4 minute read
Cyber-Security bleibt ganz oben auf der Tagesordnung – Gastbeitrag von Arne Schönbohm, Präsident des BSI
CYBER-SECURITY BLEIBT GANZ OBEN AUF DER TAGESORDNUNG
Gastbeitrag von Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Advertisement
Citrix VPN, Microsoft Exchange, Pulse Connect Secure. Die Liste der Schwachstellen in IT-Systemen und IT-Produkten wird nicht kürzer. Doch die deutschen Unternehmen stehen dieser Herausforderung nicht schutzlos gegenüber. Sie dürfen nur – gerade aufgrund des coronabedingten Digitalisierungsschubs – nicht aufhören, sie ernst zu nehmen. Die täglichen Berichte in den Medien sprechen eine deutliche Sprache: Cyber-Angriffe gehören mittlerweile zum Unternehmensalltag. Und die immer wieder auftretenden Schwachstellen, neue Angriffsmethoden und eine steigende Komplexität in der IT-Landschaft werden dafür sorgen, dass die CyberSicherheitslage dynamisch und angespannt bleibt.
Sicherheitslücke Microsoft Exchange
Ein Beispiel: Im März 2021 waren aufgrund einer Sicherheitslücke bei Microsoft zehntausende Exchange-Server in Deutschland über das Internet angreifbar. In Teilen waren sie sogar bereits mit Schadsoftware infiziert. Das BSI gab eine Sicherheitswarnung der Bedrohungsstufe 3 (hoch) heraus und informierte die potenziell Betroffenen. Als die Sicherheitslücke bekannt wurde, waren nach Schätzung des BSI davon bis zu 60.000 Systeme in Deutschland betroffen. Das BSI empfahl allen Betreibern von betroffenen Exchange-Servern, sofort die im März von Microsoft bereitgestellten Patches einzuspielen. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden. Doch trotz des hohen Sicherheitsrisikos erfolgte die Absicherung der anfälligen Ex-
change-Server in Deutschland eher schleppend. Nach Kenntnis des BSI waren auch Monate nach der Sicherheitswarnung noch immer deutlich über 3.500 verwundbare Systeme über das Internet erreichbar. Die Notwendigkeit, auf Warnmeldungen schnell und effizient zu reagieren und zu patchen, ist in den Unternehmen offenbar noch nicht ausreichend angekommen. Hier muss weiter sensibilisiert und nachgearbeitet werden.
Homeoffice vergrößert Angriffsfläche
Auch die Corona-Pandemie mit ihren neuen und ungewohnten Rahmen- und Arbeitsbedingungen (Homeoffice, virtuelle Meetings, Messengerdienste) wird von den Angreifern in vielfacher Weise ausgenutzt, um Schadsoftware zu implementieren, einen IT-Lockdown zu erzwingen und/oder mit einer Cyber-Erpressung zu drohen. Denn in der Krise wurden viele technologische und organisatorische Änderungen schnell und spontan umgesetzt. Für viele Unternehmen war Arbeit im Homeoffice in dieser Dimension zudem weitgehend Neuland, oftmals war sie nicht oder nur unzureichend geregelt. Die Prüfung, ob auch sicher ist, was nun genutzt oder neu eingesetzt wurde, war dabei zeitbedingt oft nachrangig. Die Ergebnisse einer repräsentativen Umfrage unter 1.000 Unternehmen aus dem ersten Pandemiejahr zum Thema Sicherheit im Homeoffice belegen das:
127 der Unternehmen haben Cyber-Angriffe bestätigt . Für Unternehmen mit weniger als 50 Mitarbeitenden hatte eine von vier Attacken sehr schwere oder sogar existenzbedrohende Folgen .
> Aber: Nur 42 Prozent der Unternehmen nutzen ausschließlich eigene IT, 27 Prozent private und unternehmenseigene IT gleichermaßen, 12 Prozent überwiegend oder ausschließlich private IT . > Aber: Nur 38 Prozent der Unternehmen managen die Sicherheit von
Handys, Laptops, Tablets und weiterer mobiler Endgeräte mit Verbindung zum Firmennetzwerk (Mobile Device Management) . > Aber: Während einfache Maßnahmen wie der Passwortschutz meist noch umgesetzt werden, werden viele andere Maßnahmen wie die Segmentierung und Absicherung von Netzen oder eine Mehr-Faktor-Authentifizierung nur von jedem zweiten Unternehmen angewendet .
