Der Cyber-Security-Guide
Wenn Sie mal einen wirklich schlechten Tag haben, dann beginnt der im digitalen Zeitalter mitunter so: Sie starten Ihren Internet-Browser, aber er fährt nur im Schneckentempo hoch. Dann finden Sie ein paar alte Lesezeichen nicht mehr, dafür aber neue. Einige Dokumente liegen in falschen Ordnern. Und unvermittelt poppen irgendwelche Fenster auf, während die ersten Kunden erbost anrufen, weil sie über Nacht von Ihrem Rechner mit Spam-Mails eingedeckt wurden. Kein Zweifel: Ihr Computer hat sich einen Virus eingefangen, Sie sind Opfer ein Cyber-Attacke geworden.
Selbst wenn das kein wirklicher Trost ist: Sie sind nicht allein. „Attacken aus der virtuellen Welt sind mittlerweile alltäglich geworden“, sagt Michael Schirmbrand, Autor der jüngsten KPMG-Studie „Cyber Security in Österreich“. Die Anzahl der Cyber-Angriffe steige ständig und sie machen auch vor Österreich nicht halt. Ein paar Fakten, zusammengestellt aus dieser Untersuchung, dem aktuellen PwC-Report „Global State of Information Security“ sowie dem Cyber-Security-Bericht 2017 des Innenministeriums belegen dies recht schauerlich: Während der weltweite Schaden durch Cyber-Kriminalität auf 400 bis 600 Milliarden Euro jährlich geschätzt wird, belastet hierzulande alleine digitale Wirtschaftsspionage die heimische Wirtschaft mit 1,6 bis 2 Milliarden Euro pro Jahr.
Die Kosten, die Privatpersonen durch Erpressungs- oder Malware entstehen, sind kaum abschätzbar. Fast jedes zweite heimische Unternehmen ist 2016 bereits Opfer eines Cyber-Angriffs geworden. Größere Betriebe, etwa im Telekom- oder im Finanzsektor, verzeichnen im Schnitt bereits 7.500 IT-Sicherheitsvorfälle pro Jahr; rund 30 Prozent haben dadurch auch ernsthafte finanzielle Einbußen erlitten. Weniger als ein Fünftel der Betriebe verfügen über professionellen Schutz oder ausreichende Abwehrmaßnahmen. Bei fast der Hälfte der Firmen gibt es überhaupt niemanden, der für Cyber-Security zuständig ist. Und 80 Prozent der Unternehmen sind sich nicht wirklich sicher, ob sie überhaupt auf einen Angriff wirksam reagieren können. Aber nur 33 Prozent führen hierzulande aktive Sicherheitsschulungen durch, der weltweite Schnitt liegt bereits 56 Prozent.
Kurzum: ziemlich schlechte Nachrichten. In der digitalen Welt lebt es sich äußerst gefährlich. Die gute Nachricht aber ist: Oft reichen ein paar gar nicht so aufwändige, im Vergleich zum potentiellen Schaden äußerst günstige Maßnahmen zum Aufbau einer effektiven digitalen Selbstverteidigung. Mit Hilfe zweier Experten haben wir einen Cyber-Security-Leitfaden erstellt: Oliver Eckel, Gründer und Cheftechniker von „cognosec“, einem an der Stockholmer Börse notierenden, österreichischen IT-Sicherheitsunternehmen (120 Mitarbeiter), und Christian Polster, Chief Strategy Officer von „RadarServices“, dem am schnellsten wachsenden heimischen Startup (ebenfalls 120 Mitarbeiter) der Branche. Die wichtigsten der angeführten Schritte betreffen – wenig überraschend – Schutzvorkehrungen direkt am Computer oder anderen digitalen Geräten, sei es im Privatbereich oder am Arbeitsplatz. Außerdem gibt es wichtige Tipps zur Cyber-Abwehr in Unternehmen und schließlich werden auch die Schwachstellen kritischer Infrastrukturen – etwa der Stromversorgung, des Zahlungsverkehrs oder von Produktionsabläufen – unter die Lupe genommen.
