Mit einfachen Mitteln viel erreichen: Effektiver Schutz vor Cyber-Attacken ist machbar

Die Qualität und Intensität von Cyber-Angriffen auf deutsche Unternehmen steigt seit Jahren stetig an. Davon sind auch immer mehr Verbände, Vereine und Hilfsorganisationen betroffen, die oftmals eine ähnliche Organisationsstruktur und ein vergleichbar (niedriges) IT-Sicherheitsniveau wie kleine und mittlere Unternehmen (KMU) aufweisen. Aber: mit konsequent umgesetzten Informationssicherheitsmaßnahmen können sich auch diese Zielgruppen gut schützen. Dabei kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Cyber-Sicherheitsbehörde des Bundes hilfreich zur Seite stehen. Dort wurden – ursprünglich speziell für KMU – mehrere wirkungsvolle Pakete geschnürt, in denen, je nach Bedarf, unterschiedliche Unterstützungsmaßnahmen vorgeschlagen werden. Es hat sich jedoch gezeigt, dass genau diese Pakete auch bei Zielgruppen auf breites Interesse stoßen, für die sie ursprünglich gar nicht entwickelt wurden. Darüber berichtet hier Manuel Bach, Leiter des BSI-Referates „Cyber-Sicherheit für KMU“ in Bonn.

Die Folgen eines erfolgreichen Cyber-Angriffs können für die Betroffenen gravierend sein und neben wirtschaftlichen Verlusten auch die aufgebaute Reputation gefährden. Insbesondere im Bereich von Hilfsorganisationen steht meist nicht der wirtschaftliche Schaden im Vordergrund. Vielmehr gibt es hier eine größere Zahl von indirekt Betroffenen. Sei es, weil vertrauliche Daten abhandenkommen oder für die Allgemeinheit wichtige Dienstleistungen nicht oder nur eingeschränkt erbracht werden können. Erpressungsvorfälle mit Hilfe eingeschleuster Schadsoftware, die zum Ausfall von Informations- und Produktionssystemen führen, legen den Betrieb in der Regel tage oder wochenlang lahm.

Trotz dieser Gefahren haben laut einer aktuellen Umfrage des BSI (2021) nur sechzehn Prozent der Unternehmen ihr IT-Sicherheitsbudget in der Corona-Krise erhöht. Dabei ist klar: Informationssicherheit ist die Voraussetzung für eine sichere und nachhaltige Digitalisierung.

Die Gefahr für KMU ist besonders hoch

Anders als Großunternehmen beschäftigen KMU ebenso wie Vereine, Verbände oder Hilfsorganisationen in der Regel keine IT-Sicherheitsteams. Daraus folgt vielfach eine mangelnde Beurteilungskompetenz für IT-Sicherheitsgefährdungen und eine besondere Anfälligkeit gegenüber Bedrohungen aus dem Cyber-Raum.

2021 identifizierte das BSI beispielsweise eine große Zahl von Microsoft-Exchange-Servern, die durch Schwachstellen verwundbar waren – bei vielen davon hatte sich in den betroffenen Organisationen seit mehr als einem Jahr niemand mehr darum gekümmert, Sicherheitsupdates zu installieren. Bei den meisten der Systeme handelte es sich um Systeme von KMU. Betroffen waren aber auch Institutionen aus dem medizinischen und caritativen Bereich.

Organisationen können sich effektiv schützen

Zwar schützen viele Institutionen ihre Daten, Systeme und Prozesse bereits jetzt. Auch das sicherheitstechnische Niveau ihrer Produkte und Dienstleistungen haben sie im Blick. Anderen wiederum fehlen dazu Informationen und der geeignete Einstieg.

Hier findet man Abhilfe beim BSI, das Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft gestaltet. Dabei setzt es auf einen kooperativen Ansatz mit möglichst vielen Multiplikatoren, die praxisorientierte und zielgruppengerechte Handlungsempfehlungen des BSI umsetzen. Unter www.bsi.bund.de/kmu finden sich Tipps und Tricks speziell für die Zielgruppe KMU. Und im ­BSIKMU-Newsletter kann man sich über die relevanten Neuigkeiten aus dem Bereich Cyber-Sicherheit informieren lassen. Und falls doch einmal etwas schiefgeht, lässt sich auf der BSI-Website über ein Webformular auch eine IT-Sicherheitsvorfallsmeldung an das BSI-­Lagezentrum absetzen.

