Warum selbst „die Großen“ durch Cyberangriffe ausfallen – und wie KMUs, Notariate & Kanzleien sich proaktiv schützen, statt immer nur IT-Feuerwehr zu spielen, erklären wir in diesem Artikel.
Hintergrund für diesen Beitrag ist ein Hackerangriff auf die Deutsche Bahn, der es sogar in die Tagesschau geschafft.
Inhalt
Immerhin waren die Hacker pünktlich. Doch Spaß beiseite. Natürlich wissen wir, dass man sich über die Bahn aufregen kann. Der Hackerangriff hat jedoch das komplette Buchungssystem lahmgelegt und hatte damit für viele Menschen Folgen.
Der Vorfall hat gezeigt, wie schnell digitale Prozesse stillstehen können und wie proaktives Monitoring sowie Managed M365 Security Risiken auch in Ihrem Unternehmen messbar senken.
Was Unternehmen aus dem Cyberangriff lernen können:
- auch große Organisationen sind nicht vor Angriffen geschützt
- digitale Prozesse können innerhalb weniger Minuten ausfallen
- proaktives Monitoring reduziert das Risiko schwerer Störungen
Der Hacker-Angriff auf die Bahn einfach erklärt
Was ist genau passiert? Es gab eine DDoS-Attacke auf die Webseite der Bahn. Eine solche Attacke wird von vielen Bot-Netzen gleichzeitig ausgeführt. Diese warten auf einen Befehl und initiieren die Attacke. Im Extremfall können das Millionen von Computern sein. Diese vielen Anfragen überlasten die zuständigen Server. Genau das möchte eine DDoS-Attacke erreichen und ist im Fall der Bahn passiert: Buchungssystem und App waren so überlastet, dass gar nichts mehr ging.
Nun, sind unsere Leser in der Regel nicht für die IT in der Größenordnung der Deutschen Bahn zuständig, sondern für KMU. Der Fall zeigt jedoch, dass es auch große Unternehmen mit guten Sicherheitsnetzwerken treffen kann. Und falls es beispielsweise einen großen Cloudanbieter trifft, trifft es automatisch viele kleine mit.
Sind auch kleine Unternehmen von solchen Attacken betroffen?
Bei kleinen Unternehmen sind die Auswirkungen geringer, aber die Folgen für das Unternehmen trotzdem verheerend. Klassische DDoS-Attacken zielen aber weniger auf das Handwerk oder mittelständische Unternehmen ab. Bei diesen Unternehmen liegt der Fokus eher auf Verschlüsselungstrojanern, um Unternehmensdaten zu erbeuten. Schon fehlende Updates oder vollgelaufene Festplatten können hier zum Sicherheitsrisiko werden.
Als IT-Dienstleister versuchen wir mit proaktiven Services zu verhindern, dass so etwas bei unseren Kunden nicht passiert. Im besten Fall nehmen uns unsere Kunden gar nicht wahr, weil es einfach funktioniert. Wir arbeiten mit Strategien, die das Eintreten einer Störung unwahrscheinlicher machen:
- Automatische Prüfungen, ob alle Dienste laufen
- Statistikinformationen, z.B. wie voll sind die Festplatten, wie hoch ist die CPU-Auslastung, wieviel Arbeitsspeicher wird verwendet
- Informationen zu ausstehenden Updates
- Checks über fällige Neustarts
Dafür haben wir Automatismen außerhalb der Geschäftszeiten unserer Kunden festgelegt, in denen Updates und Neustarts laufen.
Auch das Thema Schwachstellenanalyse ist ein wichtiger Punkt für uns. Wir scannen Software, die sich nicht automatisch aktualisiert, z.B. ein nur selten benutztes Softwaretool. Meistens hat eine Software eine Auto-Update-Funktion. Die funktioniert aber nur, wenn das Programm wirklich gestartet wird und nicht irgendwo schlummert.
Als Unternehmen wollen wir nicht ständig Feuerwehr spielen, sondern mit planbaren Wartungszyklen arbeiten. Wenn wir Feuerwehr spielen, müssen wir Manpower einsetzen, die eigentlich anders geplant war. Aber wenn ein Kunde nicht mehr arbeiten kann, unterstützen wir ihn natürlich dabei, wieder arbeitsfähig zu werden.
M365 Managed Security
Gerade im Hinblick auf M365 ist die (gefährliche) Wahrnehmung vieler Kunden: „Das läuft schon.“ Die verbreitete Annahme ist, man bezahle monatlich oder jährlich und Microsoft kümmert sich um den Rest. Doch, Microsoft macht (übertrieben gesagt) gar nichts. Microsoft stellt eine leere Hülle zur Verfügung. Zusätzlich gibt es Empfehlungen, Leitfäden und ein Scoring, das man selbst einrichten muss. Zudem widersprechen sich bei Microsoft bereits die Einstellungen und die Empfehlungen:
- Durch die Standardeinstellung in MS Teams können externe Meetingteilnehmer standardmäßig einem Meeting beitreten. Die offizielle Empfehlung von Microsoft lautet jedoch, dass externe Teilnehmer in der Lobby auf Einlass warten müssen.
- Standardmäßig dürfen Externe ihren Bildschirm in Meetings teilen. Laut offizieller Empfehlung sollten sie es nicht tun können.
Mit M365 Managed Security haben wir deshalb ein Produkt geschaffen, um uns die Sicherheitseinstellungen zentral anschauen und bewerten zu können. Alles, was automatisch von Microsoft gemacht werden kann, können wir damit umsetzen.
Eine einmalige Einrichtung reicht heute nicht mehr. Wir müssen Systeme überwachen, qualifizieren und quantifizieren können (Stichwort Sicherheitsscore). Es kommen laufend neue Produkte hinzu und auf lange Sicht müssen wir alle System im Blick behalten.
Wir können zum Beispiel über SharePoint bzw. OneDrive tracken, ob es öffentliche Bibliotheken gibt. Das ist wichtig, um zu erkennen, ob es solche Freigaben gibt. Nicht, dass über einen Hack auf einmal Daten abfließen und man sich fragt, wie das passieren konnte.
Im Sicherheitsbereich müssen Sie immer mit Eintrittswahrscheinlichkeiten operieren. Mit M365 Managed Security nutzen wir ein Instrument, mit dem wir Risiken handeln und senken können. Und nicht zuletzt werden auch wir von Microsoft dazu bewertet, wie sicher unsere Kunden betreut sind.
IT-Tipp der Woche: Newsletter- & Spam-Flut stoppen – Absender blockieren & Posteingang aufräumen (Outlook)
Posteingang zu voll? Mit diesen einfachen Tipps wird die Übersicht einfacher:
- Ungebeten Newsletter per Klick in den Junk-Ordner verschieben (oder eigene Schaltflächen einsetzen, wenn Sie in Ihrem Unternehmen vorgelagerte Lösung einsetzen).
- Den eigenen Newsletter-Empfang kritisch überprüfen: Ein IT-Security-Newsletter ist sicherlich wichtig, aber Sie müssen nicht jeden Newsletter von jedem Hersteller abonnieren.
- Wenn Sie eine E-Mail nicht mehr haben möchten, besser direkt abmelden, als in irgendwelche Filter reinlaufen zu lassen (Wir wissen natürlich, dass das bei Newslettern aus dem Ausland nicht so einfach ist).