Regelmäßige Updates schützen vor Cyberangriffen

8.670 neue Malware-Varianten zählte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai 2022 – ein ganz normaler Monat in der behördlichen Statistik der IT-Bedrohungen. Jeden Monat werden tausende neue Variationen von schädlichen Programmen bekannt. Viele dieser Malware-Varianten nutzen Sicherheitslücken in Betriebssystemen und anderer Software aus und verschaffen Cyberkriminellen Zugriff auf eigentlich geschützte Systeme. Regelmäßige Software-Updates tragen erheblich zum Schutz vor Angriffen bei.

Hacker sind findig und schnell. Sobald eine Sicherheitslücke in einem Betriebssystem bekannt wird, beginnt garantiert irgendjemand irgendwo auf der Welt damit, Wege zu finden, wie er sie zu seinem Vorteil nutzen kann. Zum Beispiel, um sensible Unternehmensdaten zu stehlen. Oder um Ransomware zu installieren: Erpressungssoftware, die das System verschlüsselt, bis die Opfer Lösegeld zahlen. Besonders im Visier der Cyberkriminellen sind Unternehmen, die viele persönliche Daten in ihren Systemen speichern – so auch E-Learning-Anbieter mit den wertvollen Daten ihrer Lernenden. Um solche Angriffe zu verhindern, veröffentlichen Software-Unternehmen immer wieder Updates und sogenannte Patches, die Sicherheitslücken möglichst schnell nach Bekanntwerden schließen. Wer mit Software-Updates zu lange wartet, geht deshalb ein großes Risiko ein – nicht nur, weil die veraltete Software Sicherheitslücken enthält, sondern vor allem, weil die Lücken unter Hackern bereits bekannt sind.

Damit die regelmäßigen Updates im Unternehmen zur Routine werden, ist ein wenig Vorarbeit und Planung nötig. So gilt es zum Beispiel, alle Software-Komponenten gut im Blick zu behalten, damit nicht etwa ein Update der Office-Software dazu führt, dass sich eine Schnittstelle zu einer firmeneigenen Anwendung schließt. Im Idealfall beginnt dieser Prozess, bevor Software angeschafft wird. Je weniger unterschiedliche Komponenten miteinander funktionieren müssen, desto einfacher ist es, sie auf dem neuesten Stand zu halten. Ebenso wichtig sind regelmäßige Zyklen, um aktiv zu prüfen, welche Systeme aktualisiert werden müssen. Ein standardisierter Prozess stellt sicher, dass das Thema nicht aus dem Blick gerät. Maximale Sicherheit bieten zudem regelmäßige „Pen-Tests“, die Schwachstellen und potenzielle Einfallstore für Cyberkriminelle identifizieren.

Der beste Nachweis für die Sicherheit des IT-Systems sind regelmäßige Pen-Tests. „Pen“ steht für „Penetration“, also das Eindringen in System. Bei einem Pen-Test schlüpfen spezialisierte Dienstleister in die Rolle von Cyberkriminellen. Sie prüfen, wie es Außenstehenden gelingen könnte, in die unternehmenseigenen Systeme einzubrechen und Zugriff auf geschützte Daten zu erlangen. Natürlich geht jedem Pen-Test ein ausführliches Gespräch voraus – der simulierte Angriff wird vorher genau durchgesprochen. Tipp für die Suche nach einem Dienstleister: Das Bundesamt für Sicherheit in der Informationstechnik hat ein eigenes Zertifikat für Pen-Test-Anbieter entwickelt und listet alle zertifizierten Anbieter auf.

Das sicherste System bietet wenig Schutz, wenn sich nicht auch all diejenigen schützen, die darauf zugreifen können. Und das sind häufig viele: Cloud-Anbieter, externer IT-Support, Entwickler von Lernmanagement-Systemen. Welche Folgen Sicherheitslücken bei Dienstleistern haben können, zeigte zum Beispiel 2017 ein spektakulärer Cyberangriff auf die Bank UniCredit. Hackern war es gelungen, Kontodaten von mehr als 400.000 Kund*innen zu stehlen. Den Zugriff hatten sie über einen „unautorisierten Zugang durch einen italienischen Dienstleister“ erhalten. Vertragliche Vereinbarungen mit Dienstleistern können solche Risiken minimieren. Darin verpflichten sich die Dienstleister zu hohen, regelmäßig nachgewiesenen Sicherheitsstandards – wie zum Beispiel die stetige Aktualisierung sämtlicher verwendeten Software.

Gelingt es Hackern, bei einem Cyberangriff sensible Daten zu erbeuten, geht der Schaden schnell in die Millionen. Letztes Jahr schätzte der Branchenverband Bitkom, dass der deutschen Wirtschaft jedes Jahr durch Cyberattacken Schäden von mehr als 220 Milliarden Euro entstehen. Und hier sind die Folgen der beschädigten Reputation noch gar nicht eingerechnet, wenn etwa sensible Daten von E-Learning-Teilnehmenden in die falschen Hände geraten sind. Ein guter Grund mehr also, um bei der Softwareaktualisierung die Nase vorn zu behalten: Die Maßnahmen wenden nicht nur finanzielle Schäden ab, sondern erhalten auch das Vertrauen ins Unternehmen.