Kategorien
Cybercrime Blog IT-Sicherheit

Cybersicherheit in kleinen Unternehmen

Cybersicherheit ist längst im Fokus der Unternehmen: Zu lange wurde die IT-Sicherheit im Kontext der Digitalisierung, sei es aus Kostengründen, sei es aus Unwissenheit, vernachlässigt. Während nun größere Unternehmen „aufrüsten“, in Infrastruktur und Schulung investieren, scheuen kleine und kleinste Unternehmen die Kosten. Es entsteht eine gefährliche Schieflage und fernab der juristischen Debatte möchte ich hier einen Einblick geben in – aus hiesiger Sicht sehr einfache – Maßnahmen zum Schutz des eigenen Betriebes.

Unsere Kanzlei hat dabei vorgesorgt, wir sollten zeitweilig bei einem längeren Stromausfall für Sie nahtlos weiter tätig sein können (siehe unten). Wir haben zudem inzwischen einen Notsorgeplan, um unsere Erreichbarkeit sicher zu stellen, wenn elektronische Kommunikationsmittel nicht verfügbar sind.

Veränderte Bedrohungslage

In den letzten Jahren stieg mit Blick auf die Ukraine/Russland-Situation das Bedürfnis nach mehr Cybersicherheit, es zeigte sich früh, dass ein Cyberkrieg im Schatten geführt wurde. Als aus der „Situation“ eine Krise wurde, nahm dies zu, spätestens seitdem es nunmehr ein Krieg ist, hat sich die Cyber-Bedrohungslage drastisch geändert, was umgehend auch das BSI verlautbart hat, auch wenn eine „akute Gefährdungslage“ nicht ersichtlich ist.

Das Gefährdungspotenzial dürfte aktuell mittelbarer Natur sein: Natürlich greift kein ausländischer Geheimdienst den kleinen Bäcker vor Ort an. Diese kindliche Vorstellung eines Cyberkrieges sollte man nicht haben; vielmehr agieren seit je her staatlich mehr oder minder unterstützte Cyber-Gruppen, die zum einen klare Aufträge haben. Diese Gruppen arbeiten und finanzieren sich aber zugleich über Kriminalität fernab politischer Agitation, vorwiegend mit der modernen Geißel digitaler Wirtschaft, der Ransomware.

Und so rutscht dann doch der kleine Bäcker vor Ort in den Fokus, dessen IT-Systeme klein sind, der aber vielleicht standardisiert angreifbar ist (wobei der den Vorteil haben dürfte, nur in Ausnahmefällen an verschlüsselten Daten ein überbordendes finanzielles Interesse zu haben).

Dass der Schutz der eigenen IT bezahlbar ist und man durchaus komplexe Szenarien abbilden kann, möchte ich hier kurz darstellen – indem ich zeige, was wir als Basis-Schutz in der Kanzlei aufgebaut haben. Es ist nicht viel und soll vor allem als Gedankenstütze dienen für die, die bisher nichts oder zu wenig tun.

Schritt 1: Backups

Es ist seit Jahrzehnten nichts besonderes, bis man es braucht und merkt, dass man sich nicht darum gekümmert hat: Pflegen Sie Ihre Backups!

Unsere Backups sind sauber getrennt, nach (nicht personenbezogenen) dauerhaft benötigten Daten und Mandanten-Daten, um -Konform unterschiedliche Aufbewahrungsfristen zu haben. Die dauerhaft benötigten Daten werden täglich und auf mindestens 1 Jahr rückwirkend gespeichert; dies in rotierenden Backups, also auf verschiedenen Backup-Medien auf externen Datenspeichern – dazu gehört unsere seit den 1990ern gepflegte kanzleiinterne Urteils-/Aufsatzdatenbank, eine tägliche Spiegelung der Inhalte der Kanzleiwebseite, interne Formulare und Mustertexte. Dazu ein rsync-gesteuertes voll verschlüsseltes tägliches Backup, via SSH, auf einen gesonderten Server. Zugegeben, für letzteres wird man brauchbare Unix/Linux-Kenntnisse mitbringen müssen, wenn man es selber macht. Inzwischen werden die nicht-personenbezogenen Daten sogar regelmäßig auf Bluray-Medien gesichert.

