F-Secure sieht Deutschland schlechter als die Ukraine für Cyberkrieg gerüstet

Der Chef von F-Secure, Mikko Hyppönen, sieht deutsche Unternehmen schlechter bezüglich Angriffen während eines Cyberkriegs gerüstet als Organisationen in der Ukraine. Der Chef des finnischen Sicherheitsunternehmens hat dazu zwei Argumente. Einmal hat das IT-Sicherheitspersonal in der Ukraine jahrelange praktische Erfahrungen in der Erkennung und Abwehr von Cyberangriffen. Zudem ist die Digitalisierung in Deutschland wohl weiter als in der Ukraine, der Angriffsvektor ist dadurch größer. Zudem weist Ali Carl Gülerman, CEO und General Manager von  Radar Cyber Security auf die zusätzlichen Auflagen für KRITIS-Betreiber im Jahr 2022 durch den Gesetzgeber hin. Ich habe die beiden Themen mal in einem Beitrag zusammen gefasst.

Seit dem Einmarsch der russischen Armee in die Ukraine befinden sich beide Staaten im Cyberkrieg. Und Kollateralschäden durch Angriffe auf andere Staaten, also auch Deutschland, sind nicht ausgeschlossen. Ich erinnere nur an meine Artikel Deutsche Windräder, der Krieg in der Ukraine und der Ausfall der Satellitenverbindung und Windräder ohne Satellitenzugang Kollateralschaden des Ukraine-Kriegs: Gezielter Hack des Viasat-Satellitennetzwerks. Und das Bundesamt für Sicherheit in der Informations­technik (BSI) gibt ja seit Wochen Sicherheitswarnungen an Unternehmen und Organisationen herausgegeben, in denen vor Cyberangriffen gewarnt wird. Das betrifft auch kritische Infrastrukturen (KRITIS) – und ganz passend habe ich ja heute den Beitrag  Anonymous hackt Rosneft Deutschland, 20 Terabyte Daten abgezogen hier im Blog veröffentlicht.

KRITIS im Kontext von Cyber-Angriffen

Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.

Auch die Cyberangriffe auf deutsche Kommunalverwaltungen, wie etwa in Anhalt-Bitterfeld, Schwerin und Witten, warfen ein Schlaglicht auf die Verwundbarkeit deutscher Behörden, bei denen große Teile der IT-Systeme ausfielen oder notfallmäßig abschaltet werden mussten. Wie rasch die Lebensmittelproduktion ins Stocken geraten kann, wurde anhand der Cyberattacke auf den drittgrößten österreichischen Molkereibetrieb deutlich, bei dem sämtliche Unternehmensbereiche von der Produktion über die Logistik bis hin zur Kommunikation betroffen waren.

Zudem zeigte der Angriff auf die Grundwasseraufbereitungsanlage Oldsmar in Florida die potenziell lebensgefährlichen Folgen einer kompromittierten kritischen Infrastruktur. Die Angreifer drangen erfolgreich in das Computersystem ein, das die Wasseraufbereitungsanlage steuerte, und manipulierten aus der Ferne einen Computer, um das chemische Gleichgewicht der Wasserversorgung zu verändern, was Menschen schwer schädigen hätte können.

Sicherheitsproblem deutsche IT-Infrastruktur

Mikko Hyppönen, Chef des finnischen Sicherheitsanbieters F-Secure hat wohl gegenüber der deutschen Presseagentur (DPA) ein Interview gegeben, aus dem verschiedene Medien wie RND oder heise gerade zitieren. Hyppönen argumentiert, dass Unternehmen und öffentliche Einrichtungen in Deutschland schlechter als die Pendants in der Ukraine gegen Cyberangriffe gewappnet seien.

Die Begründung lautet einerseits, dass Sicherheitsfachleute in Deutschland, Großbritannien und auch in Skandinavien bisher nur theoretisch mit der Abwehr von Bedrohungen zu tun gehabt hätten. In der Ukraine gehören Cyberangriffe dagegen seit Jahren zur täglichen Praxis von Sicherheitsfachleuten im IT-Bereich. Hyppönen sagt dazu:

Sie [die Ukraine] mussten sich immer wieder gegen echte Angriffe zur Wehr setzen. Die Ukraine ist das beste Land in Europa, was die Verteidigung ihrer Netze gegen Cyberangriffe angeht.

