Cyber-Crime im Autohaus

Strategische Abwehr von Cyber-Angriffen

Referat von Axel Lange TÜV-IT

Nachdem mit den Ausführungen von Arne Joswig, Inhaber von Lensch & Bleck, direkt ein Betroffener eines Cyber-Angriffs zu Wort kam, machte  Axel Lange von TÜV-IT im Rahmen der zweitägigen Online Veranstaltung "CyberCrime im Autohaus" deutlich, welche Aufgaben die Kfz-Betriebe zu erledigen haben, um nicht eine leichte Beute von Hackern zu werden. Es beginnt schon mit der allgemeinen Einstellung der Verantwortlichen, wenn es um Risiken geht.

Der aktuelle Lagebericht des Bundesamts für Sicherheit in der IT-Sicherheit ist alarmierend. Die Vorfallzahlen steigen Jahr für Jahr deutlich – leider auch die Qualität der Angriffe. Es stellt sich also die dringende Frage: Wie umgehen mit dieser steigenden Gefahr? Wie gehen Sie als Geschäftsführer, IT-Leiter oder IT-Beauftragter eines Autohauses mit diesem Risiko um? IT-Sicherheit zählt in vielen Unternehmen zur Daseinsvorsorge – aus gutem Grund! Nach deutschem Aktiengesetz sind Vorstände verpflichtet Maßnahmen zu ergreifen, die den Fortbestand des Unternehmens gewährleisten, Gefahren also abzuwehren. Und dazu zählen Cyberangriffe. Auch Geschäftsführer einer GmbH unterliegen diesen Sorgfaltspflichten.

"Alles getan" oder "Wird schon gutgehen"?

Deshalb lautet die Frage, die sich jede(r) in verantwortlicher Position stellen sollte: Wie risikofreudig bin ich? Kann ich sagen: „Wir haben alles mögliche zum Schutz vor Cyberangriffen getan“ oder lautet die Devise „Es wird schon gut gehen“?

Immerhin lässt sich feststellen, dass Unternehmen auf technischer Ebene schon einiges tun: Nach Studien verfügen 95 % aller Unternehmen über eine aktuelle Anti-Viren Software, sie haben Firewalls, führen regelmäßige Sicherheitsupdates und Patches durch, sorgen also dafür, dass Sicherheitslücken geschlossen werden. Außerdem werden regelmäßige Backups vorgenommen und physisch getrennt aufbewahrt.

Offen bleibt dabei aber, in welcher Qualität und mit welchem Reifegrad die technischen Maßnahmen implementiert wurden? Findet eine sachgemäße Konfiguration und Wartung statt? Halten die Endanwender:innen die damit verbundenen Verhaltensregeln ein? Damit sind wir beim Thema organisatorische IT-Sicherheitsmaßnahmen. Hier sind Unternehmen oft noch nicht so gut aufgestellt. Es gilt grundsätzlich: Lückenlose IT-Sicherheit erzielt man nicht mit einer bloßen Aneinanderreihung verschiedener Sicherheitsmaßnahmen. Dazwischen gibt es Lücken, die von Angreifern gefunden und ausgenutzt werden, was in unserem Auftrag arbeitende ethische Hacker immer wieder erfolgreich unter Beweis stellen.

IT-Sicherheit setzt sich aus mehreren Bausteinen zusammen!

Um IT-Sicherheit ganzheitlich zu managen, bedarf es einer grundlegenden Sicherheitsstrategie, die sich aus mehreren Bausteinen zusammensetzt und sich über technische und organisatorische Maßnahmen, Bedrohungsschutz, Defensive oder Prävention erstreckt. Es geht dabei um eine Stärkung der Widerstandsfähigkeit, auch Residenz genannt. Das umfasst ganz generell die Anpassungsfähigkeit der Organisation, den Stand der Technik immer wieder im Blick zu haben, die Mitarbeitenden im Hinblick auf neue Angriffsszenarien zu trainieren. Dazu kommt die Beständigkeit der Geschäftsprozesse, denn einhundertprozentigen Schutz gibt es trotz aller getroffenen Maßnahmen nie. Ist also ein Angriff erfolgreich, wie sieht es mit der Möglichkeit der Wiederherstellung von Daten und Systemen aus?

Ein langer, aber lohnenswerter Weg

Unternehmen robust zu machen, ist also eine vielschichtige Herausforderung. Dafür gibt es geeignete Best-Practice-Methoden: den Aufbau eines ISMS, eines Managementsystem für Informationssicherheit, und eines Business-Continuity-Management, BCM, das die Fähigkeit eines Unternehmens erhält, Dienstleistungen zu erbringen. Das erste System ist präventiv, das zweite reaktiv, wenn der Angriff erfolgreich war. Die beiden Systeme sind auf jeden Fall für Autohäuser mit mehreren Standorten und einer größeren Zahl von Mitarbeitenden zu empfehlen. Das zu tun bedeutet, einen längeren Weg zu gehen, denn das passende System muss erst entwickelt und dann auch implementiert werden. Es ist aber lohnenswert! Allein damit, dass so vorgegangen wird, wird  die Vertraulichkeit und Integrität der Daten, die auf allen Ebenen der Organisation entstehen. Ergänzend kann das Management-System nach dem 4-Augen-Prinzip geprüft und zertifiziert werden – ein klares Zeichen dafür, dass IT-Sicherheit ernst genommen und sich an internationalen Standards orientiert wird. Das sorgt bei Geschäftspartnern und den Beschäftigten des Unternehmens für das so kostbare Vertrauen. TÜV bietet allen interessierten Unternehmen auf diesem Sektor Unterstützung an.

