Jede Reise beginnt mit dem ersten Schritt
22. November 2023Gespräch mit den IT-Notfallmanagern Bernhard Schiemann und Christian Bruns
Durch Cyberkriminalität entsteht der deutschen Wirtschaft allein im Jahr 2023 ein Schaden in Höhe von 206 Milliarden Euro. Dies ergab eine Umfrage des Digital-Branchenverbandes Bitkom.
Hier nicht mit geöffnetem Visier ins offene Messer zu rennen, erfordert ein funktionierendes IT-Notfallmanagement. Experten auf diesem Gebiet sind Bernhard Schiemann und Christian Bruns von der BTC Business Technology Consulting AG. WIRTSCHAFT ONLINE sprach mit ihnen:
WIRTSCHAFT ONLINE: Guten Tag, Herr Bernhard Schiemann und Herr Christian Bruns. Im Vorfeld des Cyber-Sicherheits-Tages des Cyber-Sicherheitsnetzwerks Sachsen am 17. April 2024 wollen wir uns den unterschiedlichsten Facetten des Themas Cyber-Sicherheit widmen. Sie sind Experten, ganz besonders im Segment IT-Notfallmanagement. Sobald ein IT-Notfall eingetreten ist, stürzt dies die meisten Unternehmen erst einmal ins Chaos. Dem kann aber vorgearbeitet werden. Welche Schritte sollten Unternehmen schon im Vorfeld von IT-Notfällen – das bedeutet jetzt! – gehen?
Herr Schiemann: Vorab vielen Dank, dass Sie diesem wichtigen Thema einen Platz geben. Bevor wir alle Details und Schritte aufzählen, die wir für eine gute Vorbereitung auf einen IT-Notfall empfehlen, lassen Sie es uns so formulieren: Jede Reise beginnt mit dem ersten Schritt. Kurz und knapp: Machen Sie sich auf den Weg und holen Sie das Thema auf die Agenda. Awareness und Bewusstsein ist der wichtigste Schritt. „Lief ja bisher auch“ ist in der heutigen Zeit kein guter Ratgeber.
Herr Bruns: Alle Unternehmen und KMUs sind extrem unterschiedlich aufgestellt, sodass wir im Allgemeinen als zweiten Schritt eine Übung, eine simulierte Krise, empfehlen. Dadurch kann mit geringem Aufwand festgestellt werden, was bereits gut funktioniert und welche Fragen bisher nicht beantwortet werden können. Diese Erkenntnisse sind Grundlage, um konkrete Notfallpläne formulieren zu können. Diese Pläne bilden dann die erforderlichen Leitplanken, welche dem initialen Chaos entgegenwirken und einen Rahmen schaffen.
WIRTSCHAFT ONLINE: In dem Papier der Arbeitsgruppe deutscher Cyber-Sicherheitsorganisationen „Einstieg ins IT-Notfallmanagement für KMU“ steht zu lesen, dass sogenannte Penetrationstests möglich sind. Wer führt diese aus und wie kommt man hier an seriöse Partner ran?
Herr Bruns: Sie haben das richtig formuliert, dass Penetrationstests möglich sind. Sie sind vor allem für die Unternehmen hilfreich, die sich bereits mit der Verteidigung ihrer IT auseinandergesetzt haben. Erst bei erfolgter Sicherung ist eine Überprüfung durch einen technischen Experten sinnvoll und zielführend. In einer Lehre startet man schließlich auch nicht direkt mit der Prüfung.
Herr Schiemann: Für eine Empfehlung für die passenden Dienstleister raten wir, auf etablierte Security-Dienstleister zuzugehen. Diese bieten entsprechende Leistungen an oder haben häufig Partner, mit denen sie schon länger kooperieren. Gute Dienstleister in diesem Themenfeld erkennen Sie an einer ausführlichen Vorbereitung. Hierzu zählt, dass die Durchführung auf die individuellen Gegebenheiten angepasst wird, eingesetzte Testverfahren im Vorfeld benannt, ordentliche Verträge inklusive Haftungsklärung abgeschlossen und nicht ausschließlich automatisierte Testverfahren eingesetzt werden. Insbesondere hier gibt es starke Unterschiede, welche sich auch im Preis niederschlagen. Eine Überprüfung muss auch etwas kosten, wenn nicht nur ein „Tool“ das System scannen soll und bekannte Schwachstellen auflistet. Das nennt man Schwachstellenanalyse und das ist eben kein Penetrationstest.
