Cyberangriff Wannacry verdeutlicht Erfordernis aktueller IT-Sicherheit

Ende vergangener Woche erfasste der Cyberangriff Wannacry weltweit über 200.000 Computer, darunter auch solche der Deutschen Bahn in Deutschland. So war es Medienberichten zu entnehmen. Ermöglicht wurde das Eindringen der Schadsoftware dadurch, dass in den betroffenen Netzwerken ein aktuelles Sicherheitsupdate von Windows noch nicht installiert war. Glücklicherweise gelang es, eine weitere Ausbreitung der Ransomware mittels eines Kill Switches zu verhindern. Gleichwohl offenbart der Vorfall erhebliche Lücken in der Sicherheitsarchitektur zahlreicher Behörden und Unternehmen. Mehr noch wirft er die Frage auf: Wenn auf etlichen Computern der geschädigten Organisationen nicht einmal regelmäßig Windows-Sicherheitsupdates installiert werden, wie ist es dann um aufwendigere Sicherheitsmechanismen bestellt? Und wie viele Betroffene sind zu befürchten, wenn entsprechende Schwachstellen ausgenutzt werden?

Unabhängig von den Prognosen hierzu lassen sich aus dem aktuellen Cyberangriff Wannacry nach Einschätzung unserer Praxisgruppe für IT-Recht bereits drei Schlüsse ziehen:

I. Die Einschläge kommen näher

Berichteten wir zuletzt noch im Januar von älteren Vorfällen und dem Hackerangriff auf ein Stromnetz in der Ukraine, haben wir es jetzt mit einer Cyberattacke zu tun, die gerade auch westeuropäische Unternehmen ins Visier nimmt. Das sollte endgültig klar machen, dass die Bedrohungslage nicht erst hinter den Karpaten beginnt, sondern auch die heimische kritische Infrastruktur betrifft. Entsprechend deutlich äußerte sich auch BSI-Präsident Arne Schönbohm in einer Presseerklärung:

„Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.“

II. Update auch für das IT-Sicherheitsgesetz

Neben der Sicherheitsgefahr an sich liefert nun laut Presseberichten Verkehrsminister Dobrindt einen weiteren Impuls, um die derzeitigen Sicherheitsvorkehrungen zu erhöhen. Kommt es zu der angekündigten Verschärfung des IT-Sicherheitsgesetzes, wird auch der rechtliche Rahmen Versorgungseinrichtungen einmal mehr eine Überprüfung ihrer IT-Sicherheitsarchitektur abverlangen. Unsere zuständige Praxisgruppe wird die Entwicklung aufmerksam verfolgen.

III. IT-Sicherheit hängt auch von der IT-Kompetenz der Mitarbeiter ab

Es wäre verkürzt zu behaupten, der Cyberangriff Wannacry sei ausschließlich durch verspätete Windows-Sicherheitsupdates begünstigt worden. Denn auf die attackierten Computer konnte die Ransomware überhaupt erst dadurch gelangen, dass sie versteckt in E-Mail-Anhängen an Mitarbeiter der betroffenen Unternehmen geschickt wurden, die die Adressaten geöffnet haben. Dabei zählt der schadhafte E-Mail-Anhang zu den Klassikern, um sich Zugang zu einem fremden System zu verschaffen. Insofern ist es bezeichnend, dass selbst hier offenbar länder- und branchenübergreifend noch der nötige Argwohn fehlt, um mit E-Mails von unbekannten Versendern äußerst vorsichtig umzugehen.

Wenn jetzt im Anschluss an den Vorfall die IT-Abteilungen in Rundmails zu mehr Achtsamkeit ermahnen, dann ist das gewiss ein wichtiger Schritt. Restlos geschlossen wird die Sicherheitslücke eines zu unbekümmerten Umgangs mit IT-Anwendungen damit freilich noch nicht. Denn E-Mail-Anhänge sind bei Weitem nicht die einzigen Vehikel, mit denen sich ein Brückenkopf in fremden Systemen einrichten lässt. Gut denkbar ist es beispielsweise, dass der nächste Angriff über mobile Geräte lanciert wird, die Mitarbeiter an ihren Desktop-PCs im Büro zum Laden anschließen. Und selbst wenn es gelingt, alle Mitarbeiter umfassend über die vielfältigen Stellen im Betriebsablauf aufzuklären, an denen besondere Vorsicht geboten ist, muss diese Aufklärungsarbeit regelmäßig aufs Neue erbracht werden. Sonst fehlt zumindest neuen Kollegen das Know-how.

Unsere Praxisgruppe empfiehlt vor diesem Hintergrund, ein Modul zur IT-Sicherheit in das unternehmensinterne Schulungskonzept zu integrieren, statt sich an diesem Punkt bloß mit routinemäßigen Appellen der IT-Abteilung zu begnügen.

Ansprechpartner


RA Dr. Henrik Bremer
h.bremer@wr-recht.de
Fachanwalt für Steuerrecht
Wirtschaftsprüfer, Steuerberater