Seit 2018 bietet das Forschungsprojekt Cyberwehr Baden-Württemberg eine Notfallhotline für kleine und mittlere Unternehmen aus der Pilotregion Karlsruhe, Baden-Baden und Rastatt an. Im Falle eines IT-Sicherheitsvorfalls können sich die Unternehmen kostenlos an die Hotline wenden und erhalten Unterstützung, um die Sicherheitslücken zu schließen und schnellstmöglich wieder ein arbeitsfähiges Umfeld herzustellen. Anfang September wurde nun die Fortsetzung des Projekts und die nächste Phase, die Erreichbarkeit für KMU in ganz Baden-Württemberg, eingeläutet. Projektmitarbeiter Marc Nemes gibt uns im Interview Einblicke in die Arbeit der Cyberwehr und einen Ausblick auf die weitere Zukunft des Projekts.

 

Seit dem 08.09.20 ist die Cyberwehr landesweit erreichbar. Was hat sich seit dem Projektstart 2018 getan?

Zunächst haben wir nach und nach die Pilotregion erweitert, begonnen mit der Stadt Karlsruhe und später Rastatt und Baden-Baden. Gleichzeitig haben wir unser Partnernetzwerk vergrößert, um dem steigenden Bedarf an Experten gerecht zu werden. Anfang 2019 konnten wir die Hotline dann auch 24/7 anbieten. Während dieser Zeit haben wir den Fallabwicklungsprozess stetig an die Bedürfnisse angepasst und die benötigten Rollen und Dokumente konzipiert. Eine weitere große Aufgabe war auch die Entwicklung und Implementierung verschiedener Dienste, beispielsweise das Webportal, bei dem die Hilfesuchenden die Zusammenarbeit der Cyberwehr mit der zuständigen Strafverfolgungsbehörde beauftragen können. Die Herausforderung war, dass all dies geschehen musste, während die Hotline bereits im operativen Betrieb war. Auf der anderen Seite konnten wir so Prozesse ausprobieren und direkt anpassen, wenn sie sich in der Praxis nicht bewährt hatten.

Was erwartet die betroffene Person, wenn sie feststellt, dass sein Unternehmen Opfer eines Hackerangriffs wurde und die Cyberwehr-Hotline anruft?

Nach einer kurzen Aufnahme der Kontaktdaten des Unternehmens und ersten Handlungsempfehlungen wird ein mehrstündiges Telefonat mit einem IT-Sicherheitsexperten aus dem Partnernetzwerk angeboten. Im Anschluss an dieses Telefonat erhält die Person einen schriftlichen Bericht über ihre aktuelle Situation und das Schadensausmaß, sowie weitere Handlungsempfehlungen zur Bekämpfung des IT-Sicherheitsvorfalls. Auf dieser Basis kann die Person die Entscheidung fällen, die Handlungsempfehlungen selbst umzusetzen oder einen kostenpflichtigen Cyberwehr-Einsatz zu beauftragen. Sollte sie sich für eine weitere Beauftragung der Cyberwehr entscheiden, wird mithilfe der bisherigen Erkenntnisse ein passender Experte, beispielsweise ein Experte für Webhosting bei einem Angriff auf einen Webserver, aus dem Partnernetzwerk ausgewählt und dem Unternehmen zu den üblichen Stundensätzen vermittelt.

Wie ist das weitere Vorgehen bei einem Vor-Ort-Einsatz?

Das hängt von der Größe des Unternehmens und dem Schadensausmaß ab. Bei einem kleinen Unternehmen ohne eigene IT-Abteilung vermittelt die Cyberwehr einen Experten, der vor Ort die notwendigen, technischen Maßnahmen zur Wiederherstellung und Absicherung durchführt. Bei einem Großschadenseinsatz in einer größeren Firma kennen die Mitarbeitenden aus der IT-Abteilung vor Ort das eigene Netzwerk natürlich besser als ein Externer. In diesem Fall wird ein Experte vermittelt, welcher vor Ort den Überblick behält und Anweisungen geben kann, die dann von den Mitarbeitenden des Unternehmens umgesetzt werden können. In beiden Fällen wird der Experte anhand der Vorfallsanalyse und den Handlungsempfehlungen auf den aktuellen Stand gebracht, um sein Vorgehen vor Ort entsprechend zu planen. Ein kompletter Wiederaufbau aller System ist jedoch nicht Teil der Cyberwehr-Leistungen, dazu muss sich das Unternehmen im Nachgang in Ruhe an einen IT-Dienstleister wenden.

Welche Fehler machen ihrer Erfahrung nach Unternehmen im Hinblick auf IT-Sicherheit am häufigsten?

