IHK Ratgeber

Checkliste: Schutz vor Cyberattacken

Wie schütze ich mich gegen Cyberattacken?
© Anna Tarazevich by pexels

Mit Prävention können Sie Ihr Unternehmen davor bewahren, dass Hacker tief in Ihre Netzwerke vordringen, Daten stehlen und verschlüsseln. Eine Checkliste, erarbeitet vom Bayerischen Landesamt für Datenschutzaufsicht BayLDA, unterstützt bei Schutzmaßnahmen.

Inhalt

Warum ist Prävention gegen Cyberattacken so wichtig?

Cyberattacken nehmen zu:

  • Nach einer US-Analyse hat die Anzahl der von Menschen initiierten Attacken auf Online-Transaktionen gegenüber dem Vorjahr um 50 Prozent zugenommen.
  • Bei den automatisierten Bot-Attacken war ein Anstieg um 27 Prozent zu verzeichnen.
  • Betroffen sind Infrastrukturunternehmen, IT-Dienstleister, Produktionsunternehmen, aber auch Medienunternehmen. Mehr Infos zu betroffenen Unternehmen gibt es hier.

Die Abwehr von Cyberangriffen ist von entscheidender Bedeutung, um sowohl persönliche als auch geschäftliche Daten vor potenziellen Bedrohungen zu schützen. Eine Cyberattacke kann Ihr Unternehmen komplett lahmlegen. Deshalb lohnt sich der Aufwand, um Ihr Unternehmen und Ihre persönlichen Informationen vor Cyberkriminalität zu schützen:

Acht Maßnahmen des bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) zur Cyberprävention , ergänzt um Praxistipps, unterstützen Sie dabei.

Tipp 1: Segmentieren Sie das Netzwerk.

Um Cyberkriminellen das Bewegen und Ausbreiten innerhalb des Netzwerks (Lateral Movement) zu erschweren und effektiv davon abzuhalten, Daten organisationsweit zu verschlüsseln, ist eine Netzwerktrennung von Bereichen unterschiedlicher Kritikalität in einzelne Subbereiche unersetzlich. So kann jedes einzelne Netzwerksegment mit individuellen Sicherheitsmechanismen ausgestattet und der Datenverkehr besser kontrolliert werden.

Übersichtliche Netzwerksegmente helfen, die Angriffsfläche für eine Ransomware-Attacke zu reduzieren.

Stellen Sie sich folgende Fragen:

  • Welche voneinander unabhängigen Netze zu welchen Zwecken betreiben Sie?
    Liegen Netzwerkpläne und Dokumentationen für Ihre Netze vor?
  • Wie werden die Netze getrennt und abgesichert (Firewalls, VLANs und ähnliche Techniken)?
    Ist z. B. das öffentliche Unternehmens-WLAN und das interne Büronetzwerk voneinander getrennt?
  • Wurden Netzwerkscans durchgeführt, um nach Sicherheitslücken oder eigentlich unerlaubten Verbindungen zwischen Netzen zu suchen?
  • Überwachen Sie die Aktivitäten und den Datenverkehr in Ihrem Netzwerk? Ziel dabei ist es,
    • verdächtige Aktivitäten,
    • unbekannte Geräte oder
    • ungewöhnliche Verbindungen, die auf eine mögliche Verletzung der Segmentierung hinweisen, zu finden.

Zurück zur Übersicht

Tipp 2: Begrenzen Sie Powershell.

Für wen ist das relevant?

Dieser Tipp ist für Nutzer von Microsoft-Windows relevant. Teil von Windows ist ein Programm namens "Powershell". Powershell ist eine sehr hilfreiche Software, um Windows zu managen.

Die weite Verbreitung und Funktionsvielfalt macht die PowerShell jedoch auch für Angreifer interessant. Daher ist es wichtig, dass die Einstellungen für PowerShell korrekt gewählt werden: Das ist leider nicht ganz selbsterklärend. Das BSI gibt hierzu "Konfigurationsempfehlungen zur Härtung von Windows 10 mit Bordmitteln". Microsoft stellt "PowerShell-Skript-Informationen" bereit.

Was ist wichtig, um Powershell richtig zu benutzen?

  • Nutzen Sie die aktuelle Version von PowerShell
  • Schalten Sie den "eingeschränkten Modus" (Restricted Mode) ein.
  • Verwenden Sie digitale Signaturen, um die Integrität und Authentizität von PowerShell-Skripten zu überprüfen.
  • Legen Sie Skriptausführungsrichtlinien fest.
  • Beschränken Sie Benutzerberechtigungen.

