schwachstellen in der IT-Infrastruktur.
Bei einem akuten Cyber-Angriff:
Häufig verfügen die betroffenen Unternehmen nicht über ausreichende interne Expertise oder Ressourcen, um schwerwiegende IT-Sicherheitsvorfälle erfolgreich zu bewältigen. Für viele Beteiligte ist es das erste Mal, dass sie mit einem solchen Angriff konfrontiert werden. Wenden Sie sich daher umgehend an externe Experten, wenn Sie einem Cyberangriff unterliegen.
Etablierung eines Krisenstabs
Oftmals gibt es in Unternehmen bereits rudimentäre Notfallkonzepte. Diese Konzepte sind allerdings nicht immer auf einen Cybersicherheitsvorfall ausgerichtet oder nicht konkret genug. Die Zusammensetzung, Rollenverteilung sowie die Zusammenarbeit mit der internen IT oder externen Experten muss in Ruhe und bevor es zu einem Vorfall kommt, bestimmt werden.
Wichtige Punkte, die vorab geklärt sein sollten:
- Kommunikation nach innen und außen: Wie und wann werden Mitarbeiter informiert? Falls relevant: Wann wird die Öffentlichkeit informiert?
- Klärung von Ressourcen und Prioritäten
- Eindämmung des Ausmaßes und Verhinderung einer Ausbreitung
- Analyse des Tathergangs
- Vorgehen für die Wiederherstellung und Umgang mit dem Notbetrieb
Meldung beim BSI
Unternehmen, die unter die NIS-2-Richtlinie fallen und zu den besonders wichtigen Einrichtungen gehören, unterliegen bei einem erheblichen Sicherheitsvorfall einem dreistufigen Meldepflichtmodell beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Ein Sicherheitsvorfall ist ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten oder Diensten beeinträchtigt, die durch IT-Systeme, -Komponenten und Prozesse bereitgestellt werden. Die Erheblichkeit eines Sicherheitsvorfalls ergibt sich aus der Schwere des Betriebsstillstands, finanziellen Verlusten oder Schäden, die er für die Einrichtung selbst oder juristische Personen verursacht.
Sofern ein solches sicherheitsrelevantes Ereignis festgestellt wird,
- muss zunächst eine unverzügliche Frühwarnung erfolgen, die innerhalb von höchstens 24 Stunden nach Kenntniserlangung des Vorfalls geschehen muss.
Dabei ist anzugeben, ob rechtswidrige oder böswillige Handlungen oder grenzüberschreitende Auswirkungen vorliegen können. - muss die Meldung eines erheblichen Sicherheitsvorfalles innerhalb von 72 Stunden mit Bestätigung oder Aktualisierung der Erstmeldung und Bewertung des Vorfalls (Schwere des Vorfalls, Auswirkungen, Gefährdung) erfolgen.
- ist spätestens einen Monat nach dem Zeitpunkt, zu dem Kenntnis von dem sicherheitsrelevanten Ereignis erlangt wurde, ein detaillierter Abschlussbericht zu erstellen. Dauert der Vorfall nach einem Monat noch an, muss das Unternehmen alternativ einen Fortschrittsbericht verfassen. In diesem Fall ist auch ein Abschlussbericht zu erstellen, sobald die Bearbeitung des Vorfalls abgeschlossen ist.
Über das Melde- und Informationsportal (MIP) können Störungsmeldungen an das BSI übermittelt werden. Die Meldungen lassen sich im Portal mittels S/MIME und PGP verschlüsseln, die Übertragung erfolgt nach dem Traffic Light Protocol (TLP).
Personenbezogene Daten: Meldung bei der Aufsichtsbehörde
Wenn Daten verschlüsselt wurden, kann es sich auch um personenbezogenen Daten von Mitarbeitern, Kunden und Lieferanten handeln. Oftmals sind zu diesem Zeitpunkt schon Daten abgeflossen und die Erpresser drohen mit einer Veröffentlichung. In diesem Fall greift die Meldepflicht nach Art. 33 DS-GVO und betroffene Unternehmen müssen den Vorfall bei der jeweiligen Aufsichtsbehörde melden.
Klare Meldepflichten und Melderegeln etablieren
Die Meldepflichten sollten bereits im Vorfeld zentral erfasst und so gespeichert werden, dass auch im Falle einer Cyberangriffs Zugriff auf die Verträge und Kontaktdaten möglich ist. Immer häufiger wird in den Verträgen von Unternehmen die Pflicht festgehalten, bei Sicherheitsvorfällen auch deren Auftraggeber zu informieren. Dies erfolgt aufgrund der gemeinsamen Verantwortung aller Beteiligten innerhalb des Kontextes der Lieferkettensicherheit.
Wenn Sie über eine Cyber-Versicherung verfügen, sollten Sie diese ebenfalls so früh wie möglich informieren. Sie wird Ihnen in vielen Fällen Hinweise geben, welche Schritte als nächstes anstehen.
Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) werden Meldewege betrachtet und dokumentiert. Als Informationssicherheits- und Datenschutzbeauftragte unterstützen wir bei der Dokumentation der Meldewege als vorbereitende Maßnahme. Bei einem akuten Cyberangriff agieren unsere Experten auch als Mittler zwischen Aufsichtsbehörde und dem betroffenen Unternehmen und unterstützen bei der Meldung an das BSI.
