Dicke schwarze Rauchschwaden stiegen am 10. März 2021 aus einem Gebäude direkt am Rhein in Straßburg. Glutrote Flammen schlugen aus sämtlichen Fenstern – das fünfstöckige Rechenzentrum von OVH, dem größten Cloud-Anbieter Europas, brannte lichterloh. Die 12.000 Server, die dort untergebracht waren, waren nicht mehr zu retten. Auch ein angrenzender Bau wurde zur Hälfte zerstört. Die Folgen dieses Infernos bekamen Millionen von Internetnutzer*innen schnell zu spüren: Denn das Rechenzentrum hatte unter anderem die sensible „Hosted Private Cloud“ beherbergt, in der vor allem große Unternehmen ihre Daten gespeichert hatten. Der Internetdienstleister OVH musste aufgrund des Brandes alle vier Hallen des Rechenzentrums herunterfahren. Ein Zugriff auf die Daten war nicht mehr möglich und so waren schlagartig 3,6 Millionen Websites nicht mehr erreichbar – neben Nachrichtenseiten auch staatliche Portale aus Polen, der Elfenbeinküste, Wales, Großbritannien und Frankreich sowie viele Banken. Am stärksten betroffen waren die französischen Domains: Knapp zwei Prozent aller .fr-Domains weltweit – darunter auch die Regierungswebsite von Frankreich (data.gouv.fr) – gingen offline.
© Photo by PhotoMIX Company on Pexels
Rund 16.000 Unternehmen waren betroffen und für viele von ihnen hatte der Brand fatale Folgen, da ihre Daten wortwörtlich in Flammen aufgegangen waren. Zwar bietet OVH den Service, Daten so abzuspeichern, dass sie beim Ausfall des einen Daten-Centers weiterhin über ein anderes abgerufen werden können. Doch viele Kund*innen hatten auf diese Sicherheit vermutlich aus Kostengründen verzichtet. Besonders hart traf es zum Beispiel den britischen Computerspiel-Entwickler Facepunch: Zunächst ging man dort nur von einer kurzen Störung aus, doch schnell war klar, dass ein Großteil der Daten, die auf 25 Servern bei OVH gelagert hatten, unwiederbringlich zerstört worden waren. Der irreversible Daten-Verlust traf vor allem die Spieler*innen des Survival-Videospiels „Rust“. Das Spiel selbst konnte dank Back-up zwar wieder online gehen, doch sämtlicher Spielfortschritt war dahin. Ein herber Verlust für die Gamer*innen, die teils viel Zeit in das Spiel investiert hatten.
Wenn Daten für immer verschwinden
Nun ist der Verlust von Spieldaten zwar schlimm und für das Unternehmen gegebenenfalls auch mit finanziellen Einbußen verbunden, doch der Schaden bleibt überschaubar. Deutlich problematischer kann ein irreversibler Datenverlust werden, wenn sensible Informationen zu Kund*innen oder bestimmte Branchen wie zum Beispiel Banken und Versicherungen, medizinische Einrichtungen oder öffentliche Ämter und Behörden betroffen sind. Sind Daten hier vorübergehend nicht mehr verfügbar oder gehen unwiederbringlich verloren, drohen kaum absehbare Konsequenzen.
Quelle: Digital Trust Insights 2021, PwC
So hat erst vor wenigen Monaten der Landkreis Anhalt-Bitterfeld den deutschlandweit ersten Cyber-Katastrophenfall ausgerufen, nachdem Hacker das Computersystem angegriffen hatten. Mehrere Server waren infiziert und die darauf befindlichen Dateien verschlüsselt worden. „Wir sind praktisch vollkommen lahmgelegt – und das wird auch in der kommenden Woche so sein“, sagte ein Sprecher des Landkreises. Die Attacke hatte unter anderem zur Folge, dass keine Sozial- und Unterhaltsleistungen mehr ausgezahlt werden konnten. Sicherheitsexpert*innen gingen davon aus, dass es sich bei dem Angriff um einen Erpressungsversuch handelte, bei dem die Daten erst nach Zahlung der geforderten Summe wieder freigegeben werden. Solche sogenannten Ransomware-Angriffe sind laut Bundeskriminalamt (BKA) die zentrale Bedrohung für öffentliche Einrichtungen und Wirtschaftsunternehmen. Allein in Sachsen-Anhalt wurden in den vergangenen sechs Jahren mehr als 20 öffentliche Einrichtungen mittels Ransomware angegriffen und erpresst. Die Hacker nahmen dabei Landesministerien, den Landtag, Krankenhäuser und Polizeidienststellen ins Visier.
