WannaCry, Petya und Bad Rabbit haben gezeigt: Unternehmen sind gegen Cyberattacken unzureichend abgesichert. Immer häufiger machen Erpressungstrojaner Schlagzeilen, indem sie zahlreiche Firmendaten beschlagnahmen und Prozesse lahmlegen. Um sich vor finanziellem Schaden zu bewahren, sollten Unternehmen bewusster mit Daten umgehen und sie besser schützen.
Mehr als jedem zweiten Unternehmen in Deutschland wurden schon mal durch eine Cyberattacke Daten gestohlen, das ergab eine repräsentative Studie des Digitalverbandes Bitkom aus dem Juli 2017. Der Schaden, den die deutsche Wirtschaft dadurch erleidet, ist groß: Rund 55 Milliarden Euro kosten Hackerangriffe jährlich. Und auch die kleinen Unternehmen kann ein Datenverlust hart treffen. Denn zwei von drei Kleinunternehmen können ohne ihre Daten nicht arbeiten – das zeigt eine aktuelle Studie des Datenrettungsspezialisten Kroll Ontrack. Ein Cyberangriff, bei dem systemrelevante Daten beschlagnahmt und verschlüsselt werden, kann daher bei vielen zu Ausfällen und finanziellem Schaden führen.
Kleinunternehmen schützen Daten nicht genug
Wer glaubt, dass Kleinunternehmen daher alles tun, um ihre Daten zu schützen, der irrt: Nur jedes zweite prüft, ob verlorene Daten im Ernstfall wieder herstellbar sind. Ein so leichtsinniger Umgang mit dem Risiko eines möglichen Datenverlusts kann jedoch schwerwiegende Folgen haben. Gehen Daten von einem wichtigen Projekt verloren, kann das den Verlust eines Kunden bedeuten. Sind jedoch systemrelevante Dateien verloren oder korrumpiert, führt das schlimmstenfalls zu finanziellem Ruin. Nämlich dann, wenn die Wiederherstellung der Daten länger dauert als die Zeit, die das Unternehmen ohne Daten überbrücken kann. Laut der Umfrage können nur 17 Prozent länger als eine Woche ohne Daten weiterarbeiten.
Neben wirtschaftlichen Konsequenzen kommen außerdem rechtliche Folgen hinzu. Denn auch für Kleinunternehmen gelten hierzulande einige gesetzlichen Aufbewahrungspflichten für elektronische Unterlagen, dazu zählt das Steuer- und Handelsrecht. „Unternehmen haben danach ihre DV-Systeme gegen Verlust – etwa Unauffindbarkeit, Vernichtung, Untergang und Diebstahl – zu sichern und gegen unberechtigte Eingaben und Veränderungen – beispielsweise durch Zugangs- und Zugriffskontrollen – zu schützen. Werden die entsprechenden Unterlagen nicht ausreichend geschützt und können deswegen nicht mehr vorgelegt werden, ist die Buchführung formell nicht mehr ordnungsmäßig“, weiß Lennart Schüßler, Partner und Datenschutzexperte bei der Kanzlei Bird & Bird. „Die Unterlagen müssen zudem über den gesamten Aufbewahrungszeitraum von bis zu zehn Jahren lesbar bleiben.“
Backup aufsetzen und regelmäßig überprüfen
Damit Unternehmen rechtliche und wirtschaftliche Folgeschäden eines Datenverlusts – sei es durch eine Cyberattacke, aber auch durch Stromausfall, Software- oder Hardwareschäden – umgehen können, sollten sie ihre Daten richtig sichern und dafür sorgen, dass sie im Notfall schnell wieder hergestellt werden können. Nur so können Ausfallzeiten minimiert und der Schaden begrenzt werden. Denn jede Minute Datenverlust kostet. Am einfachsten ist es daher, ein oder besser mehrere Backups aufzusetzen. Ein gutes Backup ist das A und O, denn so lassen sich verlorene Daten einfach ersetzen und neu ins System einspielen. Am geeignetsten dafür sind traditionelle Festplatten, also HDDs, statt schnellere und Chip-basierte SSD-Festplatten. Der Grund ist einfach: Im Falle eines Datenverlusts können Backup-Daten von SSDs nur sehr schwierig, zeitaufwendig oder überhaupt nicht gerettet werden. Außerdem empfiehlt sich ein zusätzliches Backup in der Cloud.
Denn auch Backup-Systeme können mit der Zeit kaputtgehen. Daher sollten Kleinunternehmen Hardware und Software der Speichermedien immer wieder auf Funktionstüchtigkeit prüfen, indem sie zum Beispiel bereits erstellte Backups aufrufen und kontrollieren. Zudem sollten sie mindestens einmal in drei Monaten Tests durchführen, ob es möglich ist, ein Backup in das interne IT-System einzuspielen. Das kann zum Beispiel auf einem dezidierten Testserver oder auf einem ausrangierten Altserver geschehen.