Zugriff auf Logdateien
Um den Tathergang nachvollziehen zu können und Beweise zu sichern, werden unter anderem Logs benötigt. Logdateien bestehen jedoch nur, wenn das Logging aktiviert und korrekt konfiguriert wurde. Diese Informationen muss der internen IT und gegebenenfalls auch dem externen IT-Dienstleister vorliegen. Um herauszufinden, welche Backups für eine Wiederherstellung genutzt werden können, ist die Analyse des Tathergangs notwendig. Außerdem dient die Analyse dazu herauszufinden, über welche Schwachstellen Angreifer eindringen konnten.
Checkliste zur Beweissicherung von Spuren
Es ist wichtig, Spuren bei einem IT-Sicherheitsvorfall zu sichern, um eine erfolgreiche Ermittlung und Bekämpfung des Vorfalls zu ermöglichen. Die Sicherung von Spuren kann als Beweismittel dienen, um Täter ausfindig zu machen und vor Gericht zu bringen. Auch das Einfallstor kann durch Beweise aufgedeckt werden. Zuletzt sind Beweise entscheidend dafür, welche Schritte das betroffene Unternehmen präventiv gegen künftige Angriffe ergreifen sollte.
Um notwendige Beweise zu erlangen, lohnt es sich, vorab Checklisten für eine Beweissicherung zu erstellen. Diese sollten sowohl Aspekte der Informationssicherheit als auch des Datenschutzes abdecken, sodass eine fundierte Dokumentation beim BSI oder auch bei den Aufsichtsbehörden eingereicht werden kann, falls dies erforderlich sein sollte.
Sauberer Neustart – integere Backups zurückführen, SLAs prüfen
Wenn die Systeme bereits verschlüsselt sind, sollte das betroffene Unternehmen sich grundsätzlich auf keine Form der Erpressung einlassen und kein Lösegeld zahlen. Vielmehr empfiehlt es sich, die Daten nach einer Bereinigung des Netzwerkes aus vorhandenen und integeren Backups zurückzuspielen.
Ist dies nicht möglich und es muss neue Hardware angeschafft werden, mag das für die Einrichtung einfacher Arbeitsplätze kein großes Problem darstellen. Anders kann es jedoch bei der schnellen Beschaffung von Serverhardware sein. Hier sollte geprüft werden, ob mit Dienstleistern für Hardware Service-Level-Agreements bestehen, die auch die schnelle Lieferung von Serverhardware beinhalten.
Nacharbeit und Verbesserung
Reflektieren Sie nach einem Cyberangriff die Geschehnisse und die Vorgehensweise.
- Müssen langfristige Maßnahmen für einen besseren Schutz ergriffen werden?
- Sind technische und/ oder organisatorische Maßnahmen für einen besseren Umgang mit einem solchen Ereignis erforderlich?
- Was ist gut gelaufen, wo gibt es noch Raum für Verbesserungen?
Fazit: Besser Vorsicht als Nachsicht
- Vorbereitung auf einen Cyberangriff: Ein wichtiger Schritt für Unternehmen
Die Vorbereitung auf einen Cyberangriff ist ein komplexes Thema, das mehr als nur eine einfache Lösung erfordert. Unternehmen müssen sich darüber bewusst sein, dass Cyberangriffe heutzutage hochorganisiert und gut geplant sind. - Ein Blick in die Zukunft
Kriminelle Akteure haben ihre Taktiken verfeinert und nutzen industrielle Methoden, um Unternehmen zu attackieren. Deswegen kann sich kein Unternehmen mehr den Luxus leisten, tatenlos zuzusehen. Es ist an der Zeit, dass Unternehmen sich mit diesem Risiko befassen und entsprechende Maßnahmen ergreifen. - Anforderungen durch die EU – NIS-2 umsetzen
Für Unternehmen, die unter der NIS-2 fallen, bedeutet dies eine zusätzliche Verpflichtung. Die EU erwartet von diesen Unternehmen, dass sie ihren Umgang mit Cyberangriffen noch sorgfältiger gestalten und entsprechende präventive Maßnahmen ergreifen. Andernfalls drohen hohe Bußgelder.
Sie sind sich nicht sicher, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist? Unsere Betroffenheitsanalyse inklusive QuickCheck gibt erste Antworten. - Ein laufender Prozess
Die Vorbereitung auf einen Cyberangriff ist ein wichtiger Schritt zur Sicherheit Ihres Unternehmens. Unternehmen sollten sich bewusst sein, dass dies ein laufender Prozess ist und sie ihre Systeme und Prozesse ständig anpassen und aktuell halten müssen, um auf die neusten Taktiken der Kriminellen zu reagieren.
Wenn Sie Unterstützung bei der Umsetzung geeigneter Maßnahmen als Reaktion auf einen Cybersicherheitsvorfall oder bei der Umsetzung der NIS 2-Richtlinie benötigen, stehen wir Ihnen mit unseren Expertinnen und Experten gerne zur Verfügung.