Der F-Secure-Chef sieht noch eine weitere Schwachstelle in der Cyberabwehr deutscher Firmen und Behörden: Je weiter ein Land technologisch fortgeschrittener sei, umso leichter lässt sich dieses durch Cyberangriffe in die Knie zwingen. Hyppönen wird dazu so zitiert:

Deutschland ist ein Paradebeispiel dafür. Es ist ein Hochtechnologieland mit hoch entwickelten und sehr großen industriellen Kapazitäten. Jede Fabrik und jedes Kraftwerk in Deutschland wird von Computern gesteuert, auch die Lebensmittelverarbeitungsbetriebe. Alles ist online und miteinander verbunden.

Der Sicherheitsspezialist erinnert daran, dass das Internet nicht dafür entworfen worden sei, eine kritische Infrastruktur zu steuern. Und er benennt auch eine Schwierigkeit der deutschen Regierung in Bezug auf Cybersicherheit und der nachträglichen Sicherung solcher Infrastrukturen:

Sehr große Teile [der Infrastrukturen] gehören nicht einmal der Bundesrepublik, sondern privaten Unternehmen. Und nun ist es die Aufgabe der Regierung und des Militärs, die Unternehmen irgendwie zu motivieren und ihnen zu erklären, dass sie beträchtliche Summen ausgeben sollten, um die Systeme gegen potenzielle Angriffe von ausländischen Regierungen zu schützen. Es erfordert eine Menge Planung, eine Menge Führung und eine Menge Geld.

Die zahlreichen Artikel über ungepatchte Sicherheitslücken in Exchange-Servern oder erfolgreiche Angriffe auf IT-Systemen von Behörden und Firmen hier im Blog zeigen, dass die Cybersicherheit Vielerorts im Argen liegt.  Das größte Problem sei derzeit jedoch, geeignetes Fachpersonal zu finden, so Hyppönen.

Gerade ist mir eine Info von Ali Carl Gülerman, CEO und General Manager von  Radar Cyber Security zum Thema Kritische Infrastrukturen im Kontext von Cyber-Angriffen auf den Tisch gekommen. Ich habe nachfolgend seine Hinweise zu diesem Thema angefügt.

Cyberkrieg: Wenn der Verhandlungspartner fehlt

Vor dem Hintergrund dieser steigenden Zahl an Angriffen, müssen sich Betreiber kritischer Infrastrukturen und Unternehmen mit besonderer volkswirtschaftlicher Bedeutung daher nicht nur mit Erpressungsversuchen, sondern auch mit dem Thema Cyberkrieg auseinandersetzen. Denn wenn Cyberkriminelle nur ein Lösegeld fordern, können Organisationen im Vorfeld zumindest entsprechende Handlungsrichtlinien implementieren, falls es etwa zu einem erfolgreichen Ransomware-Angriff kommt.

Ist eine Cyberattacke jedoch rein politisch motiviert, und die Organisation wurde von einem feindlichen Nationalstaat nur als zufälliges Opfer ausgewählt, um ein Exempel zu statuieren, fehlt der Verhandlungspartner und die Schäden können massive Auswirkungen nicht nur auf die Geschäftsfähigkeit haben, sondern gesamtgesellschaftliche Dimensionen annehmen, sagt Ali Carl Gülerman, CEO und General Manager bei Radar Cyber Security. 

Diese neue hybride Kriegsführung sei beim Ukraine-Russland-Konflikt deutlich geworden. Denn dem russischen Einmarsch gingen digitale Angriffe voraus und könnten diese auch zukünftig flankieren. So gelang es Russland bereits 2015 durch einen großen Cyberangriff, einen Teil des ukrainischen Stromnetzes lahmzulegen, wodurch eine Viertelmillionen Ukrainer im Winter ohne Strom waren.

Einen Monat vor Kriegsbeginn im Januar 2022 fand Microsoft zerstörerische Wiper-Malware in dutzenden kritischen Systemen ukrainischer Regierungsbehörden und Organisationen. Es gebe laut ukrainischer Regierung klare Hinweise, dass Russland hinter diesen Angriffen stecke. Zudem ist nicht auszuschließen, dass sich derartige Vorfälle weit über die Landesgrenzen der Ukraine ausdehnen könnten. Deutsche Sicherheitsbehörden haben bereits insbesondere Betreiber kritischer Infrastrukturen dazu aufgerufen, sich gegen mögliche Cyberattacken zu wappnen.

