Schlagwortarchiv für: Maßnahmenkatalog

Lesedauer: ca. 4 Minuten

Das Bundesamt für Sicherheit in der Informationstechnik hat am 23. Februar 2022 mit dem ‘Maßnahmenkatalog Ransomware’ Ratschläge zum Schutz vor Ransomware herausgegeben. Bei diesem 21-seitigen Schriftstück mit dem Untertitel ‘Präventive Maßnahmen zur Absicherung vor Krypto-Trojanern’ handelt es sich um eine frei zugängliche Veröffentlichung zur allgemeinen Cyber-Absicherung.

Welche Bedeutung hat das Dokument? Und was steht eigentlich drin? An wen richtet es sich? Was es mit den Empfehlungen des BSI auf sich hat, erfahren Sie in diesem Artikel.

Laut BSI dient das Dokument zur Vorbereitung auf einen Ransomware-Angriff und stellt die notwendigen präventiven Grundlagen vor. Es wurde auf Basis der Erfahrungen, die bei der Ransomware-Fallbearbeitung gewonnen wurden, erstellt. Es richtet sich an Unternehmen und Behörden, die sich mit dem Thema noch nicht oder nur ansatzweise auseinandergesetzt haben und eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware suchen.

Um das Schreiben, welches auf der Internetseite des BSI zum Download bereitsteht, verstehen und einordnen zu können, ist erstmal wichtig zu wissen, was Ransomware überhaupt ist.

Der Begriff Ransomware ist eine Zusammensetzung des englischen Begriffs ‘ransom’ (Lösegeld) und der Endung ‘ware’ von Software. Dabei dreht es sich um Schadprogramme, die man auch als Erpressungstrojaner bezeichnen kann. Solche Viren können, im Falle, dass diese einmal ins unternehmerische Datennetz eingedrungen sind, den Zugang auf Informationen wie auch komplette Systeme einschränken oder komplett lahmlegen. Verbunden sind solche Angriffe generell mit einer Lösegeld-Forderung – wird dieser nachgekommen, werden die Daten wieder freigegeben (so zumindest die Aussage der Erpresser). Die Bezahlung wird meist in Krypto-Währungen wie Bitcoin gefordert. Absicht eines Ransomware-Angriffs ist es also, Daten zu chiffrieren und Lösegeld für ihre Entschlüsselung zu fordern.

Aber Achtung: Die Zeit hat gezeigt, dass die Bezahlung der geforderten Gesamtsumme keine Gewährleistung für die Freigabe der Daten ist. Statt deshalb im Schadensfall solchen Forderungen nachzukommen, empfiehlt das BSI klar, sich an die Behörden zu wenden und Anzeige zu erstatten (weitere Empfehlungen, was Unternehmen tun sollten, wenn sie von einem Ransomware-Angriff betroffen sind, hat das BSI auf dieser Seite gelistet).

Ransomware-Angriffe nehmen bereits seit 2006 kontinuierlich zu – weltweit. Während dieser Zeit wurden schon unterschiedlichste Institutionen Opfer solcher Erpressungsversuche: Von öffentlichen Einrichtungen über große Firmen und mittelständische Betriebe bis hin zu kleinen Betrieben, Schulen oder Krankenhäusern.

Wie kann man sich gegen Cyber-Erpressung absichern?

Wie erwähnt bietet der Leitfaden präventive Tipps zum Schutz vor Ransomware-Angriffen. Darüber hinaus enthält das Dokument Strategien für den Ernstfall, also konkrete Empfehlungen fürden Umgang mit einer Lösegelderpressung infolge eines Verschlüsselungstrojaners.

Der wichtigste Ratschlag zur Risikoreduzierung: Zyklische Backups aller wichtiger Daten!

Wer (idealerweise vollautomatisiert) in einem fix festgesetzten Takt Sicherheitskopien sämtlicher wichtiger Daten erstellt, ist gegen einen Ransomware-Angriff geschützt, denn: Backups nehmen Lösegeldforderungen den Wind aus den Segeln.

Neben Datensicherungen sind die Nutzung von Virenschutzprogrammen auf allen im Unternehmen eingesetzten Geräten plus regelmäßige Aktualisierungen der eingesetzten Softwarelösungen und des Betriebssystems grundsätzliche Empfehlungen vom BSI. Zu guter Letzt weißt das BSI auf die Bedeutsamkeit hin, Mails von unseriösen Absendern nicht zu öffnen.

