Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfasste im Oktober 2021 rund 450.000 neue Schadprogramme pro Tag. Im Durchschnitt sind das 312 neue Trojaner, Viren und Würmer pro Minute, welche auch vor der Sozialwirtschaft nicht halt machen – im jüngsten BSI Jahresbericht wird dies als Spitzenwert deklariert.
Absicherung gegen die „unsichtbare Gefahr“ –
äußerst relevant und unabdingbar
Die Arten von Cyberattacken sind vielfältig: In einigen Fällen haben es die Täter:innen auf das sogenannte Phishing, das Erbeuten von Daten und Passwörtern, welche dann im Darknet verkauft werden sollen, abgesehen. Andere wiederum bestehen aus einer enormen Zahl zeitgleicher Zugriffe auf Computer-Server, woraus ein Zusammenbruch der Systeme resultiert (Distributed Denial of Service – DDoS).
Am häufigsten erfolgt Cyberkriminalität in Form einer Ransomware. Als Ransomware bezeichnet werden unter anderem Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner. Das sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Diese Schadprogramme werden. beispielsweise getarnt als E-Mail-Anhang in ein System eingeschleust. Im Anschluss wird oftmals neben dem Lösegeld (engl. ransom), welches gefordert wird um die entsprechende Verschlüsselung aufzuheben, zusätzliches Schweigegeld gefordert, womit sich das betroffene Unternehmen von der Drohung freikaufen soll, dass gestohlene Daten im Netz veröffentlicht werden.
Cyber-Angriffe in Organisationen der Sozialwirtschaft stehen derzeit nicht im Fokus von Hackern – oder doch?
Neben sehr zielgerichteten und über längere Zeit geplante Angriffe hat sich die massenweise und ungerichtete Aussendung von Fake-E-Mails mit entsprechender Schadsoftware etabliert. Die Angreifer unterscheiden hierbei nicht, ob es sich um Privatpersonen, kleine Betriebe, Dax-Konzerne oder eben Einrichtungen und Institutionen der Sozialwirtschaft handelt. Ziel der Angreifer ist in jedem Falle, die Infiltrierung eines Systems zu erreichen.
Im Sektor der Sozialwirtschaft besteht insbesondere aufgrund der Vulnerabilität der Zielgruppe, der Dienstleistenden und der Waren- und Zuliefererketten in den Einrichtungen ein erhöhtes Risiko potenzieller Cyberangriffe. Dabei liegt das Einfallstor für Angreifende nicht nur in der technologischen Komponente. Auch der Mensch spielt hierbei eine Rolle – genauso wie die organisatorischen Prozesse, das interne IT-Sicherheitskonzept und die Frage der Finanzierung. Aufgrund dessen sollte sich eine adäquate IT zwischenzeitlich längst zum Kernelement eines sicheren Unternehmensbetriebs etabliert haben – auch in der Sozialwirtschaft.
Richten wir den Fokus auf den Schaden, welche Cyberangriffe ausrichten, so wir deutlich, dass hieraus nicht lediglich die Verletzung der Datenschutzgrundverordnung (mehr zum Thema Datenschutz hier) resultiert. Auch der durch die erpresserische Verschlüsselung entstehende Betriebsunterbrechungsschaden, der in der Regel einen Ausfall der Computersysteme und damit einen weitestgehenden Stillstand des Betriebs zur Folge hat, gilt es nicht zu unterschätzen, da sich dieser in Einnahmeausfällen bei parallel weiterlaufenden Kosten äußert. Zudem fallen in der Folge eines Cyberangriffes Kosten betreffend der Wiederherstellung von Daten an, woran sich die Kosten für die Aufklärung des Vorfalls anschließen. Weitere Kostenfaktoren im Anschluss eines Cyberangriffes sind Sachverständigendenkosten, sowie die Ausgaben für Meldeverfahren und Informationspflicht bei eingetretenen Datenschutzverletzungen. Aufgrund dessen gilt eine Cyberversicherung – auch, bzw. insbesondere – im Sektor der Sozialwirtschaft als unabdingbar und essenziell notwendig.
Die Versicherung sollte die Absicherung der Kosten durch die Betriebsabrechnung, die Datenwiederherstellung und die Aufklärung des Vorfalls als Kernelemente unbedingt enthalten. Eine sorgfältige Abwägung betreffend hinzubuchender Modi weiterer individueller Deckungselemente als optionale Bausteine sollten je nach spezifischem Risikoprofil erfolgen.