Sprechen Sie ggf. Ihre interne IT oder Ihren IT-Dienstleister an, wie mit PowerShell verfahren wird.

So können Sie prüfen, ob Powershell auf Ihrem Windows-Rechner ist:

  • Klicken Sie links unten auf das Windows-Symbol und geben "powershell" auf der Tastatur ein. Es sollte die App "PowerShell" erscheinen, die Sie so starten können.
  • Geben Sie in der Kommandozeile "$PSVersionTable" ein und drücken Return. Es erscheint u. a. mit "PSVersion" die Version der installierten PowerShell. Hier sollte mindestens eine Version 5.1 erscheinen.

Zurück zur Übersicht

Tipp 3: Begrenzen Sie die Ausführung von Programmen.

Der Einsatz von Software sollte nach einem definierten Prozess erfolgen. Das betrifft die Beschaffung, Installation und Updates legaler Software, bei der sich z. B. Lizenzfragen stellen.

Behalten Sie den Überblick, welche Software eingesetzt wird!

Achten Sie darauf, welche Software in Ihrem Unternehmen genutzt wird. Dabei geht es insbesondere um "problematische" Software:

  • Das kann von Nutzern heruntergeladene Software sein, die versteckte Schadsoftware enthält.
  • Oder z. B. per E-Mail untergeschobene Angriffssoftware.

Wenn auf dem betroffenen Rechner nur erlaubte Software ausführbar ist, reduziert dies das Sicherheitsrisiko sehr. Dies nennt man "Application Whitelisting".

Praxis-Tipp: Legen Sie Verzeichnisse fest, aus denen Programme gestartet werden dürfen oder die Ausführung bestimmter Dateien (*.bat etc.) verhindern.

Hierzu siehe auch:

Zurück zur Übersicht

Tipp 4: Unterbinden Sie fremde Office-Macros.

Das Bayerische Landesamt für Datenschutz warnt: "Ein seit Jahren gängiger Angriffsweg, um Schadsoftware zu verbreiten und auszuführen, ist deshalb der E-Mail-Versand von Office-Dokumenten mit Makros."

Zahlen des BayLDA aus den vergangenen Jahren zu den Meldungen nach Art. 33 DS-GVO zeigen, dass dies auch bei Ransomware-Attacken oftmals der Ausgangspunkt einer Cyberattacke darstellt.

Was ist ein Macro?

Mit einem Makro werden in Microsoft Excel und Microsoft Word Befehle zur Ausführung bestimmter Routinen vordefiniert und bei Aktivierung ausgeführt. Was im Arbeitsalltag für Nutzer oft eine große Erleichterung bei bestimmten Abläufen ist, kann von Angreifern jedoch auch missbräuchlich ausgenutzt werden, um schädliche Aktionen auszuführen wie dem Downloaden von Schadcode.

Das Risiko derartiger Angriffe kann allerdings minimiert werden, indem als präventive Schutzmaßnahme Microsoft-Office-Pakete zentral so konfiguriert werden, dass lediglich digital signierte Makros zugelassen werden und somit die Ausführung von Makros eingeschränkt wird. Der große Schwachpunkt dieser Angriffsmethode bleibt also das Fehlen signierter Makros. Durch das Unterbinden der Ausführung fremder Office-Makros kann verhindert werden, dass Schadsoftware ausgeführt und Ransomware nachgeladen wird.

Praxis-Tipp: Prüfen Sie bei Neuinstallationen und Updates von Office-Produkten die getroffenen Einstellungen und passen sie sie ggf. erneut an, falls hier seitens der Voreinstellungen andere Werte gesetzt sind. Es zeigt sich also, dass zur Abwehr der Angriffe über Phishing-Mails das Zusammenspiel zwischen geschultem Nutzer und sicherer Konfigurationen besonders wichtig ist.

