Updates sorgen nicht nur für Funktionsverbesserungen, sondern schließen regelmäßig und immer häufiger auch Sicherheitslücken. Vor allem deshalb sollte man sie nicht hinauszögern, denn der Faktor Zeit spielt hierbei eine erhebliche Rolle. „Je länger man mit solchen Sicherheitsupdates wartet, desto länger ist man nicht oder nur unzureichend gegenüber Cyberangriffen geschützt“, beschreibt Heiko Oberlies, ITK-Referent der IHK Bonn/Rhein-Sieg, das Problem. Um die Gefahr zu verdeutlichen, zieht er eine Parallele zur analogen Welt: „Das ist wie eine Tür zum Bürogebäude, die sich nicht mehr richtig schließen lässt, oder ein Loch im Zaun des Betriebsgeländes“, vergleicht Oberlies. In einem solchen Fall würden Unternehmen meist umgehend Maßnahmen ergreifen, um diese analogen Sicherheitslücken zu schließen. „Ein ähnliches Verhalten“, rät Oberlies, „muss auch in der digitalen Welt Einzug halten, da Cyberkriminelle gezielt nach solchen Lücken Ausschau halten und diese oft schon in den ersten Tagen, manchmal sogar Stunden, ausnutzen.“ In dieser Zeitspanne versuchen sie, ihre Schadprogramme in ungeschützten Systemen zu platzieren. „Daher müssen Unternehmen alle relevanten Update-Prozesse und Sicherheitsinformationen kontinuierlich im Blick behalten, um derartige Angriffsmöglichkeiten zu minimieren“, argumentieren Oberlies und Meyer. Dies umso mehr, als auch automatische Updates nicht zwangsläufig genügend zeitnah erfolgen. IT-Verantwortliche sollten sich daher dringend für den Warn- und Informationsdienst des Computer Emergency Response Teams der Bundesverwaltung (CERT-Bund) registrieren, empfehlen die IHK und das Cyber Security Cluster. So erhalten sie unmittelbar aktuelle Informationen über Sicherheitslücken in Produkten, die im betrieblichen Umfeld zum Einsatz kommen. Dazu gehören auch Updates aus dem Bereich der Betriebstechnologie/Operational Technology (OT) von Industrieanlagen.
Auch Updates sind im Unternehmen Chefsache
Wichtig: IT-Sicherheit sollte unbedingt Chefsache sein. „Verantwortlich sind letztlich die Geschäftsführungen“, betont Oberlies, „sie müssen sich mit solchen Meldungen und Sicherheitsproblemen aktiv auseinandersetzen und entsprechende Vorsorgemaßnahmen implementieren und kontrollieren.“ Wie zahlreiche Fälle in den vergangenen Jahren gezeigt haben, nutzen Kriminelle bekannt gewordene Lücken auch strategisch und fügen Betroffenen mehrfach Schaden zu, wenn diese nicht reagiert haben. „Strategisch“ meint, dass sie eine Sicherheitslücke nicht unmittelbar und einmalig ausnutzen, um zum Beispiel Schadsoftware, Erpressungstrojaner etwa, zu installieren. Stattdessen nutzen einige Cyberkriminelle solche Lücken zunächst dazu, das Unternehmen zu infiltrieren, auszuspionieren und Unternehmensdaten zu stehlen. Erst im Anschluss und teilweise mit mehreren Monaten Verzögerung folgt dann die eigentliche Erpressung mit Verschlüsselungstrojanern. Ein häufiges Szenario ist dabei die Drohung, gestohlene Daten im Internet zu veröffentlichen, falls sich das Unternehmen weigert, das geforderte Lösegeld zu zahlen.
Weitere Informationen und Beratung im Bereich Cyber Security erhalten Unternehmen bei: IHK Bonn/Rhein-Sieg, Heiko Oberlies, oberlies@bonn.ihk.de, und beim Cyber Security Cluster Bonn e. V., Peter Meyer, pmeyer@cyber-security-cluster.eu, sowie im Internet: www.ihk-bonn.de, Webcode @2705, und www.cyber-security-cluster.eu