Dieser Beitrag ist unter dem Titel „Gut gesichert?“ im Deutschen Architektenblatt 07.2019 erschienen.
Von Marek Naser
Regelmäßig wird über Cyberangriffe berichtet, die durch Sicherheitslücken verursacht wurden. Eine Reaktion darauf unterbleibt jedoch oftmals. Gerade kleine und mittelständische Unternehmen gehen von gezielten Angriffen aus, in deren Fokus sie nicht stehen – dies ist ein weitverbreiteter Irrglaube! Auch Architektur- und Ingenieurbüros können Opfer nicht gezielter Angriffswellen werden, die für einen Großteil der Schäden verantwortlich sind. Laut einer Forsa-Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) aus dem Jahr 2018 mussten 43 Prozent der befragten mittelständischen Unternehmen den Betrieb zeitweise stilllegen. In 59 Prozent der Fälle erfolgte der Cyberangriff per E-Mail.
Grundsätzlich steigt das Risiko mit der Anzahl der digitalisierten Prozesse und der digitalen Kontakte (E-Mails, elektronischer Datenaustausch etc.). Gerade in Planungsbüros sind mittlerweile alle Prozesse digitalisiert. Das Risiko potenziert sich noch bei der BIM-Methode, da hier viele am Projekt Beteiligte Zugriff haben und ihren Teil zum Planungsprozess beisteuern. Dabei dürften es die wenigsten Hacker auf BIM-Daten oder Planmaterial abgesehen haben, sondern auf Nutzernamen, Passwörter und E-Mail-Adressen (in Einzelfällen wurden allerdings auch gezielt Plandaten von Kraftwerken oder Gefängnissen entwendet). Außerdem kann ein Cyberangriff zu einer vollständigen Betriebsunterbrechung führen und ganze Projekte in Gefahr bringen.
Die Gefahr für die Cybersicherheit sitzt vor dem Bildschirm
Die häufigste Methode, wie Schadprogramme (etwa Trojaner) in ein System gelangen, sind infizierte E-Mail-Anhänge, etwa Bewerbungen oder Rechnungen: Ein Mitarbeiter öffnet einen infizierten Anhang oder klickt auf einen infizierten Link, und schon ist ein Befall erfolgt und eine Betriebsunterbrechung nötig. In den letzten Monaten konnte man eine hohe Aktivität des Trojaners Emotet beobachten. Er hat die Eigenschaft, Adressbücher aus Outlook auszulesen und auf eine echte E-Mail-Korrespondenz zu reagieren. Als Opfer bekommt man also vermeintlich eine E-Mail eines Kunden oder Geschäftspartners mit einem infizierten Anhang.
Hacker nutzen außerdem Phishing-E-Mails, um sich möglichst viele sensible Daten zu „angeln“. Hierzu wird vorgegaukelt, dass die erhaltene E-Mail von einem bestimmten Unternehmen (Online-Händler, Bezahldienst, soziales Netzwerk etc.) kommt. In diesen E-Mails sind Links enthalten, die auf eine gefälschte Seite leiten. Dort wird man dann aufgefordert, seine Bankinformationen oder Zugangsdaten anderer Dienste einzugeben. Diese werden dann verkauft oder selbst kriminell genutzt.
Hier muss man mit gesundem Menschenverstand vorgehen und auf sein Bauchgefühl vertrauen. Grundsätzlich ist zu empfehlen, die Links nicht in E-Mails zu klicken, sondern sich direkt auf der Internetseite des Online-Händlers, Bezahldienstes oder Netzwerks anzumelden. Auch ein Anruf beim Unternehmen kann klären, ob die E-Mails tatsächlich von dort verschickt wurden.
Wie kann man sich schützen?
Schwachstellen im Betriebssystem, aber auch in Büroanwendungen und anderen Programmen sind Haupteinfallstore für Cyberangriffe. Wenn solche Sicherheitslücken bekannt werden, stellen die Hersteller in der Regel Sicherheitsupdates (sogenannte „Patches“) bereit. Verschaffen Sie sich einen Überblick über die eingesetzten Programme und sorgen Sie dafür, dass Sicherheitsupdates so rasch wie möglich eingespielt werden – oder nutzen Sie die häufig angebotene automatische Aktualisierungsfunktion. Nutzen Sie darüber hinaus auch ein Antivirusprogramm beziehungsweise eine Firewall. Die meisten bekannten Antivirusprogramme haben einen guten technischen Standard. Wichtig ist, dass sie regelmäßig (also mindestens täglich, besser öfter) Updates der Virensignaturen bekommen. Seit 2019 ist auch der eingebaute Virenscanner in Windows 10 empfehlenswert.
Eine der wichtigsten Maßnahmen ist die regelmäßige Erstellung von Sicherheitskopien. So sollte mindestens wöchentlich, besser sogar täglich, eine komplette Sicherung Ihrer Daten erfolgen. Zudem müssen auch die Mitarbeiter regelmäßig für die Gefahren sensibilisiert werden.
Sichere Passwörter sollten eigentlich eine Selbstverständlichkeit sein, doch die Erfahrung lehrt, dass auch hieran immer wieder erinnert werden muss. Ein sicheres Passwort sollte mindestens 8, besser 12 Zeichen haben, aus Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen. Wählen Sie kein reguläres Wort (Katze1), keine einfache Tastenfolge (12345678) und keinen leicht zu erratenden Namen (Schmidt2019). Hacker können sich aus anderen erbeuteten Daten Passwörter zusammenreimen oder mal eben die tausend beliebtesten Passwörter scannen. Untersuchungen zeigen, dass 95 Prozent der Nutzer eines von ihnen verwenden. Da ein moderner Rechner leicht tausend Anfragen je Sekunde abschicken kann, wird schnell klar, dass dies keine nennenswerte Hürde darstellt.
Cyber-Versicherung und Ernstfall
IT-Sicherheitskonzepte sind notwendig, garantieren jedoch auch keine absolute Sicherheit. Das Restrisiko kann mit einer Cyberversicherung abgesichert werden, deren Prämien sich nach den Honorarumsätzen richten (mehr dazu schreiben wir hier). Sie beginnen bei etwa 400 Euro netto jährlich bei 100.000 Euro Umsatz/Honorarsumme und staffeln sich dann moderat. Neben der Erstattung entstandener Kosten bieten die meisten Versicherungen auch eine rund um die Uhr erreichbare Hotline, die mit IT-Sicherheits-Experten besetzt ist. Diese Dienstleister unterstützen im Schadenfall, wenn notwendig, auch vor Ort beim Kunden.
Grundsätzlich ist im Schadenfall professioneller Rat angebracht. Die Entfernung eines Trojaners in Eigenregie ist selten erfolgreich. Weil aktuelle Schadsoftware häufig tief im System festsitzt, empfehlt es sich, nach einem Befall das gesamte System neu aufzusetzen und die alten Festplatten gegen neue zu tauschen. Dies ist nur dann problemlos möglich, wenn eine aktuelle und funktionstüchtige Datensicherung vorliegt.
Dipl.-Ing. Marek Naser ist Underwriter Cyberversicherungen bei den VHV Versicherungen in Hannover