Viele Unternehmen halten irrtümlich an der Mentalität fest, dass ihr Unternehmen zu klein sei, um ein attraktives Angriffsziel zu bieten, oder dass bestimmte Sicherheitsmaßnahmen unnötig seien, weil diese Geld kosten und bisher offensichtlich nicht notwendig waren. Jedoch gibt es zu jeder Zeit breit gefächerte Angriffswellen, die nicht auf große Unternehmen abzielen, sondern wahllos das Internet nach Opfern durchforsten, bis schlussendlich ein Unternehmen einen Fehler begeht. Zudem beobachten wir nach wie vor den Einsatz von sehr schwachen Passworten, um E-Mail-Konten und weitere Zugänge zu sichern. Gelingt es einem Angreifer, ein Mitarbeiterkonto unter seine Kontrolle zu bekommen, so ist das sein Einfallstor um weitere Angriffe zu starten, die dann auch von sonst aufmerksamen Mitarbeitenden nicht als Angriff erkannt werden.

Ransomware hat sich als lukratives Geschäftsmodell etabliert – warum sind KMU so anfällig für Erpressungstrojaner?

Tatsächlich stehen Erpressungstrojaner auf Platz eins der Gründe, warum KMU die Nummer der Cyberwehr Hotline wählen. Der Großteil dieser Anrufer hat keine eigene IT-Abteilung und meistens kein durchdachtes Sicherungskonzept, sodass es oft unmöglich ist, die verschlüsselten Firmendaten wiederherzustellen und es zu erheblichen, finanziellen Schäden kommt. Viele Unternehmen setzen einfache Sicherungskopien ein, die zwar gegen Brand- oder Wasserschäden helfen, nicht jedoch gegen Cyber-Angriffe, da die Angreifer die Sicherungskopien einfach ebenfalls verschlüsseln. Bei einem Unternehmen mit guten Sicherheitskopien hingegen kann sich der Schaden auf die Zeit beschränken, die benötigt wird, um das Einfallstor zu schließen, und die Sicherheitskopien wiederherzustellen. Außerdem werden vergleichsweise selten Werkzeuge eingesetzt, die beispielsweise bösartige Anhänge aus E-Mails filtern.

Inwiefern hat der Remote Work – Trend Hackerangriffe erleichtert?

Viele Unternehmen sahen sich gezwungen, ihre Mitarbeitende ins Home-Office zu schicken. In vielen Fällen gab es diese Möglichkeit zuvor jedoch nicht, sodass in kürzester Zeit neue Software eingerichtet werden musste. Gerade bei kleinen Unternehmen blieb dort oft nicht viel Zeit, um alle Sicherheitsvorkehrungen zu implementieren. Insbesondere werden beim Einsatz des Remote Desktop Protocol (RDP) oft schlechte Passwörter verwendet, was auch eines der Haupteinfallstore bei Betroffenen ist, die sich an die Cyberwehr wenden. Wenn Mitarbeitende von ihrem privaten Computer aus arbeiten, stellt dies ebenfalls ein Sicherheitsrisiko dar, da auf diesem Gerät womöglich wichtige Updates nicht installiert wurden oder Programme installiert sind, die auf einem reinen Arbeitsrechner nicht installiert wären.

Welche Visionen/Pläne hat das Team der Cyberwehr für die Zukunft?

Als erstes steht ein weiterer Ausbau der Pilotregion an, sodass die Cyberwehr neben der landesweiten telefonischen Unterstützung auch die Vor-Ort-Unterstützung in ganz Baden-Württemberg anbieten kann. Dafür ist natürlich die Akquise weiterer Dienstleister notwendig, sodass zumutbare Anfahrtszeiten realisiert werden können. Ein großer Punkt ist auch die Weiterentwicklung der Schulungen, um die Experten bei Großschadenslagen besser auf die Einsatzführung vor Ort vorzubereiten. Dort ist Erfahrung im Umgang mit Notfallsituationen oft wichtiger als technisches Know-how, das die Dienstleister ohnehin mitbringen. Zudem möchten wir auch alle technischen Systeme weiter ausbauen, um den allgemeinen Verwaltungsaufwand zu minimieren und die Experten besser bei der Bekämpfung eines IT-Sicherheitsvorfalls zu unterstützen.

Zur Person:

Marc Nemes hat Informatik am Karlsruher Institut für Technologie (Bachelor und Master) mit Kryptographie als Schwerpunkt studiert. Seit 2018 ist er am FZI beschäftigt und somit seit Anfang an bei der Cyberwehr dabei.
Seine Aufgaben bei der Cyberwehr sind die Konzeptionierung der notwendigen Prozesse, die Implementierung der konzipierten, technischen Dienste sowie die Disposition bei einem Cyberwehr-Einsatz (Auswahl eines Experten etc.).