Die Zahlen sind eindeutig: Jedes Jahr entsteht der deutschen Wirtschaft ein Schaden im mehrstelligen Milliardenbereich, weil Kriminelle erfolgreich in Unternehmensnetzwerke eingedrungen sind. Dafür mussten die Angreifer nicht präsent sein, sie mussten sich nicht die Hände schmutzig machen und konnten sozusagen vom Home-Office aus ihre schmutzigen Waffen einsetzen und damit ganze Unternehmen lahm legen. In einer Serie wird an dieser Stelle gezeigt werden, was Betriebe tun müssen, wenn ein Angriff erfolgreich war und was erforderlich ist, um solche Attacken bereits im Vorwege abzuwehren.

Was sich für viele immer noch nach Science Fiction anhört, ist längst Realität – das zeigte die zweitägige, jeweils 30-minütige Online-Veranstaltung „Cybercrime im Autohaus“, die der Landesverband Anfang des Jahres organisierte. Deutlich wurde in den Beiträgen der Experten, dass es eine gefährliche Illusion ist, wenn sich ein kleiner Kfz-Betrieb auf dem Lande denkt, dass er doch viel zu unbedeutend sei, um für Cyber-Kriminelle attraktiv zu sein. Selbst in den hintersten Winkeln des Globus gilt das Sprichwort, nach dem Kleinvieh auch Mist macht. Eines ist allerdings genauso wahr: Niemand ist ohne Abwehrchance!

In den kommenden Wochen werden die einzelnen Experten-Beiträge an dieser Stelle noch einmal zu lesen sein.

Den Anfang macht Arne Joswig mit einem Livebericht von einem erfolgreichen Hacker-Angriff auf sein Unternehmen, die Lensch & Bleck Gmbh mit fünf Standorten in SH und Hamburg. Arne Joswig ist außerdem ZDK-Vorstand und dort verantwortlich für den Bereich Öffentlichkeitsarbeit.

Das Interview führte Martin Seydell, stellvertretender Geschäftsführer des Landesverbandes.

 

Wie lief der Cyberangriff bei Lensch & Bleck ab?

In unserem Fall kam eine Mail mit dem Absender eines bekannten Lieferanten in unserem Teilelager an, wurde von dem Mitarbeiter geöffnet und kurze Zeit später kam eine Forderung über 15.000 €, um unsere Systeme wieder funktionsfähig zu machen. Ich kann da niemandem einen Vorwurf machen. Die Mail, die völlig unspektakulär, ganz normal daherkam, hätte ich auch nicht als gefährlich erkannt. Aber nun war es passiert. Und wir haben reagiert – neue Sicherheitssysteme installiert, über die ich gleich noch was sagen werde –, aber das bedeutet leider nicht, dass die Angriffe aufhören. Gerade erst in den letzten Wochen tauchten angeblich von mir geschickte Mails an meine Mitarbeiter:innen auf. Da hatte also jemand meinen Account übernommen. Durch unsere neuen Strukturen wurden die glücklicherweise abgefangen, sodass kein Schaden entstehen konnte.

In Schleswig-Holstein haben wir gerade von einem anderen Unternehmen erfahren, das durch einen Hackerangriff komplett lahmgelegt war. Der Geschäftsführer war den Tränen nahe. Ist so eine Reaktion nachvollziehbar?

Die Reaktion ist nachvollziehbar. Hier hilft aber nur konsequentes, schnelles und sachliches Handeln. Das haben wir auch getan, um Lösungen für dieses Problem zu finden.  Klar, man ist sauer, denn alle stehen rum und meckern, es geht nix mehr, es können keine Rechnungen geschrieben werden, etc.

Wie ist Lensch & Bleck aus dieser Situation rausgekommen?

Wir haben schnell entschieden, nicht zu zahlen. Das ist nicht meine Mentalität, auf solche Forderungen einzugehen. Außerdem weiß ich ja nicht, ob nach einer Geldüberweisung auch wirklich das System wieder funktioniert, ob solche Kriminellen wirklich halten, was sie versprechen. Im ersten Schritt haben wir dann überlegt: Wer kann uns jetzt helfen? Selbst helfen kann man sich in so einem Moment nämlich nicht. Wir haben Kontakt zu Herrn Asmussen und seiner Firma Plenium aufgenommen, die in Zusammenarbeit mit unseren Leuten das Problem einkreisen und dann auch lösen konnte. Dafür haben wir nach meiner Erinnerung etwa drei Tage gebraucht.

Welche Konsequenzen sind aus dieser Cyberattacke gezogen worden?

Das Ganze ist relativ glimpflich abgelaufen, wobei glimpflich relativ ist, denn wir haben einige Tage nicht arbeiten können. Weiter ist die von mehreren IT-Spezialisten erbrachte Dienstleistung, die wir erhalten haben, ja auch nicht kostenlos. In Zusammenarbeit mit Herrn Asmussen haben wir eine neue Sicherheitsstruktur aufgebaut. Heute haben wir eine gut geschützte Firmenkommunikation. Uns ging es außerdem sehr stark um die Analyse der Gründe, wie es dazu kam, dass wir Opfer eines Angriffes wurden. Bei uns waren z.B. Email-Accounts eingerichtet worden, die nach einiger Zeit keinen vollfunktionsfähigen Virenschutz mehr besaßen. Unsere Systeme werden jetzt permanent extern überwacht und seitdem sind keine erfolgreiche Angriffe mehr erfolgt.