Standardpasswörter ändern, Backups regelmäßig vornehmen: Oft sind es Kleinigkeiten, die im Kampf gegen Cybercrime helfen.

Nevarpp/iStock/Thinkstock/Getty Images

28.11.17
CFO

5 häufige CFO-Fehler im Kampf gegen Cybercrime

Phishing-Attacken oder Angriffe durch Hacker bereiten vielen CFOs schlaflose Nächte. Dabei gibt es in vielen Unternehmen Lücken im Sicherheitsnetz, die ganz einfach zu schließen wären.

Petya, NotPetya, Wannacry: Es sind Meldungen über Schadsoftware wie diese, die vielen CFOs die Sorgenfalten auf die Stirn treiben. Unter den unterschiedlichsten Risikofaktoren, die ihr Unternehmen gefährden könnten, stufen viele Finanzchefs das Risiko durch Cybercrime-Angriffe als besonders bedrohlich ein.

Frank Hülsberg, der als Senior Partner bei Warth & Klein Grant Thornton den Bereich Governance, Risk & Compliance verantwortet, arbeitet mit Unternehmen Cybercrime-Vorfälle auf und schult sie auch präventiv in sogenannten Risk Assessments. Immer wieder sieht er dabei Fehler, die leicht hätten vermieden werden können. „Auch gut organisierte Unternehmen machen bei der IT-Sicherheit häufig logische Fehler“, beobachtet er.

Fehler 1: Schlechte Datensicherung

Bei vielen Unternehmen gibt es zu wenige Brandmauern, die beispielsweise Sicherungskopien vor Schadsoftware schützen. „Häufig gibt es einen Admin-Server, der sowohl mit den Sicherungskopien als auch mit den operativen Systemen verknüpft ist“, sagt Hülsberg. Ist ein operatives System mit Schadsoftware infiziert, kann diese dann schlimmstenfalls über den gemeinsamen Admin-Server auch Eingang in die Sicherungskopien finden und diese ebenfalls befallen.

Das Unternehmen landet datentechnisch in der Steinzeit.

Frank Hülsberg

Ein weiteres Problem: Weil Speicherplatz knapp ist, lagern viele Unternehmen nur die Sicherungskopien der vergangenen zwei Wochen ein und überschreiben weiter zurückliegende Daten. Das kann bei einem Befall mit Malware dramatische Folgen haben. „Wenn neben den operativen Systemen auch die Sicherungskopien nicht mehr nutzbar sind, landet das Unternehmen datentechnisch in der Steinzeit“, warnt Hülsberg.

Viele Angreifer fordern von einem Unternehmen hohe Beträge in einer Kryptowährung wie Bitcoin, bevor sie den Zugriff auf die Daten wiederherstellen. Oft genug sind sie mit dieser Masche erfolgreich. „Es gibt sogar Unternehmen, die sich Bitcoin-Wallets anlegen, um im Notfall handlungsfähig zu sein“, sagt Hülsberg.

Fehler 2: Unsichere Authentifizierungsverfahren

Beim Online-Banking ist die Zwei-Faktor-Authentifizierung oft schon an der Tagesordnung: Wer mit der Kreditkarte bezahlen will, muss neben seinem Passwort auch eine Pin eingeben, die beispielsweise auf das Handy übermittelt wird. In vielen Unternehmen sieht das noch anders aus. Username und ein starres Passwort reichen für eine ganze Reihe an Anwendungen noch aus.

Mitunter liegt die Nutzung starrer Passwörter daran, dass einzelne Anwendungen eine Zwei-Faktor-Authentifizierung nicht unterstützen. Doch oft genug ist das Argument reine Bequemlichkeit, beobachtet Hülsberg: „Die Zwei-Faktor-Authentifizierung ist komplexer und langwieriger als die Eingabe eines starren Passworts, deshalb sträuben sich viele Mitarbeiter dagegen“, sagt er. „Wir sehen immer wieder, dass Führungskräfte diesen Konflikt nicht austragen möchten und das höhere Risiko der schwächeren Passwörter bewusst in Kauf nehmen.“

Fehler 3: Fehlende Updates und Patches

Wenn Softwareanbieter in ihrem Produkt etwas ausbessern möchten, geschieht dies über Updates oder Patches. Doch viele IT-Leiter schrecken davor zurück, diese auch zeitnah aufzuspielen. „Oft ist die Unternehmens-IT sehr individuell konfiguriert. Dann überwiegt die Sorge, ein Patch könnte dieses fragile Gefüge aus dem Gleichgewicht bringen“, sagt Hülsberg.