Deshalb ist es im Bereich KRITIS nicht nur aufgrund monetär motivierter Angriffe, sondern auch in Hinblick auf die nationale Sicherheit grundlegend, ein durchgängiges, integriertes Sicherheitskonzept für sowohl die IT- als auch OT-Infrastruktur zu implementieren, das als End-to-End-Lösung über alle Bereiche hinweg Produkte, Prozesse und qualifizierte Security-Fachkräfte umfasst.

Neue rechtliche Rahmenbedingungen für kritische Infrastrukturen

Ali Carl Gülerman weist darauf hin, dass der Gesetzgeber bereits auf die neuen digitalen Herausforderungen reagiert habe. Und damit stehen Betreiber kritischer Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse nicht nur durch die steigende Zahl der Cyberbedrohungen vor großen Herausforderungen, sondern auch durch die Aktualisierung der rechtlichen Rahmenbedingungen auf deutscher und europäischer Ebene.

Laut dem deutschen BSI-Gesetz sind Organisationen Betreiber von kritischer Infrastruktur, wenn sie einem der sieben Sektoren Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen und Ernährung angehören, kritische Dienstleistungen erbringen und dabei die in der BSI-KRITIS-Verordnung definierten Schwellenwerte überschreiten.

Zusätzliche Auflagen für KRITIS-Betreiber im Jahr 2022 durch den Gesetzgeber

In Deutschland ist im Mai 2021 das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz 2.0 – als Ergänzung des BSI-Gesetzes in Kraft getreten. Hiermit wurde der Kreis der kritischen Infrastrukturen um den Sektor Siedlungsabfallentsorgung erweitert. Zudem müssen künftig auch weitere Unternehmen im sogenannten „besonderen öffentlichen Interesse", wie etwa Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen umsetzen. Für Unternehmen und teilweise auch für Betreiber kritischer Infrastrukturen hat das IT-Sicherheitsgesetz 2.0 erhebliche Anpassungen zur Folge:

• Betreiber kritischer Infrastrukturen müssen spätestens bis zum 1. Mai 2023 Systeme zur Angriffserkennung implementieren.
• Zudem müssen Betreiber den geplanten erstmaligen Einsatz kritischer Komponenten dem Bundesinnenministerium anzeigen, etwa wenn der Hersteller von einem Drittstaat kontrolliert wird oder sicherheitspolitischen Zielen der deutschen Bundesregierung, EU oder NATO widerspricht.
• Unternehmen im besonderen öffentlichen Interesse werden zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet. Hiermit müssen sie darlegen, welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt und wie ihre IT-Systeme abgesichert wurden.

Zudem hat die Europäische Kommission zur Verbesserung der digitalen und physischen Resilienz kritischer Einrichtungen und Netze einen Vorschlag zur Reform der Europäischen NIS-Richtlinie (NIS-2) sowie eine „Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen" vorgelegt. Diese Vorschläge haben zum Ziel, aktuelle und künftige Risiken zu minimieren. Die Umsetzung dieser europäischen Richtlinien kann daher eine erneute Überarbeitung des IT-Sicherheitsgesetzes 2.0 zur Folge haben.

Wie sieht ein integrierter Schutz kritischer Infrastrukturen aus?

Produzenten und Versorger in den Bereichen Energie, Wasser und Gesundheit sowie Industrieunternehmen, die ihre IT und Leittechnik vor Cyberangriffen schützen müssen, benötigen laut Radar Cyber Security integrierte Lösungen, die sich im Einklang mit dem IT-Sicherheitsgesetz 2.0/BSI-Gesetz sowie den ISO 27000-Standards zur Informationssicherheit befinden. Auf der Technologieseite sollten daher folgende Kompetenzen verknüpft werden, um ein engmaschiges Sicherheitsnetz gegen Angriffe zu bilden:

Sicherheitsmodule zum Schutz kritischer Infrastrukturen

• Log-Daten-Analyse (LDA): Unter der Logdatenanalyse, auch unter Security Information and Event Management (SIEM) bekannt, versteht man das Sammeln, die Analyse und Korrelation von Logs aus verschiedensten Quellen. Daraus resultieren die Alarmierungen bei Sicherheitsproblemen oder potenziellen Risiken.

• Vulnerability Management & Compliance (VMC): Das Schwachstellenmanagement ermöglicht kontinuierliche, interne und externe Schwachstellen-Scans mit umfassender Erkennung, Compliance Checks und Tests für eine komplette Abdeckung. Im Rahmen der Software Compliance wird die autorisierte Verwendung von Software für jeden Server bzw. jede Server-Gruppe mithilfe eines Regelwerks und einer kontinuierlichen Analyse festgestellt. Manipulierte Software kann schnell erkannt werden.

