Datenklau, Phishing-Mails und Hacks in die IT-Infrastruktur sind längst nicht mehr nur ein Thema für große Konzerne. Zumal Cyber-Angriffe inzwischen auch automatisiert und KI-gestützt ablaufen können. Doch was tun, wenn man plötzlich keinen Zugriff mehr auf die eigenen Daten hat? Hier gibt es einen Notfallplan für Handwerksbetriebe.
Stellen Sie sich vor, Ihre Geldbörse ist verschwunden und mit ihr auch jegliche EC- und Kreditkarten. Vermutlich gestohlen. Was jetzt? Damit das Konto nicht leergeräumt wird, würden wir wohl alle erst einmal bei der Bank anrufen und die Karten sperren lassen. Danach würden wir wohl zur Polizei gehen und den Verlust melden, damit dem vermeintlichen Diebstahl nachgegangen wird.
Notfallnummer bei einem Cyber-Angriff
Aber was tut man, wenn man feststellt, dass man Opfer eines Datendiebstahls geworden ist? Wenn man als Unternehmen gehackt wurde und keinen Zugriff mehr auf die eigenen Unternehmensdaten hat – ebenso die Daten der Kunden, die einem anvertraut wurden. Dann ist im Betrieb plötzlich alles auf Eis gelegt. Dennoch sind Reaktionen nötig – und diese unterscheiden sich erst einmal wenig von dem Diebstahl einer Geldbörse. Eine Notfallnummer gibt es nämlich nicht nur bei der Bank zum Sperren der Karten. Auch für Handwerksbetriebe, die Opfer eine Cyberattacke wurden, gibt es eine Notfall-Hotline, die vom Service Center des Bundesamts für Sicherheit in der Informationstechnik (BSI) in der Zeit von 8 bis 18 Uhr angeboten wird.
Die Nummer lautet 0800-2741000 und sie ist Teil eines umfangreichen Notfallplans, den jeder Betrieb kostenlos in Anspruch nehmen kann. Ein Cyber-Angriff ist eine Straftat und deshalb sollte man im Falle des Falles auch die Polizei einschalten. "Trotzdem sind die Daten meist erst einmal weg. Die Hacker fordern nicht selten ein Lösegeld für die Herausgabe", berichtet Stephan Blank vom Mittelstand-Digital Zentrum des Zentralverbands des Deutschen Handwerks (ZDH). Laut einer Befragung des IT-Sicherheitsanbieters Splunk aus den USA hat in Deutschland fast jedes siebte Unternehmen schon Summen bis zur Millionenhöhe an Lösegeld für Cyber-Angriffe bezahlt. Grundsätzlich sind die Betriebe im Vorteil, die zuvor regelmäßig Backups der Daten angelegt haben.
Woran erkennt man, dass man gehackt wurde?
Dafür gibt es verschiedene Anzeichen:
- Wenn keine Schutzmaßnahmen existieren, erkennt es manch einer erst Wochen später und dann meist über Hinweise von Kunden und Geschäftspartnern. Sie machen darauf aufmerksam, dass im Namen des gehackten Unternehmens E-Mails mit Anhängen oder Links verschickt werden, um wiederum die Systeme der Adressaten mit Schadsoftware zu infizieren.
- Wenn man Schutzmaßnahmen getroffen hat, greifen die Mechanismen der IT-Sicherheitsinfrastruktur wie Firewall, Antiviren-Software oder Sicherheits- und Anti-Ransomware-Technologien und wird von diesen Systemen benachrichtigt .
- Schlimmstenfalls legen Hacker die IT-Systeme komplett lahm und man bekommt nur noch schwarze Bildschirme angezeigt. Darauf ist dann nur noch eine Nachricht mit einer Lösegeldforderung zu sehen ist.
Stephan Blank gibt als Tipp: Um zu überprüfen, ob man gehackt wurde oder sensible Daten durch ein Datenleck in falsche Hände geraten sind, kann man Webseiten wie "haveibeenpwned.com" nutzen.
Cyber-Angriff: Sofortmaßnahmen im Überblick
Die Initiative "Cybersicherheit im Handwerk" des Mittelstand-Digital Zentrums hat unter anderem eine Notfallkarte mit erstellt, die auf dem Notfallplan des BSI beruht und die jeder auf der Website cybersicherheit-handwerk.de nachlesen und abspeichern kann. Bei einem Cyber-Angriff sind erst einmal Sofortmaßnahmen zu treffen:
- Internetverbindung und Verbindungen zu Netzwerken trennen,
- betroffene Geräte ausschalten und auch Backups stoppen.
Dann sollte man strukturiert vorgehen und schrittweise prüfen, was genau passiert ist, welche Stellen im Betrieb betroffen sind und dann auch entsprechenden Meldepflichten nachkommen Diese betreffen sowohl diejenigen, deren Daten gestohlen wurden – also Kunden, Geschäftspartner etc. – als auch den jeweiligen Landesdatenschutzbeauftragten. Bei der Aufklärung des Vorfalls helfen Experten, die ebenfalls im Notfallplan genannt sind.