© Photo by Pixavbay on Pexels
Banken sind gewappnet
Doch auch wenn die Angriffszahlen durch Cyber-Kriminelle immer noch hoch sind und ständig neue Arten von Cyber-Attacken initiiert werden, sind sich die Unternehmen und Finanzinstitute dieser Gefahr bewusst und steuern aktiv dagegen. So zeigen die „Digital Trust Insights 2021“ von PwC , dass 46 Prozent der Befragten in Deutschland Cyber-Sicherheit in jeder Geschäftsentscheidung verankern. Mehr als die Hälfte der befragten Unternehmen will zudem die Cyber-Budgets erhöhen und ebenso viele nutzen bereits neue Technologien wie Künstliche Intelligenz, um Angriffe abzuwehren.
© Photo by Andrew Winkler on Unsplash
Während Cyber-Sicherheit also bereits einen hohen Stellenwert hat, sichern sich Unternehmen aber oftmals nicht ausreichend gegen andere Angriffspunkte und Gefahren von innen und außen ab. Das kann ein Ausfall im Rechenzentrums sein, aber auch eine andere Form der Betriebsunterbrechung oder etwa volatile Marktentwicklungen, die die Stabilität der IT-Systeme an ihre Grenzen bringen. Banken und Unternehmen müssen solche Risiken im Blick haben und im Zweifelsfall schnell reagieren können. Denn als Teil der kritischen Infrastruktur ist es für Finanzinstitute elementar, dass ihre Systeme reibungslos funktionieren und ihre Geschäftsdaten sowie sensible Informationen von Dritten umfassend geschützt sind.
Auf die eigene Widerstandsfähigkeit setzen
Das klappt allerdings nur dann, wenn sie auf den passenden Mix aus Prävention, Detektion und Absicherung setzen. Dazu gehört, sich vorab mit den potenziellen Gefahren vertraut zu machen, Risiken rechtzeitig zu identifizieren und Notfallpläne zu erstellen, die zusammen mit den passenden Absicherungsmaßnahmen sofort in Kraft gesetzt werden können. Zudem droht Gefahr nicht immer nur von außen, sondern auch Fehler der eigenen Angestellten können fatale Folgen haben: Etwa, wenn Mitarbeitende durch Social Engineering zum Einfallstor für Hacker werden. Oder wenn ihnen bei der Bedienung der Hard- und Software ein Schnitzer unterläuft. Regelmäßige Schulungen und Fortbildungen sind daher ebenso wichtig wie umfassende Sicherheitssoftware. Um alle Bereiche passend abzusichern, sollten Unternehmen und Finanzinstitute daher eine übergreifende Security-Strategie erarbeiten und dabei gezielt auf Cyber-Resilienz setzen.
© Photo by Sina Katirachi on Pexels
Eine solche Strategie baut auf vier Säulen auf, um Informationssicherheit zu gewährleisten:
1. Vertraulichkeit: Daten, Informationen und/oder Ressourcen müssen vor unbefugtem Zugriff geschützt werden.
2. Integrität: Daten, Informationen und Ressourcen müssen vor unautorisierter Veränderung gesichert sein.
3. Verfügbarkeit: Daten, Informationen und Ressourcen müssen möglichst lange zur Verfügung stehen.
4. Belastbarkeit: Systeme, die diese Daten, Informationen und Ressourcen bereitstellen, müssen belastbar und skalierbar sein.
Die Belastbarkeit – oder auch Resilienz – zielt darauf ab, wie widerstandsfähig Banken und Unternehmen im Fall einer Cyber-Attacke oder einer Betriebsstörung sind. Der Begriff der Resilienz ist aber noch weitergefasst: Auch die Maßnahmen, die ergriffen werden, um den Geschäftsbetrieb im Notfall am Laufen zu halten, gehören dazu, ebenso wie die Lehren, die aus der Analyse einer solchen Störung resultieren. Cyber-Resilienz ist damit keine finale Lösung, sondern ein Prozess, der kontinuierlich verbessert werden kann.