• Network Condition Monitoring (OT-Modul): Hiermit werden in Echtzeit Kommunikationsvorgänge gemeldet, die auf eine Störung des fehlerfreien Betriebs hinweisen. Technische Überlastungszustände, physische Beschädigungen, Fehlkonfigurationen und Verschlechterung der Netzwerkleistung werden damit umgehend erkannt und die Fehlerquellen direkt ausgewiesen.

• Network Behavior Analytics (NBA): Mit der Netzwerkverhaltensanalyse ist die Erkennung von gefährlicher Malware, Anomalien und anderen Risiken im Netzwerkverkehr auf Basis von signatur- und verhaltensbasierten Detection Engines möglich.

• Endpoint Detection & Response: Endpoint Detection and Response steht für die Analyse, Überwachung und Erkennung von Anomalien auf Computerrechnern (Hosts). Mit EDR werden aktive Schutzaktionen und sofortige Alarmierung bereitgestellt.

Die Weiterverarbeitung der sicherheitsrelevanten Informationen aus diesen Modulen wird aufgrund der Komplexität durch Sicherheitsspezialisten durchgeführt. Sie bewerten und priorisieren die automatisiert gewonnenen Erkenntnisse. Das ist die Basis für die Einleitung der richtigen Gegenmaßnahmen. Zuletzt stellen die Sicherheitsexperten alle Informationen übersichtlich in einem zentralen Portal zur Verfügung, auf das die relevanten Stakeholder – unter anderem IT und OT Operations Teams, aber auch die Geschäftsleitung – Zugriff haben oder aus dem sie regelmäßig maßgeschneiderte und für sie nachvollziehbare Berichte erhalten.

Europäische Sicherheitstechnologie zur einfachen Erfüllung gesetzlicher Vorgaben

Die Verwendung europäischer Sicherheitstechnologien ist zwar nicht im BSI-Gesetz verankert, jedoch für KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse empfehlenswert, um folgende gesetzliche Vorgaben einfach erfüllen zu können:

1. Einhaltung der Datenschutzgrundverordnung sowie Integrität, Authentizität und Vertraulichkeit der IT-Systeme

KRITIS-Betreiber unterliegen ebenso wie Unternehmen aller anderer Branchen den Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) und haben diese zu jeder Zeit einzuhalten sowie entsprechend abzusichern.

Weiterhin fordert das BSI-Gesetz (§ 8a Absatz 1 BSIG) von Betreibern kritischer Infrastrukturen einen geeigneten Nachweis gegenüber dem BSI ihrer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.

Mit europäischen Sicherheitsanbietern, deren Leistungen auf in Europa entwickelter Eigentechnologie basieren, ist eine Gesetzeskonformität mit den oben genannten Vorgaben einfach umzusetzen, da sie höchsten Datenschutzstandards unterliegen. Neben der Herkunft des Cybersecurity-Anbieters sollten KRITIS-Unternehmen zudem auf die Art der Einrichtung der Sicherheitssoftware und die Sammlung von Sicherheitsdaten achten. Um bestmögliche Datensicherheit zu gewährleisten, empfiehlt sich die Einrichtung von On-Premise-Lösungen als sicherste Form des Deployments. Auch wenn der Trend vermehrt Richtung Cloud geht, ist dies hinsichtlich der hohen Datensensibilität im Bereich KRITIS kritisch zu betrachten, so der Radar Cyber Security-Manager.

2. Kritische Komponenten: Vorgaben für eingesetzte Hersteller

Der Einsatz europäischer Sicherheitstechnologie erleichtert auch die Prüfung kritischer Komponenten durch das BSI gemäß § 9b BSIG. So kann das BSI den erstmaligen Einsatz einer kritischen Komponente untersagen, wenn

1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird,
2. der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten,
3. der Einsatz der kritischen Komponente nicht im Einklang mit den sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages steht.

Starke Cyber-Resilienz grundlegend für KRITIS-Organisationen

Angriffe auf kritische Infrastrukturen sind lukrativ für Cyberkriminelle. Zugleich bergen sie ein besonders hohes Schadenspotenzial für das Gemeinwesen: u.a. Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder sogar die Gefährdung von Menschenleben. Deshalb ist es für KRITIS-Organisationen wesentlich, dass für ihre Abwehrmaßnahmen Sicherheitsanbieter ausgewählt werden, die die Vorgaben des BSI und die ISO 27000-Standards vollumfänglich erfüllen und gleichzeitig die höchsten europäischen Datenschutzstandards angehalten werden.