WIRTSCHAFT ONLINE: Mit den Vorarbeiten ist es jedoch nicht getan. Was muss konstant gemacht werden? Vielleicht sogar in festgesetzten zeitlichen Abständen?
Herr Schiemann: Unsere Erfahrungen zeigen, dass viele Unternehmen Security als „Add-on“ verstehen. Ein Projekt zur Digitalisierung von Kernprozessen wird dann zum Schluss noch einmal dem Informationssicherheitsbeauftragten zwecks Abnahme vorgelegt. Erfolgversprechend ist jedoch, dass Security als elementarer Bestandteil von IT-Projekten verstanden und kontinuierlich berücksichtigt wird. Zentrale Architekturentscheidungen können im Nachgang nicht oder nur mit erheblichem Aufwand revidiert werden und es verbleibt die Risikoakzeptanz als einzige Maßnahme. Nur mit diesem Grundverständnis hat man überhaupt die Chance, die täglichen und sich stets wandelnden Angriffe auf die eigene Infrastruktur abzuwehren.
Herr Bruns: Cyber-Hygiene ist ein aktuelles Schlagwort, welches mittlerweile auch in der Regulatorik aufgegriffen wird. Gemeint ist damit, dass die „Hausaufgaben des IT-Betriebes“ mit entsprechender Sorgfalt umgesetzt werden. Systeme sind aktuell zu halten, vergebene Berechtigungen müssen validiert und wieder entzogen werden, aufgetretene Vorfälle sind abschließend zu behandeln und Maßnahmen zur zukünftigen Vermeidung wirksam umzusetzen. Alles Binsen, die jeder mit etwas Berufserfahrung in der IT kennt. Doch die zunehmende Digitalisierung erzeugt eine oft nur schwer händelbare Komplexität. Hier hilft, dass mindestens jährlich die etablierten Praktiken auf Basis etablierter Standards, wie z. B. ISO 27001 oder BSI IT-Grundschutz, evaluiert und Verbesserungspotenziale identifiziert werden. Und ganz besonders wichtig ist das Thema Awareness. Mitarbeiter können mit einem falschen Klick das gesamte Unternehmen gefährden und müssen entsprechend auf aktuelle Angriffe sensibilisiert werden.
WIRTSCHAFT ONLINE: Nun nehmen wir an, dass der IT-Notfall eingetreten ist. Was tun? Was sind die ersten Schritte und welcher Ablauf empfiehlt sich?
Herr Bruns: Sie können davon ausgehen, dass Sie sich wie in einem Verkehrsunfall mit eigener Beteiligung fühlen: Sie werden es nicht wahrhaben wollen. Im ersten Schritt heißt es also wie im Verkehr: Ruhe bewahren, durchatmen und sich besinnen. Notfälle können nicht allein gelöst werden. Sobald sich der Verdacht erhärtet, rufen Sie Ihren Krisenstab zusammen und bewerten Sie die Lage. Sofern vorhanden, sind unbedingt von Anfang an zentrale IT-Dienstleister einzubinden. Unsere Kontakte zu den ZACs (Zentrale Anlaufstelle Cybercrime der Polizeibehörden aus den Bundesländern) zeigen, dass Sie von dort ebenfalls Rat erhalten können. Und vermeiden Sie zu Beginn die Klärung von Schuldfragen. Fragen Sie sich stets: Was braucht es, um den Notfall zu beherrschen?
Herr Schiemann: Der konkrete Ablauf kann aufgrund individueller Gegebenheiten und verschiedensten Ursachen nicht formuliert werden. Aber es gibt Modelle, welche eine strukturierte Abarbeitung von Krisen und Notfällen in unklaren Lagen ermöglicht. Viele Unternehmen setzen hier auf FOR-DEC. Dies steht für Facts, Options, Risks, Decision, Execution und Check. Kurz zusammengefasst bedeutet es, zu Beginn Fakten zu sammeln, um die Lage zu bewerten. Anschließend gilt es, Optionen zur Behandlung zu formulieren sowie deren Risiken zu betrachten. Der Krisenstab legt auf dieser Basis die zu ziehenden Optionen fest und gibt die Umsetzung vor. Im Anschluss gilt es zu prüfen: Hat sich die Lage verbessert bzw. geändert? Welche neuen Fakten sind vorhanden? Und ergeben sich daraus neue Optionen, welche die Lage wieder verbessern können?