Denken Sie daran, Ihre Sicherungskopien zu testen, einmal monatlich werden bei uns vorhandene Sicherungen stichprobenartig durchgeprüft, regelmäßig ein Zurückspielen getestet.

Schritt 2: Schatteninfrastruktur

Wir halten tatsächlich eine vollständige „Schatteninfrastruktur“ bereit. Das sind sofort einsatzfähige Geräte, mit denen jeder Arbeitsplatz vollständig ausgetauscht werden kann und die bis dahin von der bisherigen Infrastruktur vollständig getrennt sind. Das klingt aufwendig, ist es aber gerade für kleine Betriebe nicht: Wenn man wenig Arbeitsplätze hat, sind damit überschaubare Kosten verbunden. Sinnvoll ist, auf langfristig werthaltige Hardware zu setzen, also etwa für jeden Arbeitsplatz ein Macbook Pro bereitzuhalten, damit man nach einmaliger Anschaffung auf Jahre nur Updates einspielen muss, um einsatzbereit zu sein.

Das ist eine zwar mit Kosten verbundene, aber sehr überschaubare Maßnahme, die im Fall der Fälle (dem Befall der IT-Infrastruktur mit Malware) zumindest ein kurzfristiges Weiterarbeiten ermöglichen sollte. Allerdings sollte man wenn, dann einplanen, auch wirklich die komplette Hardware auszutauschen, von den Rechnern angefangen bis zu jedem Router und jeder evt. vorhandenen externen Festplatte und NAS. Ohne strukturellen Überblick kann das nicht funktionieren.

Schritt 3: Firewall

Eine gute -Lösung muss kein Vermögen Kosten. Es gibt bereits brauchbare Lösungen „Out-of-the-Box“ für wenige hundert Euro, die auch wir früher eingesetzt haben. Wer brauchbares Netzwerk-Wissen mitbringt, hat aber heute ganz andere Möglichkeiten.

Ich habe längst einen Raspberry Pi mit IPFire versehen, der zwischen unsere Infrastruktur und den Internetzugang geklemmt ist. Dies kann durchaus auch mit PiHole kombiniert werden, muss aber nicht sein, ist halt noch was komplizierter. Einmal eingerichtet hat man eine solide Lösung, die einfach zu pflegen ist und einen ansehnlichen Basisschutz bietet.

Übrigens sollte bei einer Firewall auch an die Webseite gedacht werden, was aber viele normale Nutzer überfordert. Fragen Sie Ihren Dienstleister – der Server sollte ModSecurity und Fail2Ban (vernünftig konfiguriert) einsetzen und für viele Systeme wie WordPress gibt es kostenlose Software-Lösungen mit einem absoluten Basisschutz, etwa einer Login-Sperre bei zu vielen Fehlversuchen.

Schritt 4: USB-Sticks

Das ist der einfachste Schritt: Wir haben Sie nicht im Einsatz. Punkt. An normalen Arbeitsplätzen wurden USB-Ports intern abgeklemmt, um Ausnahmen auszuschliessen.

Schritt 5: 2Faktor

Nutzen Sie eine 2-Faktor-Lösung und bedenken Sie die Risiken dabei. Insbesondere bei Cloud-Lösungen ist zwingend ein zweiter Faktor neben Login-Daten zu verwenden.

Schritt 6: Cyberversicherung

Schließen Sie eine Cyberversicherung ab. Im Rahmen des Vertragsabschlusses werden einige der auch hier thematisierten Mechanismen abgefragt und die Kosten sind mit um die 1000 Euro zwar für kleine Betriebe spürbar, aber für einen laufenden Betrieb wohl durchaus zu verkraften. Moderne Versicherungen schützen dabei sogar gegen CEO-Fraud, DSGVO-Schadensersatz und einen Missbrauch der eigenen Telefonanlage.