Disaster-Recovery-Plan definieren und auf den Ernstfall vorbereiten
Besser ist es jedoch, wenn das Backup gar nicht erst benötigt wird. So gehört das Erstellen eines Disaster-Recovery-Plans, einem Plan für die Notfallwiederherstellung der gesamten IT-Infrastruktur, unbedingt zur Vorbereitung auf Cyberangriffe dazu. Für den Fall einer Hackerattacke sollte ein separater Absatz definiert werden. Unternehmen sollten Schutzmaßnahmen aufsetzen, damit die Ransomware sich nicht im gesamten Netzwerk ausbreitet, sobald ein Gerät infiziert wurde. Der Plan sollte regelmäßige Sicherheitsupdates beinhalten und vor allem den Mitarbeitern als Anleitung dienen. Denn gerade hier kann menschliches Fehlverhalten Probleme verschlimmern – oder erst verursachen. Ein falscher Klick auf einen Link oder E-Mail-Anhang, und schon beginnt die Schadsoftware mit der Verschlüsselung geschäftskritischer Daten.
Tipps für ein sicheres Verhalten im Netz können leichtsinnigem Umgang mit Daten vorbeugen. Das kann zwar die Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden, etwas senken – ganz verhindern lässt sich das natürlich nicht. Doch selbst, wenn es zu spät ist, kann eine richtige Reaktion den Schaden minimieren. Bemerkt ein Mitarbeiter den Angriff, sollte er den Computer sofort vom Netz trennen, ansonsten droht der Verlust der gesamten Firmendaten. Allerdings bedeutet das nicht, panisch den Stecker ziehen, sondern zu versuchen, das System so normal wie möglich herunterzufahren. Denn bei hochkomplexen virtualisierten Speichersystemen kann es in Folge eines plötzlichen Shutdowns zu zusätzlichen Problemen kommen, die es schwieriger und aufwendiger machen, die infizierten und verschlüsselten Daten wiederherzustellen. Ein Zusammenbruch bewirkt hier, dass die Dateistruktur beschädigt wird. Oft müssen viele kleine Datenfragmente von mehreren verschiedenen Systemen auf einem Gerät rekonstruiert werden. Das macht eine Datenrettung aufwendiger und teurer und hat einige Unternehmen bereits finanziell ruiniert. Um die Wiederherstellung zu vereinfachen, sollte die IT so einfach wie möglich gehalten und Server in punkto Speicherkapazität nicht überreizt werden.
Eskalationsstufen festhalten und Datenrettungsspezialist kontaktieren
Auch sollten in dem Disaster-Recovery-Plan verschiedene Eskalationsstufen festgeschrieben werden: Wann werden die Kosten eines Systemausfalls und damit einhergehend eines Datenverlusts existenzbedrohend für die Firma? Wie hoch ist der Wert der korrumpierten und verschlüsselten Daten? Welche Daten sind wichtiger als andere und wo drängt die Wiederherstellung mehr? Ebenso sollte dort stehen, welche Dienstleister und Lieferanten die Mitarbeiter im Notfall informiert werden müssen. In diesem Zusammenhang empfiehlt es sich auch, einen vertrauenswürdigen externen Datenrettungsspezialisten an der Hand zu haben. Denn Daten lassen sich meist nicht inhouse wiederherstellen. Und gerade Kleinunternehmen können sich keine eigene IT-Abteilung leisten. Ein Spezialist jedoch kennt viele verschiedene Arten von Ransomware und weiß, wie die Daten zu entschlüsseln und in den Originalzustand zu bringen sind. Dieser sollte frühzeitig zu Rate gezogen werden, sobald das infizierte Gerät ausgeschaltet ist. Denn ein neues Einschalten kann dazu führen, dass sich die Schadsoftware ausbreitet und wichtige Informationen schlimmstenfalls für immer verschwunden bleiben. Außerdem sollte auf keinen Fall gefordertes Lösegeld bezahlt werden.
Vor Cyberangriffen wirklich sicher sein kann niemand, nicht einmal mit den besten Sicherheitsmaßnahmen. Doch mit den richtigen Verhaltensregeln können Unternehmen den Schaden der Angriffe minimieren. Zum Beispiel, indem sie regelmäßig Backups anlegen, einen Notfallplan definieren und dafür sorgen, dass sich Daten so schnell und kostengünstig wie möglich wiederbeschaffen lassen. Auf diese Weise machen sie sich weniger abhängig von ihren Daten und können auch mal den ein oder anderen kleinen Ausfall verschmerzen.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.