Viele Anbieter von Cyberversicherungen werden nicht erst im Schadensfall tätig, sondern setzen bereits präventiv an, indem sie Mitarbeitende schulen und einen exklusiven, individuell auf das Unternehmen zugeschnittenen Krisenplan erarbeiten, welcher im Ernstfall greift.
Exorbitant ansteigende Schadenszahlen über alle Branchen hinweg haben dazu geführt, dass Versichernde insgesamt höhere Prämien verlangen, Selbstbehalte anheben und ihre Kapazität verknappen. Insbesondere größere Unternehmen aus dem Sektor der Sozialwirtschaft müssen teilweise umfangreiche Fragebögen ausfüllen und anschließend weitere Risikodialoge mit dem Versichernden führen, bevor überhaupt ein Angebot unterbreitet wird. Aufgrund dessen ist es ratsam, eine:n auf spezifische Risiken in der Sozialwirtschaft spezialierte:n Markler:in hinzuzuziehen, welcher / welche mit seinem / ihren Know-how Unternehmen der Sozialwirtschaft auf Augenhöhe mit dem Versichernden bringt.
Cybersicherheit – eine immerwährende Aufgabe
Um Daten nach einem Cyberübergriff schnell wiederherstellen zu können sind regelmäßige Backup-Sicherungen unabdingbar. Diese sollten Expert:innen zufolge in unterschiedlichen Zeitintervallen, beispielsweise monatlich, wöchentlich und auch täglich vorgenommen werden. Um das Backup bei einem Angriff vor einer Verschlüsselung zu schützen, sollte dies als Kopie auf eigens dafür vorgesehene externe Datenträgern aufbewahrt werden. Zudem bedarf es einer regelmäßigen Testung, ob mit dem entsprechenden Backup tatsächlich eine Wiederherstellung erfolgt. Relevant sind ferner die Klärung der Fragen betreffend die Sicherheitsorganisation: Wie ist das eigene Netz segmentiert? Wie sind Zugriffsrechte vergeben?
Wesentlicher Punkt für die gewährleistete Sicherheit sind (auch) aufmerksame und geschulte Mitarbeitende. Es gilt, Mitarbeitende gegenüber Gefahren aus dem Netz zu sensibilisieren und ihre Aufmerksamkeit diesbezüglich beständig hoch zu halten. Denn: IT-Sicherheit ist nicht alleinige Aufgabe der Security-Teams – sie ist ein Gemeinschaftsprodukt.
12 Maßnahmen bei einem Cyber-Angriff
Konkreten Maßnahmen zur Bewältigung eines Cyber-Angriffs können nicht pauschalisiert werden. Vielmehr müssen die individuellen Rahmenbedingungen – wie IT-Infrastruktur vor Ort, Art des Angriffs und Zielsetzungen der Organisation betrachtet werden. Die Übersicht der TOP 12 Maßnahmen bei Cyber-Angriffen des BSI liefert daher nur erste Impulse und Hilfestellungen bei der Reaktion auf einen Vorfall. Sie richtet sich an IT-Verantwortliche und Administratoren – in erster Linie in kleinen und mittleren Unternehmen. Die Priorität der aufgeführten und möglicher weiterer Maßnahmen sind individuell und je nach Organisation festzulegen.
Weitere hilfreiche Veröffentlichungen des BSI betreffend IT-Notfälle sind neben der IT-Notfallkarte, der Maßnahmenkatalog zum Notfallmanagement.
Gefahr erkannt? Gefahr gebannt?
Nach dem Motto: „Zukunft. Digital. Sozial. Gemeinsam mehr erreichen.“ hat es sich FINSOZ e.V., ein Digitalverband der Sozialwirtschaft, zum Ziel gesetzt, den Nutzwert der IT im sozialen Bereich zu steigern. Am 16. November 2023 findet der 1. Kongress Cybersecurity in der Sozialwirtschaft unter dem Motto „Cybersecurity – Bedrohungslage in der Sozialwirtschaft: Gefahr erkannt? Gefahr gebannt?“ statt.
Ziel ist es, die Branche hinsichtlich potenzieller und neuartiger Bedrohungslagen in den Organisationen und bei den Mitarbeitenden zu sensibilisieren und Kenntnisse betreffend die Abwehr von Cyber-Attacken zu stärken.
Weiterführende Links:
https://www.allianz-fuer-cybersicherheit.de/dok/6643392
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/DVS-Bericht/dvs-bericht_node.html