Ein wichtiger Schritt liegt weiterhin auch darin, die richtigen Schlüsse aus einem derartigen Cyber-Angriff zu ziehen – also die richtigen Präventionsmaßnahmen zu ergreifen, um einen erneuten Angriff zu verhindern. Und dazu gehören nach Aussagen von Stephan Blank ein paar mehr Schritte als nur Backups der Daten, die man als Sicherung zum Weiterarbeiten im Notfall benötigt. Neben dem Notfallplan hat der IT-Experte mit seinen Kollegen einen kostenlosen Routenplaner entwickelt, der jedem Unternehmen als Leitfaden dienen kann, um die eigene IT-Infrastruktur abzusichern.
Denn vor dem eigentlichen Absichern sollte man wissen, wo überhaupt überall Sicherheitslücken entstehen können. Der Routenplaner führt dabei anhand von Fragen schrittweise zu einer Absicherung – einem sogenannten IT-Grundschutzprofil – die jeder selbst in die Wege leiten kann. "Im Handwerk haben wir nun einmal mehrheitlich kleine Betriebe mit durchschnittlich fünf Mitarbeitern und keinem IT-Beauftragten, der sich ausschließlich darum kümmert", sagt Blank. Er erkennt, dass trotz Skepsis, die hier und da in Sachen Digitalisierung noch immer bei Betriebsinhabern vorhanden sei, immer mehr Unternehmen die Notwendigkeiten erkennen, Daten richtig abzusichern.
Cyber-Angriff: Schnelle und richtige Reaktion nötig
Eine Umfrage des ZDH gemeinsam mit dem Digitalverband Bitkom zeigte schon vor zwei Jahren, dass 67 Prozent der Betriebe einen hohen Stellenwert bei der IT-Sicherheit sehen. Gleichzeitig gaben 61 Prozent auch an, dass die IT-Sicherheit eine große Herausforderung sei. "Awareness ist da, denn viele sind schon für das Thema sensibilisiert", sagt Stephan Blank. Dennoch brauchen die Firmen Unterstützung, damit sie die Herausforderung angehen. So mahnt Blank auch: "Es ist nicht mehr die Frage, ob man gehackt wird, sondern wann." Dann sei aber eine schnelle und vor allem die richtige Reaktion wichtig und ein strukturiertes Vorgehen.
Unterstützung dabei und auch bei der Umsetzung der richtigen Präventionsmaßnahmen bietet die Initiative "Cybersicherheit im Handwerk" auf dem Portal cybersicherheit-handwerk.de. Hier gibt es sowohl Tools, die man selbstständig und kostenlos nutzen kann, als auch Kontakte zu Beratungsstellen und Informationen zu Förderprogrammen des Bundes und der Länder.
Stephan Blank rät jedem Betrieb, das Thema nicht hinauszuschieben, bis die Notfallnummer dann doch zum Einsatz kommen muss. Stattdessen sollte man die Digitalisierung im eigenen Unternehmen von Anfang an sicher gestalten. "Den Routenplaner kann man so nutzen, dass man die Maßnahmen, die darin vorgeschlagen werden, schrittweise abarbeitet", sagt der Experte. Für den Unternehmer sei es wichtig, einen Überblick zu bekommen und die Schwachstellen zu kennen bzw. zu beseitigen.
Im Falle eines Cyber-Angriffs die Schwachstellen erkennen
Im typischen Handwerksbetrieb seien das oftmals die Smartphones der Mitarbeiter, nennt er als Beispiel. Das mobile Arbeiten sei Gang und Gebe und da würden oftmals auch Kundendaten und Betriebsinterna einfach per WhatsApp weitergegeben. Davon rät Stephan Blank direkt ab. "WhatsApp und andere Instant-Messenger sind nicht die sichersten Kommunikationskanäle, wenn es darum geht, sensible Information und Dokumente sicher mit Kunden, Lieferanten und Kollegen zu teilen. Vor allem, wenn man das Endgerät sowohl für dienstliche als auch für private Zwecke nutzt. Ich empfehle dann lieber die WhatsApp Business Alternative oder Threema Work zu nutzen", nennt er als Praxistipp.
Die wichtigste Sicherheitslücke, um die sich jeder Unternehmer aber aus seiner Sicht noch kümmern sollte, sind die Mitarbeiter. "Im Betrieb sollte man klare Regeln zum Umgang mit Daten finden und diese auch regelmäßig kommunizieren", erklärt Stephan Blank. Wie man dabei vorgeht, ist unter anderem auch Teil des Routenplaners.
Die Website cybersicherheit-handwerk.de wird ständig erweitert und Stephan Blank kündigt an, dass dort bald eine Zusammenfassung der wichtigsten Sicherheitsregeln und Sicherheitsmaßnahmen in Kurzform erscheinen wird – die "goldenen Regeln der IT-Sicherheit" – die man schnell und einfach kommunizieren kann. Unter anderem gehören dazu:
- Eine sichere Firewall im Betrieb, bei der regelmäßig das Passwort aktualisiert wird,
- insgesamt ein automatisches und Zeitfaktor gestütztes Passwort-Management,
- eine regelmäßige Aktualisierung der Software des Routers,
- regelmäßige Backups zu erstellen und
- die Mitarbeiter regelmäßig zu schulen.
>>> Unter cybersicherheit-handwerk.de gibt es Tipps, Beratungsangebote und Hinweise zu Förderprogrammen.