Notfallplanung: Maßnahmen gegen Cyberattacken

Das Berliner Warenhaus Kadewe war im November 2023 Ziel einer Cyberattacke.
Foto: iStock/JKristoffersson

Das Berliner Warenhaus Kadewe war im November 2023 Ziel eines Cyberangriffs. Einer russischen Hackerbande namens „Play“ war es gelungen, in die IT-Systeme des Luxuskaufhauses einzudringen. Zeitweise war an den Kassen nur noch Barzahlung möglich. Auch der Gutschein-Service war betroffen. Da der Angriff in einem sehr frühen Stadium abgewehrt wurde, konnten die Auswirkungen deutlich eingedämmt werden – das ließ die Kadewe-Geschäftsleitung unmittelbar nach Bekanntwerden der Cyberattacke verlauten. Wie hoch der finanzielle Schaden durch die Betriebsstörung war und welche Forderungen die Angreifer stellten, wurde nicht bekannt. Der Schaden für die Reputation des Unternehmens war in jedem Fall beträchtlich.

Cyberangriffe auf Handelsunternehmen sind längst keine Seltenheit mehr. Im Gegenteil: Keine andere Branche ist stärker von Datenverlusten betroffen, schreibt der Cloud-Plattformbetreiber Fastly in seinem aktuellen „Global Security Report“, der auf einer Umfrage unter 1.484 Entscheidungsträgern aus aller Welt basiert. Demnach waren Einzelhändler und Onlineshop-Betreiber 2023 im Durchschnitt 41 Cyberangriffen ausgesetzt – pro Unternehmen. Im Durchschnitt brauchten die betroffenen Unternehmen 7,5 Monate, um sich vom Verlust des Kundenvertrauens nach einem solchen Vorfall zu erholen, heißt es in dem Report.

Bedrohung nimmt zu

„Ob klein oder groß, es trifft alle“, sagt Manuel Bach, Leiter des Referats „Cybersicherheit für KMU“ beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Phishingmails zum Beispiel, die sensible Informationen ausspähen wollen, hat jeder in seinem Postfach. Die größte Gefahr droht durch Ransomware. Jedes zweite Unternehmen wurde binnen eines Jahres mit Schadprogrammen attackiert, heißt es im BSI-Lagebericht 2023. Hacker verschaffen sich so Zugang zum Firmennetzwerk, verschlüsseln die Daten und fordern ein Lösegeld für die Freigabe. Das BSI beobachtet bei Ransomware eine Verlagerung: Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleinere und mittlere Firmen.

Eine wachsende Gefahr geht auch von DDoS (Distributed Denial of Service)-Angriffen aus. Hier versuchen Cyberkriminelle, Netzwerke oder Server mit Datenverkehr so zu überlasten, dass sie nicht mehr betrieben werden können. „Die Wahrscheinlichkeit, von DDoS betroffen zu werden, ist eins zu vier“, warnt Jurij Zykov vom IT-Sicherheitsdienstleister Link 11. Zu den Hauptangriffszielen zählen Onlineshopping-Seiten. DDoS-Schutztechnologien arbeiten mit Traffic-Umleitungen und algorithmischen Filterfunktionen.

Schutzstrategien

Den besten Schutz bietet eine ausgeprägte Cyberresilienz, empfiehlt das BSI. Letztlich geht es darum, die Widerstandsfähigkeit der IT zu erhöhen und Angriffen besser begegnen zu können. Wichtig sei es zunächst, das Risikoprofil zu identifizieren. Welche sind die wichtigsten Daten, die auf keinen Fall in fremde Hände gelangen dürfen? Neben Finanzdaten dürften dies bei E-Commerce-Unternehmen vor allem Kundendaten sein. Eine Datensicherung ist Pflicht, um die Daten wiederherstellen zu können. Wenn es ein Unternehmen erwischt hat, muss ein Notfallplan greifen. Manuel Bach: „Im Notfallplan muss stehen, was im Ernstfall passieren muss, damit Sie weiterarbeiten können.“ Am besten ausgedruckt auf Papier und abgelegt in einem Stahlschrank. Und: Der Notfallplan muss ausprobiert werden. „Da werden Sie viele Dinge feststellen, die Sie nicht bedacht haben“, sagt Bach.

Anstelle komplexer Passwörter empfiehlt das BSI die Multifaktor-Authentifizierung mit Hardware Token. Die sogenannte Zero-Trust-Architektur ist ein neues Sicherheitskonzept im Bereich der Informationstechnologie. Auch der Abschluss einer Cyberversicherung ist empfehlenswert.

Lösegeld nur im Ausnahmefall

Das BSI rät, Lösegeldforderungen von Cyberkriminellen nur in Ausnahmefällen nachzugeben – zum Beispiel, wenn kein Daten-Back-up vorhanden ist oder das Unternehmen Insolvenz anmelden muss, wenn die Daten nicht zurückerlangt werden können. Meistens seien die Daten ohnehin weg, ob bezahlt wird oder nicht. Oder die Schad-Software ist so schlecht programmiert, dass sich die Daten nach der Zahlung nicht oder nicht vollständig wiederherstellen lassen.Wenn dennoch beabsichtigt ist, in Verhandlungen mit Lösegeld einzutreten, sollte vorher die Polizei eingeschaltet werden, empfiehlt das Bundeskriminalamt (BKA). In jedem Fall sei es sinnvoll, im Angriffsfall die Polizei zu informieren. Die Aufklärungsrate im Bereich Cyberkriminalität ist mit ca. 30 Prozent zwar niedrig, der gesamtwirtschaftliche Nutzen einer erfolgreichen Nachverfolgung in jedem Fall groß, so das BKA.

Die meisten Fälle von Cyberkriminalität bleiben unaufgeklärt. Die wenigen Bandenchefs, die überführt werden, gehen in der Regel straffrei aus, da sie meistens von Ländern aus operieren, die nicht ausliefern. So auch im Fall der Mediamarkt-Saturn-Gruppe, die 2021 mit Ransomware angegriffen wurde: Der Kopf der Bande wurde identifiziert, lebt jedoch unbehelligt in Russland.