Cyber-Security für PCs
Auch wenn es selbstverständlich klingen mag, behalten Sie immer drei wesentliche Grundregeln im Auge: Aktualisieren, Blockieren, Kopieren. Die regelmäßige Aktualisierung ihres Betriebssystems und ständige Updates ihrer Software gelten als eine Art heilige Sicherheitspflicht. Meist werden sie automatisch im Hintergrund durchgeführt, manchmal jedoch durch bestimmte Programme oder Einstellungen verhindert, sodass Sie selbst aktiv werden müssen. Schieben Sie das auf keinen Fall hinaus, auch wenn Ihr Gerät wie am Schnürchen läuft. Denn die meisten Updates beseitigen bisher unbekannte Sicherheitslücken und Schwachstellen, die von Viren oder Schadsoftware sonst gnadenlos ausgenützt werden. Das vielleicht übelste Beispiel dafür war die weltweite Angriffswelle durch den Erpresser-Virus WannaCry im Mai dieses Jahres (siehe auch Story auf Seite 36). Er hatte weltweit rund 300.000 Rechner mit dem veralteten Windows-XP-Betriebssystem infiziert, obwohl Microsoft etwa ein Monat vorher genau zum Schutz vor dieser Malware ein Update angeboten hatte.
Antiviren-Programme, die solche Attacken gleich im Ansatz erkennen und blockieren, zählen natürlich ebenfalls zum Standard in Sachen Cyber-Security. Anbieter dafür gibt es jede Menge, von Marken wie etwa Avast, Bitdefender, F-Secure, Kaspersky, Symantec oder Trend-Micro. Sie unterscheiden sich prinzipiell durch ihre Methode der Virenerkennung und -abwehr. Signaturbasierte Antiviren-Systeme arbeiten mit einer Datenbank, in die alle bekannten und neu entdeckten Schadprogramme eingespeist werden. Verhaltensbasierte Antiviren-Systeme konzentrieren sich hingegen (zusätzlich) auf ein abnormales Verhalten Ihres Computers und spüren so den Virus auf. Dieser wird dann in eine sogenannte Sandbox – eine Art abgeschotteter Computer im Computer – gesteckt, dort analysiert und unschädlich gemacht. Seit es den beiden verhaltensbasierten Programmen Cylance und Crowdstrike gelungen ist, als erste WannaCry – und dessen fast noch schlimmere Nachfolge-Version Petya – zu entdecken und abzuwehren, raten Experten wie Eckel und Polster immer mehr zu diesem Antiviren-Typus.
Gründliche Backups sollten ebenfalls eine Selbstverständlichkeit sein, egal ob sie über eine entsprechende Software wie etwa Time-Machine oder Duplicati beinahe unmerklich und nebenbei durchgeführt oder bestimmte Datensätze von Ihnen aktiv auf ein Speichermedium – und sei es nur ein USB-Stick – gezogen werden. Achten Sie jedoch darauf, dass Ihre Sicherheitsfestplatte nicht permanent mit dem Computer verbunden ist, denn viele Viren pflanzen sich inzwischen automatisch ins Backup-Medium fort. Es empfiehlt sich daher, mittels sogenannter Festplatten-Dockingstationen abermals eine Kopie von der Sicherheitskopie anzulegen. Der Grund: Das primäre Backup kann bei großen Datenmengen schon mal einige Stunden dauern, und währenddessen besteht die Gefahr eines Virenbefalls. Es sei denn, Sie nehmen ihr Gerät ganz vom Netz. Auch Cloudspeicher wie etwa iCloud oder Google Drive sind als Backup-Ergänzung sinnvoll, denn „immerhin geht in der Cloud nichts verloren“, wie Eckel erklärt. Ab diesem Schritt sind zwei weitere grundlegende Security-Maßnahmen angebracht.
