Was tun im Cyber-Ernstfall?
Ins Büro kommen oder sein eigenes Handy in die Hand nehmen und plötzlich keinen Zugriff mehr zu haben – ein Horrorszenario. Fast täglich lesen wir von Angriffen und dadurch bedingten Ausfällen bei Unternehmen und Organisationen. Die Täter werden immer professioneller, die Schäden gehen in die Millionen.
Was ist zu tun, wenn man sich plötzlich selbst im Auge des Sturms einer Cyber-Attacke wiederfindet – oder viel besser, was sollte im Vorfeld passieren, um ihn zu verhindern? Entwicklungen in der Cyberkriminalität, Maßnahmen für den Ernstfall und effektiven Schutz präsentierten die hochrangigen Expert:innen Christina Schindlauer vom BMI und Clemens Prerovsky von APA-Tech beim jüngsten APA-Tech-Talk.
„Wenn ich nichts tue, bin ich irgendwann offen wie ein Scheunentor“
Christina Schindlauer
Einhelliger Tenor der Veranstaltung: Schutz vor Cyber-Bedrohungen geht uns alle an; es ist nicht die Frage ob, sondern wann wir betroffen sein werden – doch gute Vorbereitung kann Schlimmeres verhindern. „Wer Geräte nutzt, muss sich darum kümmern, diese zu schützen – wenn ich nichts tue, bin ich irgendwann offen wie ein Scheunentor“, unterstrich Christina Schindlauer, Abteilungsleiterin im Bundesministerium für Inneres (BMI). Sie gab Einblicke, wie Cyberangriffe heutzutage ablaufen – auch bereits, bevor sie vom Opfer entdeckt werden –, welche Tätergruppen zu identifizieren sind und wie sich die Cyberkriminalität im letzten Jahrzehnt entwickelt hat.
Seit 2012 verzeichne das BMI einen Gesamtanstieg von knapp 600 Prozent an Angriffen – und das bei einer hohen Dunkelziffer. Aktuelle Trends seien etwa die Nutzung von künstlicher Intelligenz und Automatisierung, um Attacken noch effizienter abzuwickeln, die Professionalisierung und Arbeitsteilung von Tätergruppen – Stichwort „Cybercrime as a Service“ – sowie der Angriff auf Supply Chains, womit auch Kunden eines Unternehmens getroffen werden. Der häufigste Fehler von Organisationen sei laut Schindlauer mangelnde Vorbereitung: einerseits fehlende Awareness sowie zu wenige Schulungen von Führungskräften und Mitarbeiter:innen, aber auch technische IT-Sicherheitsmaßnahmen: „Daran muss man regelmäßig arbeiten und Systeme auf den neuesten Stand bringen. Wichtig sind auch Notfallpläne für den Ernstfall sowie ein Cyber-Krisenmanagement – das ist das wesentlichste Instrument mitten im Vorfall.“
Ziel eines solchen Vorfalls wurde APA-Tech Ende des vergangenen Jahres. Warum dieser Angriff passieren konnte, wie er abgewehrt wurde und welche Erkenntnisse daraus entstanden, berichtete APA-IT-Geschäftsführer Clemens Prerovsky in einer offenen Nachbetrachtung. Täglich würde die Firewall der APA-IT mehr als 1000 Attacken direkt abblocken, so Prerovsky, doch eine Sicherheitslücke hatte den Angreifern an einem Samstag mitternachts das Eindringen ins System ermöglicht. Um 5:00 Uhr morgens meldete das APA-IT-Monitoring ungewöhnliche Aktivitäten. Der intelligente Virenscanner ermöglichte es, gezielt die Werkzeuge der Angreifer zu deaktivieren. „Vieles gerettet hat auch unsere feine Netzwerksegmentierung, so konnte der Angriff auf zwei von 90 Servern begrenzt werden. Um 7:00 Uhr Samstagfrüh war die Mitigation dann bereits erfolgreich abgeschlossen, das heißt die Angreifer vom System getrennt und eine weitere Ausbreitung verhindert“, so Prerovsky.
„Absolut spielentscheidend war unser Krisenplan.“
Clemens Prerovsky
Auch organisatorisch seien zahlreiche Maßnahmen erfolgreich zum Einsatz gekommen: „Absolut spielentscheidend war unser Krisenplan. Zu Beginn einer solchen Situation läuft alles parallel und vieles muss gleichzeitig geschehen, da ist es so eine Entlastung, wenn Prozesse durchdacht und vorgezeichnet sind, was organisatorisch und kommunikativ zu passieren hat.“ Die größten Ausfälle und Störungen der Arbeitsabläufe in der APA-Gruppe gab es paradoxerweise, weil im Nachhinein alle Systeme isoliert und dahingehend überprüft wurden, ob sich irgendwo weitere Schadsoftware oder Lücken befinden – Kunden waren nicht betroffen. Welche Lehren konnten aus dem Vorfall gezogen werden? „Wir haben eine Reihe an Maßnahmen umgesetzt. Unter anderem flächendeckende Multifaktor-Authentifizierung für alle Nutzer:innen, Einschränkung des Systemzugriffs auf Österreich und ein detaillierter Review aller getroffenen Sicherheitsmaßnahmen.“
Gemeinsam appellierten Schindlauer und Prerovsky für einen offeneren Umgang mit der Thematik: „Wir alle sind betroffen, es ist ein gesamtgesellschaftliches Thema und wir sollten an einem Kabel ziehen und nicht darüber schweigen“, sprach die BMI-Expertin die hohe Dunkelziffer an. „Ich stehe hier, um unser Wissen weiterzugeben und es potenziellen Tätern in Zukunft ein kleines bisschen schwerer zu machen“, so der APA-IT-Geschäftsführer.
Fotos: APA-Fotoservice/Martin Hörmandinger