Er rät Unternehmen dennoch, sich intensiv mit den jeweiligen Patches und ihrer Wirkung zu beschäftigen. Sonst droht am Ende ein Klumpenrisiko: „Wenn man erst zehn Patches angehäuft hat, die man zeitgleich installieren muss, kann erst recht niemand mehr sagen, wie sich dies auf ein System auswirkt.“

Fehler 4: Schwache Firewalls

Der Einsatz von Anti-Malware-Programmen wie Vierschutzprogrammen und Firewalls ist für Unternehmen selbstverständlich. Doch diese können auch eine falsche Sicherheit suggerieren. „Es gibt technologisch große Unterschiede“, mahnt Hülsberg.

Häufig hätten Unternehmen sogenannte signaturbasierte Anti-Malware-Programme im Einsatz. Diese bedienen sich der Tatsache, dass neue Virenarten in der Regel an einen bereits bekannten Virenstamm angelehnt sind. Das Programm sucht nach Ähnlichkeiten zu diesen Stämmen – erkennt es anhand dieser Muster beispielsweise eine verdächtige Software, kommt diese auf eine Blacklist.

Bei Schutzprogrammen gibt es große Unterschiede.

Frank Hülsberg

Besser als eine Blacklist wäre aus Hülsbergs Sicht aber eine Whitelist: „Alle ankommenden Daten werden dabei nicht auf Muster abgeklopft, sondern aktiv daraufhin überprüft, ob sie Ungewöhnlichkeiten aufweisen.“ Als ungewöhnlich würde das Schutzsystem es beispielsweise einstufen, wenn eine Software den Zugriff auf bestimmte Programme verlangt, der nicht plausibel erscheint. Dadurch fallen auch neue Angriffsmethoden direkt auf, die eine Firewall womöglich erst nach einem Update erkennen würde. Solche Schutzprogramme gibt es bereits am Markt, sie erfordern allerdings etwas mehr Rechenkapazität als signaturbaiserte Anti-Malware-Programme.

Fehler 5: Herstellerpasswörter nicht deaktiviert

Passwörter wie „0000“, „1234“ oder eine Kombination aus Herstellername und Jahreszahl sind häufig voreingestellt, wenn ein neues System ausgeliefert wird. Oberstes Gebot wäre es, das Herstellerpasswort bei der Installation zu deaktivieren und durch ein individuelles Passwort zu ersetzen. Oft genug jedoch passiert dies nicht: „Von 100 Systemen kann man im Durchschnitt auf 10 Systeme noch mit dem Auslieferungspasswort zugreifen“, hat Hülsberg beobachtet.

Gründe dafür gibt es mehrere: Zum einen sind in den Unternehmen Hunderte Systeme im Einsatz – von der komplexen Finanzbuchhaltungssoftware bis hin zur elektronischen Zutrittskontrolle an der Eingangstür. „Vielen Unternehmen fehlt ein übergeordneter Prozess, der genau vorgibt, was bei der Inbetriebnahme jeweils zu geschehen hat“, sagt Hülsberg. Mitunter wird das Zurücksetzen des Passworts auch einfach vergessen. Häufig übernehmen auch Fremdfirmen die Installation und kümmern sich um die Passwortfrage nicht weiter.

Unternehmen sollten vorbereitet sein

Hülsberg rät Unternehmen, sich auf einen Angriff auf die IT strukturiert vorzubereiten. Auch Penetrationstests, bei denen ein unauthorisierter Zugriff auf die Systeme geprobt wird, zeigten häufig sehr eindrucksvoll, wo Schwachstellen liegen. „Oft scheitern die Verantwortlichen schon daran, ihre Vorgesetzten zu informieren“, beobachtet Hülsberg. Denn in der Cloud abgelegte Telefonlisten und Voice-over-IP-Telefone sind im Offline-Betrieb keine Hilfe mehr.

Der Compliance-Experte rät daher zu im Vorfeld ausgearbeiteten Notfallplänen. „Daran können sich im Ernstfall dann alle orientieren. Ein IT-Angriff ist auch mit einer solchen Handreichung belastend genug.“

sabine.reifenberger[at]finance-magazin.de

Mehr Informationen zum Schutz vor Hacker-Attacken und Angriffen durch Schadsoftware finden Sie auf unserer Themenseite Cybercrime.