Hier besteht Handlungsbedarf, sowohl durch technische ebenso wie durch organisatorische Maßnahmen. Nicht zuletzt die Sicherheitslücke bei Microsoft Exchange hat gezeigt, wie einfach man sich über mobile Kommunikation auf Unternehmensservern einnisten kann. Mit einem guten Mobil Device Management können Endgeräte bei Verlust aus der Ferne gesperrt werden. Zudem kann VPN als zwingend voreingestellt werden und es gibt ein funktionierendes Patch-System. Unternehmen sollten IT-Notfallübungen ähnlich wie Feueralarmübungen regelmäßig durchführen. Sollte ein Notfall eintreten, muss schnell gehandelt werden. Alarmierungsund Meldewege müssen festgelegt und regelmäßig realitätsnah geübt werden.
Schutz ist möglich
Das BSI hat bereits 2020 als kurzfristige Reaktion auf die Corona-Krise eine Kurzanleitung für den sicheren Homeoffice-Betrieb herausgegeben. Es empfiehlt grundlegende Maßnahmen, die mit überschaubarem Aufwand umgesetzt werden können.
> Alle für die Arbeit im Homeoffice relevanten Sicherheitsmaßnahmen sollten in einer verpflichtenden Sicherheitsrichtlinie dokumentiert werden . > Es sollte klar geregelt werden, welche Kommunikationsmöglichkeiten unter welchen Rahmenbedingungen genutzt werden dürfen . > Die IT-Notfallkarte „Verhalten bei IT-
Notfällen“ sollte an zentralen Orten platziert und so den Beschäftigten wichtige Verhaltenshinweise bei IT-
Notfällen aller Art an die Hand gegeben werden . > Alle Standardmaßnahmen zum Schutz von IT-Systemen wie das Einspielen aktueller Software-Patches und
AV-Signaturen sowie der Einsatz einer
Firewall sollten umgesetzt sein . > Alle Zugangsmöglichkeiten auf die Server der Institution sowie alle Zugriffsrechte auf die darauf gespeicherten Informationen sollten auf das notwendige Mindestmaß beschränkt sein .
Ausführliche Sicherheitsanforderungen an den Homeoffice-Betrieb finden sich darüber hinaus im IT-Grundschutzkompendium, in den Bausteinen zu häuslichen und mobilen Arbeitsplätzen, zur Telearbeit und zu VPN.
Das BSI und Sachsen
Bereits seit 2018 kooperiert das BSI eng mit dem Freistaat Sachsen, um ein Höchstmaß an Cyber-Sicherheit zu schaffen und Innovationen auf den Weg zu bringen. Mit der Einweihung der dauerhaften Dienstliegenschaft in Freital im Juli 2021 ist das BSI endgültig im Freistaat angekommen. Die perspektivisch rund 200 Mitarbeitenden stehen auf ihren Arbeitsfeldern auch der regionalen Wirtschaft als Ansprechpartnerinnen und Ansprechpartner zur Seite, sei es bei Fragen zu 5G oder auch dem Digitalen Verbraucherschutz. Rund 149 kleine bis große Unternehmen und Institutionen aus Sachsen sind Teil des großen BSI-Netzwerks Allianz für CyberSicherheit. Hier stärken sich die Mitglieder gegenseitig im Einsatz für mehr Informationssicherheit. Das Angebot ist kostenlos und durch die vielfältigen Schulungs- und Austauschmöglichkeiten eine echte Bereicherung. Früher hieß es: Ohne Sicherheit keine Freiheit – in Bezug auf die Digitalisierung muss es heute heißen: Ohne Cyber-Sicherheit ist keine
Zur Person:
Der gebürtige Hamburger Arne Schönbohm ist seit 2016 Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er ist Autor diverser Bücher, darunter auch „Deutschlands Sicherheit – Cybercrime und Cyberwar“.
Digitalisierung erfolgreich. So wie Cyber-Angriffe zum Alltag geworden sind, muss darum auch die Sensibilisierung der Unternehmen zum Alltag werden.