Schritt 7: Stromversorgung

Die beste IT bringt nichts, wenn man keinen Strom mehr hat. Wie realistisch das Szenario ist, dass – etwa aufgrund eines Cyberangriffs – plötzlich und zumindest für einige Stunden oder sogar länger der Strom ausfällt, dürfte schwer zu beurteilen sein. Das Risiko aber ist offenkundig vorhanden und aus meiner Sicht gehört spätestens, wenn die Tagesschau schon 02/2022 berichtet hat, auch hier ordentliche Planung dazu. Und da sich inzwischen die seriösen Meldungen verschärft haben und auch der Städte- und Gemeindebund Alarm schlägt, sollte man dies ernst nehmen (zumindest derzeit).

Und auch dies ist wenig aufregend: Wir haben für alle Homeoffice-Arbeitsplätze Powerbanks angeschafft, die in der Lage sind, ein Macbook Pro fast 2x vollständig aufzuladen. Zudem sind mobile Solarpanels vorhanden, die in der Lage sind, bei brauchbarem Sonnenschein diese Powerbanks aufzuladen und zumindest tagsüber eine Grundversorgung sicherzustellen. Für Notfälle im Winter ist zudem – an sicherem Ort für Notfälle aufbewahrt – ein sehr einfacher Notstromaggregator samt Sprit in Kanistern für eine Woche vorhanden. Zur Sicherung der Mobilität sind sowohl normale Fahrräder als auch moderne eBikes vorhanden.

Hinweis zu den Solarpanels: Wer es ernst nimmt, investiert in ernsthafte Lösungen. Die auffällig günstigen Lösungen aus dem Internet haben alle Probleme verursacht, schon weil die Leistung wirklich mau war. Wir haben mobile Panels, die jeweils gut 800 Euro gekostet haben und bei voller Sonneneinstrahlung mehrere Geräte gleichzeitig versorgen konnten (im Test: Fernsehen und 2 Macbook Pro).

Der Internetzugang wird über eine WIFI-Box mit SIM-Karte sichergestellt, es gibt inzwischen sogar PrePaid-Angebote mit umfangreichem Datenvolumen, die man einmal abschließt und bei denen dann erst im Bedarfsfall Kosten entstehen (was natürlich wenig bringt, wenn auch Handysendemasten mangels Stromversorgung ausfallen, das liegt auf der Hand, auch hier gilt nun mal: 100% gibt es nicht).

Insgesamt sollten mit unserer Lösung bis zu 72h vollständiger Strom-Ausfall hinnehmbar zu überbrücken sein, Gesamtkosten einmaliger Anschaffung: unter 2000 Euro. Wobei diese Preise sich auf das Frühjahr 2022 beziehen, zum Herbst 2022 sind viele der hier benannten Produkte nicht oder drastisch verteuert :(

Ob es einem das wert ist, muss man selber abwägen, wir wollen im Fall eines Stromausfalls jedenfalls sofort handlungsbereit sein. Und zugegeben, wie wir immer sagen „Wir lieben Technik“, natürlich machen wir so etwas auch mit einer gewissen Begeisterung …
Dabei müssen Anwälte sich ernsthaft die Frage stellen, wie sie damit umgehen wollen, zwangsweise an ein stets empfangsbereites elektronisches (fristen auslösendes!) Postfach angebunden zu sein, das sie vielleicht in kritischen Phasen dann nicht abrufen können. Wir selber haben ein einfaches Backup in Form schriftlicher Akten, bei uns wurden die Arbeitsprozesse bewusst nie vollständig digitalisiert – wenn ein Stromausfall ernsthaft länger dauert, sind wir nahtlos einsatzbereit.

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)