Die Prämisse sollte nicht nur sein, Strafzahlungen zu vermeiden, sondern insbesondere eine effektive und nachhaltige Absicherung der IT- und OT-Systeme zu gewährleisten. Eine starke Cyber-Resilienz gegen Angriffe basiert jedoch niemals allein auf Sicherheitstechnologien, sondern schließt stets die richtigen Prozesse und qualifiziertes Fachpersonal mit ein. Nur durch diesen Dreiklang von Produkt, Prozessen und Experten gelingt ein 360-Grad-Blick auf die gesamte Infrastruktur einer Organisation, um für eine ganzheitliche Früherkennung und rasche Reaktion auf Cyberbedrohungen zu sorgen.

ECO-Empfehlung zur Cybersicherheit

Die IT-Sicherheitslage kann sich aufgrund des Ukraine-Krieges schnell ändern. Unternehmen sollten sich darauf vorbereiten. Der eco Verband rät zu Notfallplänen, die für maximale Business Continuity in Krisenzeiten sorgen. Unternehmen sollten IT-Lieferketten außerdem jetzt auf Abhängigkeiten überprüfen.

1. Basisschutz überprüfen – Angriffsflächen reduzieren
   Unternehmen sollten die aktuelle Lage zum Anlass nehmen, ihre bestehenden grundlegenden Maßnahmen zum Schutz vor Cyberangriffen zu überprüfen. Wie bei einem digitalen Frühjahrsputz sollten alle IT-Systeme mit Updates vorsorgt und damit mögliche Schwachstellen, über die Angriffe erfolgen könnten, geschlossen werden. Dies gilt sowohl für die zentral administrierten Server als auch für alle Endgeräte. Auch die Rechtevergabe und externe Zugänge zum Unternehmen sollten dabei kritisch auf ihre Notwendigkeit hin überprüft werden. Häufig werden Accounts ausgeschiedener Mitarbeiterinnen oder Mitarbeiter oder Zugänge, die zum Testen eingerichtet wurden, nicht vollumfänglich entfernt und bieten dann eine willkommene Hintertür für Angriffe. Aber auch die Kommunikationsmöglichkeiten mithilfe von Firewall-Systemen zu reduzieren hilft, die potenziellen Angriffsflächen zu verringern.
2. Ausfälle mindern
   Im Falle großflächiger Cyberangriffe kann es auch zu kurzfristigen Ausfällen der Infrastruktur kommen. Das Internet ist grundsätzlich redundant ausgelegt. Im Unternehmen gilt es zu überprüfen, ob es Bereiche mit erhöhten Anforderungen an die Ausfallsicherheit gibt. Notstromaggregate für eine unterbrechungsfreie Stromversorgung sollten regelmäßig auf ihre Funktionsfähigkeit getestet werden. Dazu gehört auch ein angepasster Vorrat an benötigten Betriebsmitteln, etwa ausreichend Diesel. Auch im Bereich der Internetanbindung kann es kurzfristig zu Störungen kommen. Bei erhöhten Anforderungen sollte über eine zweite redundante Anbindung, gegebenenfalls über eine andere Technologie, nachgedacht werden.
3. Awareness für die besondere Situation schaffen
   Im Falle verstärkter Cyberangriffe ist zu erwarten, dass Cyberkriminelle mittels Phishing-Mails versuchen, Zugang zu Unternehmenssystemen zu erlangen. Die Mitarbeitenden sollten für solche Angriffe sensibilisiert werden, um entsprechende Mails erkennen zu können. Die Beschäftigten hinsichtlich solcher Angriffe zu sensibilisieren und die Awareness hoch zu halten ist besonders wichtig, wenn viele Kolleginnen oder Kellegen im Home-Office vom üblichen Flurfunk abgeschnitten sind.
4. Interne und externe Ressourcen bereithalten