WIRTSCHAFT ONLINE: An wen konkret können sich regionale Unternehmen in solch einem Fall wenden? Es heißt, dass bei Verdacht auf Angriff durch einen fremden Nachrichtendienst die Verfassungsschutzbehörden informiert werden sollen, doch solch ein Verdacht besteht doch derzeit eigentlich immer, oder?
Herr Schiemann: Dazu gibt es zwei Dinge zu sagen. Erstens: Die Bedrohungslage hat sich, wie auch medial berichtet, tatsächlich verschärft. Neben der Professionalisierung der Angreifer bis hin zum organisierten Verbrechen müssen wir feststellen, dass fremde Organisationen ein Interesse entwickelt haben, unsere Wirtschaft zu stören. Für uns spielt es im konkreten Notfall eine untergeordnete Rolle, ob diese nun nah an fremden Nachrichtendiensten sind oder auch nicht. Ansonsten möchten wir Ihnen die oben genannten ZACs ans Herz legen. Diese können gegebenenfalls Informationen geeignet weiterleiten und besser einschätzen, ob die Einbindung des Verfassungsschutzes erforderlich und förderlich ist.
Herr Bruns: Wichtig ist, zu berücksichtigen, dass das Einschalten von Behörden keinen direkten Einfluss auf die Handlungsoptionen bedeutet. Unternehmen befürchten häufig, dass im Rahmen von Verschlüsselungstrojanern das Einschalten von Behörden hinderlich ist, da damit die Option zum Zahlen des Lösegelds entfällt. Dies ist nicht so. Grundsätzlich können auch wir nicht raten, ein Lösegeld zu zahlen, aber die Polizei wird einen nicht daran hindern und es auch nicht gegen das Unternehmen verwenden. Falls ein Unternehmen als KRITIS eingestuft wurde, sollten darüber hinaus Kanäle zur zentralen Sicherheitsbehörde (BSI) bestehen. Für alle Nicht-KRITIS-Unternehmen hat das BSI die Initiative des Cyber-Sicherheitsnetzwerks ins Leben gerufen. Dieses Netzwerk ist insbesondere für KMU gedacht und bietet eine Vielzahl an Kontakten, welche im ersten Schritt eine kostenfreie Beratung anbieten und darüber hinaus über Kontakte zu professionellen Sicherheitsdienstleistern verfügen.
WIRTSCHAFT ONLINE: Gerade die Nachbereitung von IT-Notfällen ist ein sensibles Thema, schließlich braucht es dafür – gerade bei KMU – Manpower (und diese ist in KMU im Regelfall sehr eng begrenzt). Was muss trotzdem beachtet und getan werden?
Herr Bruns: Die Praxis zeigt, dass auch große Unternehmen für die Nachbetrachtung keine ausreichenden Ressourcen vorsehen. Große Unternehmen können im Notfall Prioritäten ändern, aber nach Wiederherstellung des Normalbetriebes gilt hier ebenso „Daily Business“. Lessons Learned ist daher keine Ressourcenfrage, sondern wieder eine innere Überzeugung, die vorherrschen muss. Fehler können schließlich passieren, aber im unternehmerischen Kontext sollte die Vermeidung von Fehlern entsprechende Priorität genießen.
Herr Schiemann: Als KMU sollte man den Nutzen der eigenen IT vor dem Hintergrund des eingetretenen Notfalls hinterfragen. Die Kosten für die Notfallvorsorge, Beherrschung von Notfällen etc. scheint nicht oder nur unzureichend kalkuliert worden zu sein. Wenn Sie wissen, welchen Nutzen Ihre IT hat, wissen Sie meistens automatisch, was Sie nach einem Notfall wieder erreichen müssen. Bauen Sie nur das auf, was Ihnen für die Kerngeschäftsprozesse Nutzen spendet und tun Sie dies zügig, aber mit Sorgfalt. Holen Sie sich bei Bedarf auch Unterstützung bis hin zu professionellen IT-Serviceprovidern, wo Sie meinen, Sie zu benötigen.
WIRTSCHAFT ONLINE: Danke, Herr Schiemann und Herr Bruns, für Ihre erhellenden Antworten.
Beide: Sehr gerne und vielen Dank für die Möglichkeit.
Weiterführende Links:
BTC AG: IHR IT-PARTNER – HEUTE UND MORGEN (btc-ag.com)
Polizei – Zentrale Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen
