DQS im Dialog
DQS Website Abonnieren

Juwelier Wempe Opfer eines Cyberangriffs

Was jüngst dem Hamburger Juwelier Gerhard D. Wempe widerfuhr, haben vor ihm schon andere Mittelständler erlebt: Lösegeldforderung nach erfolgreichem Hackerangriff auf die hauseigene IT!
©fotolia Hacker Cyberangriff Wempe

Als die Meldung Anfang Juli dieses Jahres durch die Presse ging, war die Cyber-Attacke schon rund eine Woche alt. Cyber-Kriminelle hatten das IT-System des namhaften Juweliers gekapert und verschlüsselt. Wie nicht anders zu erwarten, verlangten die Täter ein Lösegeld zur Freischaltung der Verschlüsselung. Wenn man den Meldungen glauben darf, wurde dieses Lösegeld auch gezahlt. Mit einem daraufhin gelieferten Passwort konnte die Funktionsfähigkeit der Systeme wiederhergestellt werden. Erst danach gelangte der Fall in die Öffentlichkeit.

Fall Wempe nur Spitze des Eisberges

IT-Spezialisten wie zuständige Stellen der Kriminalämter gehen davon aus, dass nur eine verschwindend geringe Zahl erfolgreicher Cyber-Attacken in Verbindung mit Lösegeldforderungen gemeldet werden. Die bekannten Fälle stellen mit großer Wahrscheinlichkeit nur die Spitze des Eisberges dar. Grundsätzlich verwundert das nicht: Die DQS hatte an dieser Stelle bereits vor über einem Jahr von einer repräsentativen Umfrage unter deutschen Mittelständlern berichtet, die mit großer Mehrheit Angriffe auf IT-Systeme gerade kleiner und mittlerer Unternehmen (KMU) für sehr wahrscheinlich hielten, sich selbst aber paradoxerweise – ebenfalls mehrheitlich – davon ausnahmen.

Erpresser nutzen Schwachstellen

Das Vorgehen der Täter offenbart ein häufig angewandtes Muster: In der Regel wird eine Ransomware (etwa: Erpressungs- oder Verschlüsselungs-Trojaner) per E-Mail verschickt, die aber erst durch lückenhaften technischen Schutz oder durch menschliches Fehlverhalten wirksam werden kann (z. B. durch unbedachtes Öffnen von Anhängen oder unkritisches Klicken auf Links). Veraltete, nicht gepflegte Systeme und nicht sensibilisierte bzw. geschulte Mitarbeiter sind wie offene Scheunentore, die Cyber-Kriminelle geradezu einladen, Trojaner und Co. erfolgreich zu platzieren.

In Pressemeldungen zu derartigen Fällen ist oft zu lesen, dass vor allem KMU doch endlich ihre IT-Systeme und -Prozesse schützen sollten. Andernfalls gingen der deutschen Wirtschaft Milliardenbeträge durch Lösegelder, angerichtete Schäden oder durch Spionage verloren. Gleichzeitig werden aber nur selten konkrete Vorschläge gemacht, wie eine für KMU vernünftige Lösung aussehen könnte. Das Handelsblatt setzte in seiner Berichterstattung zum Fall Wempe dahingehend sogar noch einen drauf: Es zitierte den Sprecher des als fachkundig bekannten Chaos Computer Club (CCC) aus Hamburg, der mit Blick auf mögliche Lösungsansätze für KMU von „allerlei windigen Anbietern und Schlangenöl-Produkten“ und von oftmals mangelnder Expertise für Informationssicherheit bei kleinen Organisationen spricht – dies nur leider unkommentiert.

Regelwerke für Informationssicherheit

Es stimmt wohl: Auf dem Markt gibt es tatsächlich eine Reihe von Anbietern mit nicht oder nur wenig wirksamen Produkten. Und es ist auch nicht vollkommen falsch, dass KMU oft wenig über einen geeigneten Schutz für ihre Daten und Informationen wissen. Allerdings wäre es wünschenswert, wenn im Zuge der Berichterstattung auch auf bewährte und anerkannte Regelwerke aufmerksam gemacht würde, mit deren Einführung – und ggf. auch Zertifizierung – eigene Schwachstellen deutlich werden, die Cyber-Kriminellen ihr Tun so leicht und erfolgreich machen.

Speziell für den Einstieg in die Informationssicherheit und KMU-typische Strukturen sind z.B. zwei Regelwerke ISA+ und ISIS12 eine gute Lösung. KMU, deren IT-Systeme eine hohe Komplexität aufweisen, steht mit der international anerkannten Norm ISO 27001 ein systematischer Ansatz zur Informationssicherheit zur Verfügung.

ISA+ – der erste Schritt für KMU

Das Verfahren ISA+Informations-Sicherheits-Analyse (kurz ISA+) wurde vom Bayerischen IT-Sicherheitscluster für KMU, vor allem für Dienstleister, als unkomplizierter Einstieg in die Informationssicherheit entwickelt. Mit einem Zusatzmodul eignet sich das Regelwerk auch für produzierende KMU. Zur effektiven und effizienten Durchführung von ISA+ wird die Anwendung der Software „iris“ empfohlen. Anhand eines Fragenkatalogs wird zunächst der Bedarf an Informationssicherheit ermittelt. Der Katalog umfasst 50 praxisbezogene, verständlich formulierte Fragen, die sich bei guter Vorbereitung und Unterstützung des akkreditierten Beraters entsprechend gut beantworten lassen. Die Fragen sind unterteilt in

  • allgemeine Themen: Unternehmensgröße, Anzahl der Mitarbeiter etc.
  • Organisation: Richtlinien, Anweisungen, Schulung, Verantwortlichkeit etc.
  • Technik: vorhandene IT-Systeme, Datensicherung, Notfallvorsorge etc.
  • Recht: Compliance, Leistungen Dritter etc.