Ebenfalls dort abrufbar (und kostenlos auch in größerer Menge als Print-Version bestellbar) ist eine neue KMU-Broschüre des BSI, in der unter vierzehn Fragen die wichtigsten Sicherheitsgrundlagen zusammengefasst sind. Tatsächlich reicht oftmals schon eine Handvoll einfach umzusetzender – überwiegend kostenloser – Maßnahmen aus, um die größten Cyber-Gefahren abzuwenden, nämlich:

• regelmäßig Updates einspielen,
• sichere Passwörter, Passwortmanager und
• Zwei-Faktor-­Authentisierung nutzen,
• Makros deaktivieren,
• regelmäßige Datensicherungen (Backups) so anlegen,
• dass sie durch eine Schadsoftware nicht mitverschlüsselt werden können.
• sich präventiv auf den Ernstfall vorbereiten

Behörden sowie Organisationen, die der Kritischen Infrastruktur angehören, kann das BSI darüber hinaus im Ernstfall auch noch weitere Hilfsangebote unterbreiten – bis hin zur Entsendung eines Notfall-Teams, das vor Ort hilft.

IT-Grundschutz des BSI

Der IT-Grundschutz ist in Deutschland der Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht. Inzwischen existieren mehrere branchenspezifische IT-Grundschutz-Profile, mit denen wichtige Vorarbeiten bereits erledigt sind. Die vom BSI zertifizierten IT-Grundschutz-Berater können unter anderem unterstützen bei der

• Einführung eines Informationssicherheitsmanagements (ISMS),
• Entwicklung von Sicherheitskonzepten,
• Definition und Umsetzung geeigneter Maßnahmen,
• Vorbereitung eines ISO 27001-Audits auf Basis von ­IT-Grundschutz.

Eine Beratung nach der DIN SPEC 27076

Für viele kleinere Organisationseinheiten und solche ohne eigenes IT-/IT-Sicherheits-Team stellt aber selbst das Umsetzen einer Basisabsicherung nach IT-Grundschutz noch eine zu große Hürde dar. Damit auch diese Organisationen einen Einstieg in das Thema Cyber-Sicherheit finden, hat das BSI deshalb in einem vom ­Bundesministerium für Wirtschaft und Klimaschutz geförderten Projekt (www.mit-standard-sicher.de) gemeinsam mit dem Bundesverband mittelständische Wirtschaft, dem Deutschen Institut für Normung, der Versicherungswirtschaft, IT-Dienstleistern und weiteren Konsortialpartnern eine DIN SPEC 27076 IT-Sicherheitsberatung für Klein- und Kleinstunternehmen entwickelt. Ziel ist ein standardisiertes, niedrigschwelliges Verfahren, nach dem IT-Dienstleister eine Bewertung der IT-Sicherheit von KMU erstellen und darauf basierend Handlungsempfehlungen abgeben können. Die Arbeit an dieser Spezifikation wurde Ende Februar 2023 abgeschlossen.

Eine Beratung nach der DIN SPEC 27076 ist aber natürlich nicht auf KMU beschränkt. Bereits während der Erarbeitung des Standards haben unterschiedliche Verbände Interesse zur Eigennutzung angemeldet.

Bei der Beratung handelt es sich bewusst nicht um ein Zertifizierungsverfahren. Man kann weder bestehen noch durchfallen. Ziel ist eine Positionsbestimmung und das Aufzeigen konkreter Maßnahmen, um die Resilienz gegenüber Cyber-Gefährdungen mit überschaubarem Aufwand steigern zu können.

Im Rahmen der Beratung erhebt ein IT-Dienstleister in einem maximal zweistündigen, per Videokonferenz durchgeführten Interview den IST-Zustand des Informationssicherheitsniveaus der jeweiligen Organisation. Dabei wird die Erfüllung bestimmter, im Standard definierter Anforderungen abgefragt. Für jede erfüllte Anforderung werden Punkte vergeben. Als Ergebnis der Beratung erhält die geprüfte Organisation einen Bericht, in dem die Erfüllung bzw. Nichterfüllung der einzelnen Anforderungen aufgeführt ist. Bei Anforderungen, die nicht erfüllt wurden, finden sich konkrete Handlungsempfehlungen, wie Defizite behoben werden können. Ergänzt wird dies durch Hinweise auf für die geprüfte Organisation in Frage kommende staatliche Fördermaßnahmen.

Eine Beratung nach DIN SPEC 27076 ist relativ kostengünstig zu haben. Veranschlagt wird in der Regel ein Beratertag. Bereits jetzt existieren darüber hinaus staatliche Fördermaßnahmen, über die sich – zumindest KMU – mindestens 50 % der Beratungskosten erstatten lassen können. Das BSI ist aktuell aber auch mit mehreren Bundesländern im Gespräch, um diese Möglichkeiten noch auszuweiten.