Verschlüsselung und sichere Passwörter. Die Datenverschlüsselung, die Fachleute vor allem bei einem Cloud-Backup ans Herz legen, wird heute durch Programme wie Pretty Good Privacy oder 7zip ziemlich leicht gemacht. Aber spätestens bei der Entschlüsselung braucht es kluge Passwörter, an denen sich auch Brute-Force-Programme – diese testen in affenartigem Tempo einfach alle Zeichenkombinationen durch – die Zähne ausbeißen.
Prinzipiell gilt: Verwenden sie bei jeder Registrierung immer ein neues Passwort, das umso besser wird, je mehr Klein- und Großbuchstaben, Zahlen und Sonderzeichen es enthält. Und wechseln Sie diese Passwörter alle paar Monate. Weil sich das aber kein Mensch mehr merken kann, setzen sich inzwischen mehr und mehr Passphrasen durch, die dann zu Akronymen verkürzt werden. Wer sich zum Beispiel den Satz „Meine zwei Bälle sind rund und das Runde muss immer in ein Eck“ besonders gut merkt, könnte daraus vielleicht den Code „M2Bsr&dRmi1E“ machen und diesen durch eine leichte Abwandlung noch sicherer machen.
Mehr und mehr setzt sich zur Authentifizierung auch das Zwei-Faktoren-System durch, bei dem ähnlich wie im Online-Banking das Passwort zusätzlich durch einen zufällig generierten TAN-Code bestätigt werden muss. Verschlüsselung und Zwei-Faktoren-Sicherung werden von Experten auch für den E-Mail-Verkehr empfohlen, vor allem dann, wenn E-Mails über unbekannte WLANs verschickt werden. „Unverschlüsselte E-Mails sind in Wahrheit wie eine Postkarte“, sagt Polster. „Jeder, der irgendwie zwischen Absender und Empfänger an einem Modem oder einem Server sitzt, kann sie problemlos lesen.“
Cyber-Security für Unternehmen
All diese Sicherheitsregeln gelten natürlich auch für jegliche IT-Arbeiten in Betrieben. Doch naturgemäß gehen die Cyber-Security-Anforderungen in Unternehmen weit darüber hinaus. Christian Polster von RadarServices beschreibt deren vier Säulen mit den Schlagwörtern Protection, Detection, Preparation sowie Response & Recovery. „Zuerst einmal muss sich jede Firma darüber Klarheit verschaffen“, ergänzt Eckel, „welche Daten überhaupt geschützt werden sollen.“ Diese Eingrenzung wirke sich unmittelbar auf die Kosten für digitale Sicherheit aus, wofür einer Faustregel zufolge in etwa zehn Prozent des gesamten IT-Aufwandes zu kalkulieren seien. Darauf basierend sollten dann Schulungsprogramme für die Mitarbeiter, Abwehrstrategien und klassische To-do-Listen entwickelt werden. Als Leitfaden dafür gilt das ISO- 2701-Sicherheitszertifikat. Wer lieber auf externe Consulter zurückgreifen will, muss mit durchschnittlichen Kosten von 1200 bis 1400 Euro pro Beratertag rechnen.
