Bereits Ende Februar 2022 hat das BSI einen „Maßnahmenkatalog Ransomware“ veröffentlicht, der Unternehmen die Prävention von Ransomware-Vorfällen erleichtern soll. Ein Blick in das kurzweilig lesbare Dokument empfiehlt sich – sowohl für IT wie auch für die Geschäftsführung.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Auf gut 20 Seiten erläutert das BSI, schrittweise aufgebaut, wie man vorgehen sollte. Dabei geht man nach einer einfachen und damit eingängigen Struktur vor:
- Was soll man auf Servern tun: Hier steht der Umgang mit Mails natürlich ganz oben, gefolgt von Ratschlägen wie proaktiver Prüfung welche Dienste/Ports freigegeben sind, ob die Admin-Zugänge im Blick sind und dass Remote-Zugänge abgesichert sind.
- Bei den Clients dann stehen die Mails etwas weiter unten, dafür kommen Aufgaben wie Prüfung des Umgangs mit Skripten, Installation von Updates und Virenschutz.
- Interessant wird es bei den weitergehenden Schutzmaßnahmen, die ausdrücklich zwar empfohlen werden, damit aber nicht als zwingend eingestuft sind.
In Teilen bin ich etwas überrascht, denn mit diesen Worten leitet das BSI den Abschnitt weitergehender Schutzmaßnahmen ein:
Weiterhin können folgende Punkte sinnvoll sein, um die Reaktion auf einen Vorfall zu verbessern, die Betroffenheit einzuschränken oder Schwachstellen zu erkennen
Wenn man dieses Arbeitspapier als zumindest faktische Standardisierung von IT-Sicherheitsmaßnahmen betrachtet, dann befinden sich in diesem Abschnitt die Dinge, die zwar nicht zwingend sind – aber die Grenze zur Fahrlässigkeit überschreiten können. Dabei ist teilweise überraschend, was hier als „nur empfohlen“ auftaucht:
- Zentrales Logging (HTTP-Proxy-Log, DNS-Logs, Sysmon)
- Systeme härten (Verweis auf SiSyPHuS Win10)
- Netzwerke segmentieren
- Erkennung von Ransomwareangriffen auf Fileservern (mit Verweis auf den Win-Ressourcen-Manager für Datei-Server)
- Anomalie-Detektion
- Schwachstellenscan und Penetrationstest
Gerade Penetrationstests gehören in kritischen oder sensiblen Umgebungen sicherlich schon jetzt zur best Practice, es dürfte kaum denkbar sein – solche Umgebungen unter Verzicht auf einen PenTest dauerhaft ohne erhöhtes Haftungsrisiko zu betreiben ist für mich nicht denkbar. Selbiges gilt für die Segmentierung von Netzwerken.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.