Achten Sie auf Folgendes:

  • Makrosignierung:
    Stellen Sie sicher, dass Makros signiert sind. Digitale Signaturen bestätigen die Authentizität und Integrität der Makros und können dabei helfen, potenziell schädliche Makros zu identifizieren.
  • Makro-Sicherheitseinstellungen:
    Überprüfen und optimieren Sie die Makro-Sicherheitseinstellungen in Ihrer Office-Anwendung. Stellen Sie sicher, dass sie auf einem angemessenen Sicherheitsniveau eingestellt sind. In den Optionen können Sie Makros entweder deaktivieren, nur Makros von vertrauenswürdigen Quellen zulassen oder eine Benachrichtigung erhalten, bevor Makros ausgeführt werden.
  • Vertrauenswürdige Speicherorte:
    Definieren Sie vertrauenswürdige Speicherorte für Makros. Speichern Sie Makros nur in sicheren und vertrauenswürdigen Orten auf Ihrem System oder im Netzwerk, um das Risiko von bösartigen oder unerwünschten Makros zu minimieren.
  • Makro-Berechtigungen:
    Überprüfen Sie die Berechtigungen von Makros. Stellen Sie sicher, dass Makros nur Zugriff auf die Ressourcen und Funktionen haben, die sie benötigen, und beschränken Sie ihre Berechtigungen entsprechend.
  • Regelmäßige Updates:
    Halten Sie Ihre Office-Anwendung und alle zugehörigen Komponenten auf dem neuesten Stand. Aktualisierungen können Sicherheitslücken schließen und die allgemeine Sicherheit von Makros verbessern.
  • Schulung und Sensibilisierung:
    Sensibilisieren Sie Benutzer für die Risiken von unsicheren Makros. Schulen Sie Mitarbeiter in Bezug auf Phishing-E-Mails, die Makros enthalten, und ermutigen Sie sie, Vorsicht walten zu lassen und verdächtige Makros nicht auszuführen.
  • Überprüfung von Makros:
    Überprüfen Sie Makros vor der Ausführung. Stellen Sie sicher, dass Sie Makros nur aus vertrauenswürdigen Quellen erhalten und dass sie keine schädlichen oder unerwünschten Aktionen ausführen.
  • Sicherheitslösungen:
    Verwenden Sie eine zuverlässige Antiviren- und Anti-Malware-Software, die auch Makro-basierte Bedrohungen erkennen kann. Aktualisieren Sie Ihre Sicherheitslösungen regelmäßig, um neue Bedrohungen abzuwehren.


Weitere Infos:

Zurück zur Übersicht

Tipp 5: Variieren Sie administrative Passwörter bei Clients.

Das BayLDA legt Nutzern nahe: "Ein sorgsamer und sicherer Umgang mit Passwörtern im gesamten Betrieb bleibt das Fundament für die Absicherung der Systeme und der dort gespeicherten personenbezogenen Daten."

Dies gilt insbesondere für administrative Zugänge, mit denen viel Schaden angerichtet werden könnte. Diese müssen besonders gesichert sein, z. B. mit zufällig erzeugten Passwörtern und Zwei-Faktor-Authentifizierung. Hier können auch Passwortmanager hilfreich sein.

Weitere Hinweise:

  • Unterschiedliche Passwörter:
    Wenn das administrative Passwort bei allen Clients dasselbe ist, besteht die Gefahr, dass dieses Passwort versehentlich oder absichtlich von einem Benutzer preisgegeben wird. Durch die Verwendung unterschiedlicher Passwörter für jeden Client wird das Risiko einer unautorisierten Weitergabe reduziert.
  • Schutz vor internen Bedrohungen:
    Eine interne Bedrohung kann von einem berechtigten Benutzer ausgehen, der schädliche Absichten hat. Durch die Verwendung unterschiedlicher administrative Passwörter wird das Risiko eines missbräuchlichen Zugriffs durch einen internen Angreifer reduziert.

Zurück zur Übersicht

Tipp 6: Protokollieren und filtern Sie den Internetübergang.

Angreifer aus dem Internet versuchen schrittweise in ein Netzwerk einzudringen. Üblicherweise schützt eine Firewall ein Firmennetzwerk, indem nur erlaubte Verbindungen zustande kommen. Erweiterte Ansätze wie Intrusion-Prevention-System (IPS), Intrusion-Detection-System (IDS) oder Deep Packet Inspection (DPI) versuchen, Auffälligkeiten zu erkennen und Gegenmaßnahmen zu ergreifen.

Wichtig: Die Protokollierung von Netzwerkaktivitäten ermöglicht es, Angriffe zu erkennen und einzuschätzen.