Zusätzlich zu diesen Tipps (die für jedermann sofort nachvollziehbar sind), hält das BSI-Papier einige Empfehlungen bereit, die sich konkret an IT-Administratoren richten, beispielsweise:

Nur erforderliche Ports freigeben
Remote-Fernzugänge schützen
Sensibler Umgang mit Administrator-Accounts
Zentrales Logging

Tipp: Mit dem kostenfreien Mailverteiler Sicher – Informiert weist das BSI alle zwei Wochen auf aktuelle Sicherheitslücken und wichtige Ereignissen rund um die IT-Sicherheit hin.

Fazit zum BSI-Leitfaden

Das Gute am aktuellen Handbuch zu Ransomware: Es ist in beachtlichen Teilen auch für Nicht-IT-Experten nachvollziehbar.

Das Schlechte am aktuellen Handbuch zu Ransomware: Es ist in beachtlichen Teilen auch für Nicht-IT-Experten nachvollziehbar.

Soll heißen: Seine Ratschläge sind relevant und kommen im richtigen Moment, sind aber an vielen Bereichen eher seicht und enthalten Informationen, die Unternehmen ohnehin schon umgesetzt haben sollten. Uns ist natürlich bewusst, dass viele Betriebe keinesfalls bestmöglich positioniert sind in Puncto IT-Grundschutz, weshalb der Leitfaden vom BSI wie gerufen kommt – mit dem Ziel sich die Frage zu fragen, welche von den empfohlenen Methoden bereits realisiert wurden und welche nicht.

Die Aktion des BSI, für das Thema Ransomware zu sensibilisieren und Unternehmen die relevanten Fakten an die Hand zu geben, begrüßen und unterstützen wir voll und ganz. Man sollte allerdings bewertend bemerken, dass es sich bei dem Arbeitspapier lediglich um eine Sammlung von ‘Best Practices’ dreht, die gegen unterschiedliche Angriffe absichern sollen.

Ohne Frage – ein Verfahren nach diesem Gießkannenprinzip ist auf jeden Fall besser, als keinerlei Sicherheitsmaßnahmen zu realisieren. Allerdings benötigen Unternehmen mit dem Ziel, umfassend vor jedem Ransomware-Angriff geschützt zu sein, eine individuelle IT-Sicherheitsarchitektur, da jedes Unternehmen über eine individuelle IT-Landschaft verfügt. Empfehlenswert ist ein geeignetes Gesamt-Konzept, welches alle Einzelteile einbezieht und bei welchem Themen wie Firewall, Cloud-Sicherheit, Handy-Schutz und vieles mehr perfekt aufeinander abgestimmt sind.

Insbesondere aufgrund der aktuellen geopolitischen Lage sollten die Ratschläge des BSI in jedem Fall ernstgenommen und bei Defiziten zeitnah im persönlichen Betrieb implementiert werden. Wenn Sie den Wunsch haben, Ihre IT-Sicherheit begutachten zu lassen oder auch Unterstützung benötigen, um sich gezielt sowie gründlich vor Ransomware abzusichern, dann sind wir Ihr qualifizierter Ansprechpartner.

Sprechen Sie uns unter der Nummer 0800 4883 338 gerne persönlich an. Unsere Experten kümmern sich professionell um eine optimale Absicherung Ihrer IT-Landschaft.

Foto © cottonbro von Pexels

Lesedauer: ca. 8 Minuten

Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungs- und Industriewirtschaft zeichnen sich durch ein hohes Maß an Digitalisierung, Wendigkeit, Konkurrenzfähigkeit und intensiver Teilnahme an der Globalisierung aus. In Anbetracht dessen sind moderne Unternehmen immer stärker von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Diese als KRITIS bezeichneten Infrastrukturen werden so zu einem der bedeutendsten wirtschaftlichen Stützpfeiler. Deshalb muss deren reibungsloser Betrieb zu jeder Zeit gewährleistet sein – fallen sie infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat das gravierende Auswirkungen auf die Sicherheit und Versorgungslage des Landes.