Bei den meisten Unternehmens-IT-Systemen – wie sie beispielsweise Cisco, Checkpoint, Fortinet oder Palo Alto, um nur einige zu nennen, anbieten – werden Sicherheitskomponenten von Firewalls über Virenscanner bis zu Verschlüsselungs-Features im Normalfall mitgeliefert. „Damit hat man einen Grundschutz, ähnlich einer Burgmauer mit geschlossener Zugbrücke“, meint Polster. „Trotzdem schlüpfen immer wieder Eindringlinge durch oder das System fällt auf ein trojanisches Pferd rein. Diese aufzuspüren, ist die Königsdisziplin der Cyber-Security.“ Dabei geht es um laufende Kontrolle, Verhaltenskontrollen von Netzwerken, die permanente Suche nach Schwachstellen, kurzum alles, was unter den Begriff „Big Data Cyber Security Analysis“ fällt. Ein Weg dorthin ist die Installation sogenannter EMC/RSA-Systeme, die in die Unternehmens-IT integriert werden und solche Analysen automatisch vornehmen. Die beiden führenden Anbieter dafür sind HP mit dem Produkt Arcside und IBM mit Q-Radar. Je nach Konfiguration ist dafür mit Kosten ab 100.000 Euro und hohem Schulungs-, Wartungs- und Betriebsaufwand zu rechnen. Die zweite Variante, die etwa von RadarServices oder cognosec angeboten wird, heißt im Fachjargon Detection as a service. Diese Auslagerung der Analyse-Arbeiten kann schon mal zu monatlichen Kosten von 3000 Euro oder mehr führen, vor allem dann, wenn automatisierte Checks nicht reichen und viel manueller Einsatz nötig ist. Auch das kann sich läppern.
Wirklich ins Geld geht es schließlich, wenn nach „kritischen Entdeckungen“ (Polster) der Einsatz eines Computer Security Incident Response Teams (CSIRT) nötig wird. Bei den meisten großen, von einer reibungslosen IT abhängigen Unternehmen wie Telekom-Providern oder Banken stehen solche CSIRTs auf Abruf bereit, und deren Top-Leute kommen nicht selten auf ein Jahresgehalt von bis zu 100.000 Euro. Bei externen Response-Teams, wie sie von den vier großen Beratungsfirmen KPMG, Deloitte, PwC und EY zunehmend angeboten werden, oder kleineren Spezialisten ist mit Stundensätzen zwischen 120 und 300 Euro zu rechnen.
Cyber-Security für Infrastruktur
Praktisch alle Infrastruktur-Betreiber – von Stromversorgern bis zu Verkehrsbetrieben –, aber auch die meisten industriellen Produktionsprozesse benutzen über herkömmliche Standard-IT hinaus sogenannte Scada-Systeme – kein Wunder, sind Attacken heute ja alltäglich geworden, wie Michael Schirmbrand von KPMG betont. Scada steht für „Supervisory control and data acquisition“ und ist ein kompliziertes Verfahren zur Steuerung und Automatisierung von maschinellen Abläufen. Das Problem dabei: Die meisten dieser Scada-Systeme sind 20, 30 Jahre alt, stammen sozusagen aus der digitalen Steinzeit, in der auf Cyber-Security kein Wert gelegt wurde. Zwar sind sie in der Regel mit einer langfristigen Garantie ausgestattet und die Hersteller führen immer wieder Upgrades durch.
Aber um die hohen Zertifizierungskosten zu sparen, fassen sie oft mehrere kleine Verbesserungen zu einem großen Sammel-Upgrade zusammen. Daher liegen zwischen diesen sogenannten Patches mitunter viele Monate, sodass die Scada-Systeme in der Zwischenzeit durch neu entwickelte Malware extrem verwundbar sind. Und will ein Kunde solch ein Sicherheits-Upgrade auf eigene Faust durchführen, läuft er Gefahr, die Garantie zu verlieren. Wie unsicher mitunter solche Scada-Systeme sind, hat abermals der WannaCry-Angriff gezeigt. Durch diesen wurde etwa der Schiffsverkehr der Reederei Maersk lahmgelegt. Bei Logistiker TNT wiederum waren die Förderbänder stillgestanden. Und der Hundefutter-Hersteller Royal Canin musste seine Produktion für einen Monat auf Notbetrieb fahren. Oliver Eckel sieht für dieses „prinzipielle Sicherheitsproblem“ nur eine Lösung: „Letztlich müsste man all die alten Scada-Systeme aus diesen Prozessen rausnehmen und durch komplett neue ersetzen.“