SIMEDIA-Seminar Cyber-Krisenmanagement

Cyber-Krisenmanagement

Seminarbroschüre “Cyber-Krisenmanagement”

Cyber-Krisen stellen grundsätzlich neue Anforderungen an das Krisenmanagement. Ziel des SIMEDIA-Seminars ist es, den Teilnehmern einen Überblick über die Herausforderungen durch – aber auch Lösungen für – Cyber-Krisen zu vermitteln. Zwei anerkannte Experten mit langjähriger Erfahrung im präventiven und reaktiven Management von Cyber-Krisen auf organisatorischer, technischer und rechtlicher Ebene stellen gute Praxis dar und zeigen effiziente Lösungswege für die Optimierung bestehender oder den Aufbau neuer Cyber-Krisenmanagement-Organisationen auf.

Banken-Erpressergruppe DD4BC geschnappt

Die Hackergruppe DD4BC hatte unter anderem auch deutsche Banken erpresst. Die Masche  der Hacker war immer gleich: bei den Opfern gingen Erpresserschreiben per Mail ein, in denen ein Betrag in der Cyberwährung Bitcoins gefordert wurde. Sollte der benannte Betrag nicht auf dem beschriebenen Weg transferriert werden, drohten die Erpresser einen DDoS-Angriff an. zur Untermauerung der Ernsthaftigkeit wurde schon einmal vorab ein kürzerer DDoS-Angriff verübt.

Eine Beschreibung des Vorgehens und der beeindruckenden “Einnahmenentwicklung” der Hackergruppe wurde vom Frankfurter Unternehmen Link11 GmbH erstellt.

Das Angriffsszenario von DD4BC habe ich im vergangen Jahr auch als Grundlage für Drehbücher von Krisenstabsübungen herangezogen. Das realitätsgetreue Szenario hat sich sehr gut für Krisenstabsübungen geeignet und war eine Herausforderung für die Krisenstabsmitglieder.

Europol hat nun, wie heise berichtet, mit Polizeikräften aus mehreren europäischen Staaten Verdächtige der Hackergruppe DD4BC in Bosnien und Herzegowina gefasst.

Jetzt ist diesem Spuk von DD4BC hoffentlich ein Ende gesetzt, doch das bestens funktionierende Geschäftsmodell  der Cyber-Erpressung wird uns weiter in Atem halten. Die neue Bedrohung firmiert mit gleichem Geschäftsmodell unter “Armada Collective”. Gerade kleine und mittlere Unternehmen können dieser Bedrohung kaum etwas entgegensetzen und viele werden im Gefühl der Machtlosigkeit zähneknirschend die Bitcoins auf den elektronischen Weg bringen, um schnell wieder mit dem Online-Shop Geld verdienen zu können. Genauso wie Privatanwender für die Entschlüsselung ihrer Daten auf dem PC nach einer Malware-Attacke zum Portemonnaie greifen, weil die letzte Datensicherung doch schon etwas länger zurückliegt.

Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen.  Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.

Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity Pläne für diese Szenarien (Bsp. Nicht-Verfügbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management für die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement für die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.

Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias Hämmerle

Meldepflicht für Cyber-Angriffe soll kommen

Laut einer Meldung in der FAZ in der heutigen Print-Ausgabe sollen sich Union und SPD in den laufenden Koalitionsverhandlungen auf eine Meldepflicht für Cyber-Angriffe durch Unternehmen der kritischen Infrastrukturen verständigt haben.

Diese Meldepflicht ist seit einiger Zeit in der Diskussion. Unternehmensverbände haben sich bisher erfolgreich gegen diese Verpflichtung gewehrt. Insbesondere das Innenministerium hat sich für diese Meldepflicht eingesetzt.

Die Meldestrukturen für die KRITIS-Unternehmen sind etabliert und werden in den zweijährigen KRITIS-Übungen auch getestet. Bislang erfolgen Meldungen über Cyber-Attacken an das Bundesamt für Sicherheit in der Informationstechnik BSI noch auf freiwilliger Basis, doch wird dies offensichtlich nicht intensiv genutzt. Im BSI wurde im Februar 2011 das Nationale Cyber-Abwehrzentrum eingerichtet, um Abwehrmaßnahmen durch Cyber-Angriffe zentral erkennen und Maßnahmen koordinieren zu können.

In den USA und Großbritannien gab es große Übungen im Finanzdienstleistungsbereich, um sich auf einen solchen Anschlag vorzubereiten.

Zentrale Meldestelle für Cyber-Angriffe auf Unternehmen gestartet

Unternehmen können ab sofort Angriffe auf ihre Computersysteme bei einer zentralen Meldestelle angeben, auf Wunsch auch anonym. Auf diese Weise soll ein «umfassenderes Bild der aktuellen Gefährdungslage» ermöglicht werden. Die Meldestelle ist zentraler Baustein der Initiative Allianz für Cyber-Sicherheit, die am Donnerstag gestartet wurde. Träger sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IT-Fachverband Bitkom.

BSI