1. Digital

IT-Sicherheit: Mit Penetrationstests gegen drohende Angriffe

Digital : IT-Sicherheit: Mit Penetrationstests gegen drohende Angriffe

Kriege wie der Konflikt zwischen Russland und der Ukraine werden längst digital geführt. Neben Computern drohen Bereiche wie die Energieversorgung, von Kriminellen angegriffen zu werden und die Infrastruktur eines Landes oder Unternehmens gezielt zu schwächen.

Viele deutsche Unternehmen machen sich Gedanken, wie die eigene Firma auf einen solchen Angriff vorbereitet wäre. Im Rahmen sogenannter Penetrationstests lässt sich der Ernstfall zusammen mit einem Branchenexperten simulieren.

Cybersicherheit – 2022 wichtiger denn je

Nicht nur im Westen Deutschlands herrscht wirtschaftliche Unsicherheit vor. Haben viele Unternehmen die Folgen der Corona-Pandemie gerade meistern können, sorgen steigende Energiepreise und der wirtschaftliche Druck durch den Ukrainekrieg für weitere Risiken. Auch wenn die EZB mit ihrer aktuellen Zinspolitik ein erstes Zeichen gegen die Inflation setzt, sind die mittel- und langfristigen Folgen für viele Betriebe kaum abschätzbar.

Bei aller wirtschaftlichen Unsicherheit geraten technische Risiken und Gefahren von Unternehmen schnell in den Hintergrund. Dabei zeigt der Konflikt zwischen der Ukraine und Russland eindrucksvoll, welche Risiken im digitalen Zeitalter bestehen. Mehrere Cyberangriffe auf die Ukraine wurden nach Angaben des angegriffenen Landes in den letzten Wochen abgewehrt. Angriffe, die genauso Unternehmen im Westen Europas treffen könnten.

Nicht nur Computer von potenziellen Angriffen betroffen

Beim Thema Cyberkriminalität denken die meisten Firmen zunächst zurecht an Themen wie Datenschutz oder Hacker, die auf die digitalen Infrastrukturen des Unternehmens zugreifen. Das Potenzial einer Schädigung geht jedoch weit hierüber hinaus. Fast jeder Lebensbereich ist heutzutage digitalisiert und wird durch Computertechnik gesteuert. Mit einem Hackerangriff lässt sich binnen Sekunden weitreichender Schaden in der öffentlichen Infrastruktur anrichten.

Das Beispiel Ukraine zeigt dies aktuell deutlich, wo nach Medienberichten Angriffe auf Umspannwerke und andere Einrichtungen der Energieversorgung stattfanden. Hier eine zentrale, elektrische Versorgung anzugreifen, kann Millionen von Menschen auf einmal schädigen. Und dies gilt neben privaten Haushalten natürlich auch für Wirtschaftsunternehmen aller Branchen.

Soweit reichen die Sorgen deutscher Unternehmen aktuell noch nicht. Hier ist eher das Thema, wie sich im Betrieb Energie sparen lässt und ob eine Deckelung der Gasversorgung droht. Beispiele wie die Angriffe in der Ukraine zeigen jedoch: Mit dem richtigen kriminellen Ansatz könnte die eigene Firma binnen Sekunden handlungsunfähig gemacht werden.

Bestehen regional ebenfalls Risiken?

Folgen für die regionale Wirtschaft gäbe es bei derartigen Angriffen genauso wie für die gesamte Bundesrepublik. Wie hoch das Risiko der eigenen Firma ist, angegriffen zu werden, hängt wesentlich von Größe und Branche. Je größer ein Betrieb ist, umso interessanter kann es für kriminelle Hacker sein, Daten abzuzapfen oder sogar Geldströme des Unternehmens zu beeinflussen.

Einfache Handwerker und Dienstleister dürften ebenfalls seltener zum Opfer derartiger Angriffe werden. Dies heißt nicht, dass leichtsinniges Handeln erlaubt ist. Speziell, wenn es um die Einhaltung der DSGVO geht, haben so manche Firmen noch immer einen Nachholbedarf. Firmen der Produktion oder andere Betriebe, die direkt oder indirekt mit dem Ukrainekrieg zu tun haben, sollten ein deutlich erhöhtes Gefährdungspotenzial erkennen.

Test für den Ernstfall durchführen lassen

Doch wie lässt sich konkret vorbeugen, wenn ein erhöhtes Risiko im eigenen Betrieb erkannt wurde? Der richtige Ansatz ist, sich mit einem IT-Profi zusammenzusetzen und die bestehenden IT-Infrastrukturen in allen relevanten Bereichen überprüfen zu lassen. Hierfür werden sogenannte Penetrationstests angewendet, bei denen die Simulation eines Cyberangriffs stattfindet und hieraus Schlüsse für weitere Sicherheitsmaßnahmen zu ziehen sind.