Um den Internetübergang zu filtern, können verschiedene Methoden und Technologien eingesetzt werden. Hier sind einige gängige Ansätze:

  • Webfiltering-Software:
    Mit Webfiltering-Software können Sie den Zugriff auf bestimmte Websites oder Kategorien von Websites einschränken.
  • Content-Filtering-Gateways:
    Internetverkehr überwachen und analysieren.
  • DNS-Filtering:
    Durch die Konfiguration von DNS-Filtern können bestimmte Websites oder Inhalte blockiert werden.
  • Firewall-Regeln:
    Eine Firewall kann so konfiguriert werden, dass sie den Datenverkehr basierend auf bestimmten Kriterien filtert. BSI: Firewall

Zurück zur Übersicht

Tipp 7: Setzen Sie Air-Gap-Backups ein.

Mit "Air Gap" ist hier die Trennung, der "Luftspalt", zwischen dem gesicherten System und der Datensicherung, dem "Backup" gemeint.

Ein Hauptziel von Angreifern ist es, Backups unbrauchbar zu machen. Daher reicht es nicht, ein Backup zu haben.

Praxis-Tipp: Legen Sie deshalb dieses Backup isoliert ab - außerhalb der Reichweite eines Angreifers.

Air-Gap-Backups kann man z. B. wie folgt herstellen:

  • Externe Festplatten oder USB-Sticks:
    Sie können regelmäßige Backups Ihrer Daten auf externen Speichergeräten durchführen und diese dann von Ihrem Computer oder Netzwerk trennen. Auf diese Weise wird sichergestellt, dass die gesicherten Daten vor potenziellen Online-Bedrohungen oder Malware-Angriffen geschützt sind.
  • Offline-Netzwerk oder Standalone-Systeme:
    Sie können ein separates Netzwerk oder einen eigenständigen Computer einrichten, der ausschließlich für Sicherungszwecke verwendet wird. Nachdem die Daten auf dieses isolierte System gesichert wurden, wird die Netzwerkverbindung getrennt, um eine direkte Kommunikation oder Verbindung zu anderen Systemen zu verhindern.
  • Bandlaufwerke oder Tape-Backups:
    Bandlaufwerke werden oft für langfristige und sichere Datenspeicherung verwendet. Sie können regelmäßig Backups auf Bändern erstellen und diese dann von Ihrem Netzwerk trennen und an einem sicheren Ort aufbewahren.
  • Optische Medien (CDs, DVDs, Blu-rays), USB-Sticks:
    Sie können Ihre wichtigsten Daten darauf sichern und diese dann physisch vom Computer oder Netzwerk entfernen. Allerdings sind damit nur wenige GB an Daten sicherbar.
  • Cloud-Backups mit Air-Gap-Optionen:
    Einige Cloud-Backup-Dienste bieten auch Air-Gap-Funktionen an. Hierbei werden die Daten verschlüsselt und offline auf Speichermedien übertragen, die dann in einem sicheren Datencenter gelagert werden. Auf diese Weise werden die Daten physisch von der Cloud getrennt, um zusätzliche Sicherheit zu gewährleisten.

Zurück zur Übersicht

Tipp 8: Halten Sie Netzwerkkomponenten up-to-date.

Ihr Firmennetzwerk und Ihre Onlineanwendungen wird ständig von externer Software vollautomatisch auf Schwachstellen wie fehlende Updates oder Mängel in der Konfiguration geprüft. Schauen Sie mal z. B. in die Logfiles Ihrer Firmenwebsite, wer sich erfolglos versuchte, sich als Administrator einzuloggen.

Damit solche Versuche erfolglos bleiben sind Updates für Hard- und Software regelmäßige Notwendigkeiten.
Grundsätzlich gilt die Regel, Updates möglichst schnell einzuspielen.

Dieses Prinzip gilt umso mehr, je wichtiger das upzudatenden System ist und je kritischer das Update ist.

Für Ihr Firmennetzwerk sind besonders kritisch Netzwerkkomponenten wie Firewalls, Router oder Switche. Für jedes dieser Geräte sollten die Hersteller "Security Advisories" bereitstellen, aus denen die betroffenen Geräte und die Dringlichkeit ersichtlich werden.

Hilfreich ist hier das "Common Vulnerabilities and Exposures", wo die wichtigsten Sicherheitslücken dokumentiert und durchsuchbar sind. Dadurch kann man noch besser einschätzen, wie nötig ein Update geboten ist.

Zurück zur Übersicht