Aus diesem Grund hat die Politik rechtliche Vorgaben und Regelungen festgelegt, um solchen gefährlichen Szenarien vorzubeugen. Welche dies sind, wann eine Infrastruktur als ‘kritisch’ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogartikel.

Wie sich eine kritische Infrastruktur definiert

Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie (BSI) wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe (BBK) handelt es sich bei kritischen Infrastrukturen um die ‘Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.’

Merkmale kritischer Infrastrukturen

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlseins der Bevölkerung elementar – und somit äußerst schützenswert.

Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat (BMI) verabschiedet wurde, definiert 9 Bereiche der kritischen Infrastrukturen:

1. Staat und Verwaltung
2. Stromerzeugung
3. Informationstechnik und Telekommunikation
4. Transport und Verkehr
5. Gesundheitszustand
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kam mit der Siedlungsabfallentsorgung ein zehnter Bereich hinzu (der jedoch auf Bundesebene noch nicht allgemeingültig ist).

Inwiefern ein Unternehmen als kritische Infrastruktur eingestuft wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es existieren jedoch bekannte Anhaltspunkte, anhand derer eine erste Einstufung möglich ist:

Schwellenwert – Das BSI hat in der KRITIS-Verordnung 2021 für jeden Bereich spezielle Schwellenwerte festgelegt. Diese bestimmen, ab wann ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist. Eine übersichtliche Aufzählung finden Sie hier.

IT-Netzwerk – Die sog. IT-Independenz von Unternehmen ist ein weiterer aussagekräftiger Faktor. Hier geht es darum, ob ein Betrieb mit mehreren Standorten diese IT-seitig zentral oder dezentral verwaltet. Verständlicherweise unterstützt eine zentrale Verwaltung die Einstufung als kritische Infrastruktur.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen

Grundsätzlich sind kritische Infrastrukturen vorteilhaft beschützt. Nichtsdestotrotz stellen sie aufgrund deren Bedeutsamkeit sowie Sensibilität für Wirtschaft und Gesellschaft und Staat ein lukratives Geschäft für Internetkriminelle, Terroristen und verfeindete Staaten dar.

Deshalb überrascht es absolut nicht, dass in der Presse immer wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist. So sorgte zum Beispiel im Mai 2021 ein Ransomware-Zugriff auf eines der größten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.

Dies ist kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren merklich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Sicherheit zu begründen sind.

Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teilweise schwerwiegenden Folgen für die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin-Köpenick Ende Februar 2019 mit Nachdruck verdeutlichte.

Gesetze zum Schutz kritischer Infrastrukturen

Mit dem Ziel, derartige Worst-Case-Szenarien zu verhindern, gilt es für Betriebe der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu ermitteln und abzuwehren. Die gesetzlichen Bedingungen sowie Regelungen sind dazu im IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz (BSIG), sowie der BSI-KRITIS-Verordnung (BSI-KritisV) festgelegt. Demnach sind Betriebe der kritischen Infrastruktur dazu verordnet,

eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen.

die IT-Sicherheit auf den ‘Stand der Technik’ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren (vor allem ein ISO 27001-konformes Informationssicherheitsmanagementsystem) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.

IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Störfall führen, zu melden.

die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mittels eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.

Stabile Netzwerke – ein Muss

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im März 2020 die ‘Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen‘ veröffentlicht. Mit diesem Anforderungskatalog stellt das BSI allen Betrieben der kritischen Infrastruktur und ihren Gutachtern einen konkreten Bereich zur Wahl, Umsetzung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle aufgeführten Bereiche ab:

Informationsmanagementsystem
Asset Management
Risikoanalysemethode
Continuity Management
Technische Informationssicherheit
Personelle sowie organisatorische Sicherheit
Bauliche / physische Absicherung
Vorfallserkennung und Bearbeitung
Begutachtung im laufenden Betrieb
Externe Informationsversorgung sowie Unterstützung
Lieferanten, Dienstleistungsunternehmen und Dritte
Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur und auf der Recherche nach effektiven und innovativen IT-Sicherheitslösungen? Ihr Ziel ist es, ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen? Sie haben weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-KRITIS-Verordnung oder kritische Infrastrukturen? Sprechen Sie uns unter der 0800 4883 338 gerne an!

Foto © Elijah O’Donnell von Pexels