Der akkreditierte Berater gleicht die für jede Frage gegebene Handlungsempfehlung mit den Antworten der Unternehmen ab, und ordnet das Ergebnis (Stärken und Schwächen) einem vierstufigen Reifegradsystem zu. Daraus ermittelt er, welche Maßnahmen mit Blick auf einen wirksamen Informationssicherheitsprozess notwendig sind. Diesen Schritt ging beispielsweise der Zweckverband für Abfallwirtschaft Kempten (ZAK) sehr erfolgreich.

Welche Vorteile bietet ISA+?

  • die Bedarfsanalyse liefert den Status quo der Informationssicherheit
  • die Durchführung des Verfahrens ist ohne technische Vorkenntnisse möglich
  • schnelle Identifizierung von Stärken und Schwächen
  • Aufzeigen von Handlungsempfehlungen
  • auf Wunsch ist eine Zertifizierung möglich
Schritt für Schritt zur Informationssicherheit

ISIS12 – der zweite Schritt für KMU

ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand entwickelte und, wie auch ISA+, im Dezember 2012 vom Bayerischen IT-Sicherheitscluster herausgegeben. ISIS12 geht tiefer als ISA+ und liefert einen gut überschaubaren Rahmen für die Implementierung eines wirksamen Informationssicherheits-Managementsystems (ISMS). Es ist branchenunabhängig anwendbar und zugeschnitten auf mittelständische Unternehmen und öffentliche Verwaltungen bzw. Kommunen.

Die Einführung von ISIS12 wird in zwölf Schritten vollzogen, die in drei Phasen eingeteilt sind. In Phase I wird eine Leitlinie zur Informationssicherheit erstellt und den Mitarbeitern vermittelt, in Phase II wird die Aufbau- und Ablauforganisation festgelegt, Phase III umfasst die Entwicklung und Umsetzung des Konzeptes. Begleitet wird die Implementierung des Regelwerks von einem Handbuch und einem Software-Tool. Unternehmen können die Implementierung damit selbst vornehmen oder sich von einem zugelassenen ISIS12-Berater unterstützen lassen. Zur Umsetzung der seit Mai 2018 umzusetzenden DS-GVO existiert seit einiger Zeit ein Zusatzmodul.

ISIS12 2.0 – Revision mit Blick auf ISO 27001

ISIS12 erfährt zurzeit eine Weiterentwicklung, das Ergebnis soll spätestens Ende 2019 als ISIS12 2.0 veröffentlicht werden. Mit der Überarbeitung ist vor allem die Absicht verbunden, eine im Unternehmen notwendig gewordene oder anderweitig gewollte Migration von ISIS12 auf die internationale Norm ISO 27001 zu erleichtern. Dazu werden einige Anpassungen vorgenommen: So wird künftig ISO 27001 die neue Basis sein, statt bisher der BSI IT-Grundschutz-Katalog. Zudem wird eine Risikoanalyse (optional) und ein internes Audit eingeführt, die Messung der Sicherheit kommt neu hinzu und es wird die Anforderung nach Implementierung eines Prozesses zur fortlaufenden Verbesserung aufgenommen.

Welche Vorteile bietet ISIS12 (2.0)?

  • bedarfsgerechter Einstieg in die Informationssicherheit
  • überschaubare Kosten
  • anerkannter Nachweis eines ISMS (Zertifikat)
  • größeres Vertrauen bei interessierten Parteien
  • mehr Handlungssicherheit
  • optional Datenschutz-Zusatzmodul zur Erfüllung der DS-GVO-Anforderungen
  • wesentlich vereinfachtes Upgrade auf ISO 27001 (ab Version 2.0)
  • ggf. Förderung der Zertifizierungskosten

ISIS 12 – Jetzt Informieren

  • Lösung für den Mittelstand
  • klare Handlungsanweisungen in 12 Schritten
  • unterstützt vom Bayerischen Staatsministerium des Innern, für Bau und Verkehr
Mehr lesen

Fazit

Cyber-Angriffe auf KMU, die mit der Absicht erfolgen, über eine Verschlüsselung von wichtigen Unternehmensdaten Lösegeld zu erpressen, nehmen rasant zu. Die Fälle, die in die Öffentlichkeit gelangen, stellen jedoch nur die Spitze des Eisberges dar. Gleichwohl liegen Informationen und Daten in kleinen und mittleren Unternehmen oft blank – wie zahlreiche Beispiele zeigen. Mit ISA+ und ISIS12 stehen KMU je nach Bedarf zwei geeignete Regelwerke für Informationssicherheit zur Verfügung, deren Implementierung und Zertifizierung vergleichsweise einfach umzusetzen ist, bei überschaubaren Kosten. Die DQS ist für beide Regelwerke der exklusive Zertifizierungspartner des Bayerischen IT-Sicherheitsclusters e. V.