   Im Ernstfall benötigen Unternehmen qualifiziertes Personal vor Ort. Dazu ist es notwendig, sowohl eine Ersatzplanung für den Fall eines unerwarteten Ausfalls eines Mitarbeiters oder einer Mitarbeiterin zu erstellen, als auch die Erreichbarkeit Ihrer IT-Spezialisten sicherzustellen. Die Verantwortlichkeiten Ihrer Mitarbeiter und Mitarbeiterinnen in der IT sollten klar definiert und bekannt sein. Verantwortlichkeiten und Zuständigkeiten werden auch in einem Notfallplan schriftlich festgehalten, so dass es im Fall einer IT-Attacke nicht zu organisatorischen Missverständnissen kommt. Denken Sie daran, dass ein externer Dienstleister im Falle eines Zwischenfalls nicht immer zeitnah reagieren kann. Bereiten Sie Ihre Mitarbeitenden darauf vor, auch ohne externe Unterstützung handlungsfähig zu sein.
5. Netzwerkverkehr auf Anomalien beobachten
   Ungewöhnliche Netzwerkaktivitäten sind ein eindeutiges Alarmsignal, reagieren Sie auf Warnungen Ihrer Monitoring Software, sofern Sie das Monitoring Ihres Netzwerkes nicht einem externen Dienstleister übergeben haben. Besonders gefährdet sind hier externe IT-Systeme, beispielsweise mobile Arbeitsplätze von Mitarbeitern oder auch Kommunikationsgeräte. Solche Zugänge sollten immer durch geeignete Maßnahmen – beispielsweise auch VPNs – gemeinsam mit einer Multi-Faktor-Authentifizierung geschützt und besonders überwacht werden. Die einzelnen Privilegien für Benutzer und für Endgeräte können in Richtlinien klar definiert und ihre Einhaltung kontrolliert werden. Mitarbeitende, die mit administrativen Rechten arbeiten müssen, sollten für jede Rolle ein eigenes Login haben. Die strikte Trennung der jeweiligen Rollen und die Beschränkung der Rechte im Netzwerk auf das jeweilig notwendige trägt zu einer erheblichen Stärkung des Sicherheitslevels bei. Aber auch externe Dienste müssen kritisch bewertet und gesichert werden. Grundsätzlich sind externe Verbindungen auf interne Systeme nur von festgelegten IP-Adressen oder über VPN zu ermöglichen und per Multi-Faktor-Authentifizierung zu schützen. Ein geeignetes Monitoring der Zugriffe kann helfen, frühzeitig Missbrauch der Verbindungen zu erkennen.
6. Notfallpläne
   Mit Hilfe eines Notfallplans können Unternehmen umgehend auf Angriffe oder Ausfälle ihrer IT-Systeme reagieren und so Ausfallzeiten minimieren. Hier werden Regeln und Maßnahmen definiert, die im Notfall zu ergreifen sind. Auch werden Zuständigkeiten und Personen festgelegt, sowie eine Checkliste mit Handlungsanweisungen erstellt. Die eco IT-Sicherheitsumfrage zeigt, Notfallplanung ist eines der Top Sicherheitsthemen der Unternehmen (eco IT-Sicherheitsumfrage 2022: Unternehmen reagieren auf angespannte Cybersicherheitslage – eco). Doch bislang haben nur 63 Prozent der Unternehmen einen entsprechenden Notfallplan tatsächlich umgesetzt.
7. Backups
   Ein Backup ist eine elementare Schutzmaßnahme gegen Angriffe, mit der im Notfall die Wiederherstellbarkeit der Daten und damit auch die Weiterführung oder Wiederaufnahme des Geschäftsbetriebes sichergestellt werden kann. Daher ist eine effiziente und vor allem auch erprobte Backup-Strategie eine "Lebensversicherung" für ein Unternehmen.
8. IT-Lieferketten
   Angriffe auf Software- oder IT-Dienstleister können auch dazu genutzt werden, um deren Kunden zu attackieren. In diesem Kontext muss verhindert werden, dass durch angegriffene Partner die eigene IT-Infrastruktur übernommen oder beeinträchtigt werden kann. Stellen Sie sicher, dass nur autorisierte Apps ausgeführt werden können, erstellen Sie sichere Richtlinien zur Integration von Code und externen Updates. Beobachten Sie auch den eingehenden Netzwerkverkehr Ihrer Partner auf Unregelmäßigkeiten. Auch für Ihre Partner gelten ihre strengen Sicherheitsrichtlinien bezüglich Netzwerkzugriff und Sicherheit. Bedenken Sie auch, dass physische Lieferketten durch Angriffe betroffen sein können und erstellen Sie im Vorfeld Pläne, wie Sie mit einem solchen Angriff umgehen können.