Den Namen erhält die Methode durch den Versuch, die hauseigenen IT-Infrastrukturen zu penetrieren. Hierbei gehen IT-Systemhäuser und ihre Experten mit den gleichem Methoden vor, wie es ein krimineller Hacker tun würde. Der Angriff ist jedoch legal und mit dem jeweiligen Betrieb abgesprochen, um eventuelle Sicherheitsrisiken bewusst aufzudecken.

Dieses Vorgehen ist nicht nur für Wirtschaftsunternehmen attraktiv. Auch Behörden oder wohltätige Vereine sollten sich mit der Tatsache auseinandersetzen, dass das eigene Handeln von krimineller Seite aus missbilligt werden kann. Hier zu verstehen, welches Angriffspotenzial die eigene Webseite, Server oder die gesamte digitale Infrastruktur des Unternehmens bietet, ist der erste Schritt zur Vermeidung weitreichender Probleme.

Mit Profi-Hilfe Risiken und Gefahren besser erkennen

Die Bewertung von Gefahren durch einen Penetrationstest folgt grundlegend zwei verschiedenen Ansätzen. Zum einen wenden die Profis Tools an, die mit krimineller Software von Angreifern vergleichbar sind. Diese können systematisch zu einer Vielzahl von Angriffen binnen kürzester Zeit führen. Das Angriffspotenzial liegt hierin, Webseiten und Server zu überlasten und hierdurch handlungsunfähig zu machen.

Für einen gezielten Angriff mit einer bestimmten Zielsetzung sind manuelle Maßnahmen denkbar. Bei diesen geht der Hacker gezielt gegen bestimmte Einrichtungen, Geräte oder Systeme vor. Dies können beispielsweise Brute-Force-Attacken sein, bei denen der Hacker versucht, hinter Passwörter und andere Sicherheitsdaten zu gelangen.

Datenbanken wie SQL können zur technischen Schwachstelle werden, so dass Kriminelle umfassende Datensätze erfassen oder manipulieren können. Selbst der Einsatz klassischer Schadsoftware gehört weiterhin zu den Methoden krimineller Hacker und sollte vermieden werden. Ein professionelles IT-Systemhaus mit Experten im Bereich Sicherheit kennt das gesamte Spektrum an Angriffen und kann dieses im Rahmen eines Penetrationstests abdecken.

Konzept zur digitalen Sicherheit entscheidend

Das eigene Risiko für einen Cyberangriff zu verstehen, ist der erste Schritt zur Besserung. Es reicht jedoch nicht, für die digitale Sicherheit auf einzelne Maßnahmen zu vertrauen oder dem IT-Experten nach dem Penetrationstests für das Aufdecken von Schwachstellen zu denken. Für die meisten Firmen stellt das Vorgehen den ersten Schritt zur Entwicklung eines schlüssigen Sicherheitskonzepts für die IT dar.

Auch wenn die grundlegende Absicherung von Servern oder die Einhaltung der DSGVO Standard sein sollte, hat die gesamte IT-Sicherheit einem intelligenten Ansatz zu folgen. Speziell Firmen, die wenig mit dem Thema Datensicherheit anfangen können, werden wenig über ein systematisches Vorgehen wissen. Umso wichtiger ist, hier auf einen IT-Experten zu vertrauen und sich erklären zu lassen, mit welchem Ansatz nicht nur Cyberangriffe bestmöglich abgewehrt werden.

Auch privat an die Cybersicherheit denken

Sie relevant das Thema Sicherheit für Firmen unserer Region auch ist, sollte die Auseinandersetzung mit dem Thema nicht beim Gang in den Feierabend enden. Auch im privaten Bereich ist ein Angriffspotenzial gegeben, beispielsweise wenn es um das Erfassen von Passwörtern oder sensiblen Daten rund ums Banking geht.

So sollte das Thema Datenschutz im jungen Alter bereits angesprochen werden, um Kindern und Jugendlichen ein Gefühl für virtuelle Gefahren zu geben. Dies funktioniert natürlich nur, wenn sich die Erwachsenen genauso an die Vorgaben halten und nicht zu fahrlässig mit der Absicherung des Smartphones oder Bankdaten umgehen. So entsteht privat und betrieblich eine einheitliche Linie im Bereich Cyberkriminalität.