Spätestens seit WannaCry, einer Ransomware, die im Mai dieses Jahres unzähligen Firmen den Zugriff auf ihre Daten verwehrte und wichtige Prozesse lahmlegte, ist klar: Unternehmen stehen in einer existenziellen Abhängigkeit von ihren Unternehmensdaten. Ohne Zugriff auf ihre Daten können 67 Prozent von ihnen gar nicht oder nur wenige Stunden produktiv arbeiten, ohne wirtschaftlichen Schaden zu erleiden, wie eine aktuelle Umfrage unter Kleinunternehmern zeigt.
Neben wirtschaftlichen Konsequenzen eines möglichen Datenverlusts kommen aber auch rechtliche Folgen auf die betroffenen Unternehmen zu. Denn auch für Kleinunternehmen gelten in Deutschland eine Reihe an gesetzlichen Aufbewahrungspflichten insbesondere des Steuer- und Handelsrechts – auch für Unterlagen in elektronischer Form.
„Unternehmen haben danach ihre DV-Systeme gegen Verlust – etwa Unauffindbarkeit, Vernichtung, Untergang und Diebstahl – zu sichern und gegen unberechtigte Eingaben und Veränderungen – beispielsweise durch Zugangs- und Zugriffskontrollen – zu schützen. Werden die entsprechenden Unterlagen nicht ausreichend geschützt und können deswegen nicht mehr vorgelegt werden, ist die Buchführung formell nicht mehr ordnungsmäßig“, weiß Lennart Schüßler, Partner und Datenschutzexperte bei der Kanzlei Bird & Bird.
Zur Person
Michael Nuncic, Marketing Communications Manager, bei dem Datenrettungsspezialisten Kroll Ontrack.
„Die Unterlagen müssen zudem über den gesamten Aufbewahrungszeitraum von bis zu zehn Jahren lesbar bleiben.“ Dennoch prüft nur jedes zweite Unternehmen, ob die im Backup gesicherten Daten im Notfall schnell wiederherstellbar sind. Dabei kann bereits ein lapidarer Stromausfall zum Verlust geschäftskritischer Daten führen. Unternehmen sollten deshalb im Sinne der Prävention und Wiederherstellbarkeit von Daten bei der Sicherung einige Dinge beachten.
IT-Infrastruktur übersichtlich halten und Server nicht überreizen
Zunächst einmal sollte die IT-Infrastruktur so simpel wie möglich aufgebaut sein. Denn je komplizierter die Technik ist, die Unternehmen im Betrieb einsetzen, desto schwieriger wird auch die Datenrettung. Bei hochentwickelten High-End-Storage-Lösungen wirken meist mehrere Technologien aufeinander, sodass im Falle eines Datenverlusts viele verschiedene Ebenen nacheinander rekonstruiert werden müssen, ehe man letztendlich zu den Daten gelangt.
Wer zum Beispiel seine Festplatten zu stark virtualisiert und mehr Speicherplatz simuliert, als physikalisch tatsächlich vorhanden ist, dem droht im Ernstfall ein sehr komplizierter und teurer Wiederherstellungsprozess. Denn ein Zusammenbruch bewirkt hier, dass viele kleine Datenfragmente von mehreren verschiedenen eingesetzten Technologien auf einem System rekonstruiert werden müssen. Solche Fälle haben bereits einige Unternehmen finanziell ruiniert.
Notfallplan definieren und auf den Ernstfall vorbereiten
Doch auch die beste IT kann zusammenbrechen. Kein Unternehmen kann sich vor Technikversagen schützen – aber es kann sich darauf vorbereiten. Für Störungen und besonders für Datenverlustfälle sollte daher ein Notfall-Businessplan definiert werden, mit dem die IT entweder sofort wieder zum Laufen gebracht werden kann oder auf ein Notfallsystem gewechselt wird. In dem Plan sollte festgeschrieben werden, wo die Risiken liegen, wer im Ernstfall verantwortlich ist, welche Lieferanten informiert werden müssen und wo die Belegschaft weiterarbeiten kann, wenn die IT versagt.
Neben organisatorischen Dingen sollte ein Notfallplan aber auch eine Kosten- und Folgenabschätzung beinhalten.
- Wann werden die Kosten eines Systemausfalls existenzbedrohend für die Firma?
- Wie hoch ist der Wert der Daten?
- Welche Daten sind wichtiger als andere?
- Wie lange kann das Unternehmen ohne Zugriff auf seine Daten arbeiten?
Basierend auf dieser „Schmerzgrenze“ sollte auch berechnet werden, wie lange ein Ausfall und eine Wiederherstellung dauern darf. Unternehmen sollten sich hier darüber bewusst sein, dass sie nur in den seltensten Fällen selbst aktiv Daten wiederherstellen können – zum Beispiel mit einer Do-it-yourself-Software, wenn Daten versehentlich von Mitarbeitern gelöscht wurden. Bei Hardware-Schäden muss jedoch ein Spezialist zu Rate gezogen werden. Und das kann eine Zeit dauern. Dementsprechend sollten Unternehmen abschätzen, wie viel eine Datenwiederherstellung kosten darf, ohne dass sie dadurch und durch die Betriebsunterbrechung in finanzielle Schwierigkeiten kommen.
Angriffsziele von aufsehenerregenden Cyberangriffen
Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.
Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.
Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.
In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.
Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.
Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.
APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.
Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.
Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.
Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.
Zur Vorbereitung auf den Ernstfall gehört selbstverständlich auch das Aufsetzen eines Backups. Am besten ist ein System, das eine große Verbreitung im Markt hat, sodass permanent neue Upgrades und Funktionsverbesserungen sowie Treiberunterstützungen zur Verfügung stehen. Auch sollte das Backup im Idealfall außerhalb des Unternehmens aufbewahrt werden. So sind sie im Falle eines Zusammenbruchs der internen IT noch intakt. Besonders Magnetbänder, sogenannte Tapes, gelten als besonders langlebig und kostengünstig. Allerdings sollten sie trocken und bei einer bestimmten Raumtemperatur gelagert werden, damit sie auch nach Jahren noch funktionieren. Es empfiehlt sich ebenfalls, mehrere verschiedene Backup-Arten aufzusetzen.
Ein Backup aufzusetzen und täglich Daten zu sichern, ist gut und richtig – das allein genügt aber nicht. Und klar sollte sein: Trotz Backup können Daten verloren gehen. Daher sollten Unternehmen mindestens einmal in drei Monaten Tests durchführen, ob ihr Backup noch in das interne IT-System eingespielt werden kann. Dafür können sie beispielsweise einen dezidierten Testserver oder einen ausrangierten Altserver verwenden.
Wenn das Backup versagt und Daten verloren sind, sollte das betroffene System beziehungsweise der betroffene Speicher so schnell wie möglich ausgeschaltet werden, um den Schaden zu minimieren. Damit wird verhindert, dass das Betriebssystem neue Daten genau an der Stelle speichert, auf dem die verlorenen Originaldateien abgelegt wurden. So schnell wie möglich bedeutet hier aber nicht, sofort den Stecker zu ziehen. Besser ist es, das System möglichst normal herunterzufahren.