IT-Sicherheit im Kulturbetrieb
Der Kulturbetrieb digitalisiert sich zunehmend – Online-Angebote, Apps, VR-/AR-Anwendungen, Homeoffice, Digitalisierung der Sammlung, Besuchersteuerung. Das bringt auch eine Erweiterung der Angriffsmöglichkeiten für Hacker mit sich. Was aber heißt das eigentlich, und inwieweit ist die Sicherheit der in einer Kultureinrichtung eingesetzten IT-Systeme Aufgabe der Leitungsebene und nicht der IT-Abteilung?
Wie können sich Angreifer Zugang zu Ihren IT-Systemen verschaffen?
Bei den allermeisten Cyberangriffen geht es darum, sich Zugang zu einem IT-System zu verschaffen, um an dort gespeicherte Informationen zu gelangen oder Kontrolle über das System oder Teile von ihm zu bekommen.
Um sich Zugang zu Ihren IT-Systemen zu verschaffen, kann ein Angreifer die Systeme selbst angreifen und versuchen, ihre technischen Schwachstellen auszunutzen.
Dieser Weg ist aber relativ aufwendig. Der oftmals einfachere und deshalb beliebtere Weg besteht darin, das Verhalten der Menschen auszunutzen, die Zugang zu Ihren Systemen haben. Das sind Ihre Mitarbeiter:innen, das sind Sie selbst und das ist jede:r, dem Sie Zugang gewähren oder irgendwann einmal gewährt haben, ohne diesen wieder entzogen zu haben.
Ihr Verhalten lässt sich ausnutzen, indem man sich den Umstand zunutze macht, dass sie Maßnahmen unterlassen haben, die sie schützen würden. Hier geht es um alles, was man aus Sorglosigkeit, aus Nachlässigkeit, aus Bequemlichkeit, aufgrund von Zeitdruck und Stress oder aufgrund fehlender Ausstattung u.Ä. unterlässt, z.B. um Passwortsicherheit oder darum, die Festplatte des Notebooks zu verschlüsseln, Bildschirmsperren zu aktivieren, die Bürotür abzuschließen, Notebooks nicht unbeobachtet zu lassen oder vertrauliche Informationen nicht unverschlüsselt zu versenden.
Das Verhalten der Menschen, die Zugang zu Ihren Systemen haben, lässt sich auch ausnutzen, indem man ihr Vertrauen ausnutzt und sie dazu bewegt, im guten Glauben etwas zu tun, was sie in voller Kenntnis der Umstände nicht tun würden. So könnten sie etwa dazu veranlasst werden, die eigenen Zugangsdaten auf einer gefakten Website einzugeben, vertrauliche Informationen an Unbefugte weiterzugeben oder sich als bereits am System angemeldete Nutzer:innen Schadsoftware (Malware) in den eigenen Account zu holen und zwar auf den Wegen, auf denen sie sich sonst Daten und Anwendungen auf den Rechner laden können (Mail-Anhänge, Downloads, USB-Sticks). Stichworte sind hier Trojaner, Viren, Würmer, Backdoors, Ransomware, Spyware, Keylogger u.ä. Dabei entsteht, anders als der Name Schadsoftware suggeriert, für die einzelnen Nutzer:innen oft erstmal gar kein sichtbarer Schaden. Die installierte bzw. aktivierte Malware verbindet sich häufig erstmal zurück zu einem Server des Angreifers und eröffnet diesem einen Zugang auf das System, über den er weitere Schadsoftware nachladen oder jederzeit unbemerkt auf das System zugreifen kann.
Was tut ein Angreifer, wenn er sich Zugang verschafft hat?
Hat der Angreifer über ein Passwort oder Malware Zugang zum Account eines:r Nutzer:in, hat er auf den ersten Blick zwar nur Zugang zu diesem einen Account. Genauer besehen handelt es sich aber um seinen ersten Zugang in das Zielsystem selbst. Wie tief er dort schon eingreifen kann, hängt davon ab, wie die Organisation ihre Rechtevergabe geregelt hat. In jedem Fall kann er alles machen, was die betreffende Person in diesem Netzwerk auch machen kann. Sollte ihm das nicht reichen, hat er zahlreiche Möglichkeiten, von diesem Account aus seine Befugnisse vertikal oder horizontal zu erweitern und sich im Zielsystem weiter zu hangeln, bis er Zugriff auf die Bereiche hat, an die er rankommen möchte, und am Ende vielleicht sogar auf das gesamte Netzwerk.
Der:Die betroffene Nutzer:in sollte es dabei nicht persönlich nehmen, dass der Angreifer gerade seinen:ihren Account genutzt hat. Das ist lediglich die Tür, durch die er am leichtesten reingekommen ist. Man kann eben auch dann interessant sein, wenn man meint, man habe nichts zu verbergen. Oftmals ist man es gerade dann.
Welchen Schaden kann ein Angreifer dann anrichten?
- Zu denken wäre zunächst an die personenbezogenen Daten, die in einer Kultureinrichtung anfallen. Je nachdem, wie und wo Sie die personenbezogenen Daten Ihrer Mitarbeiter:innen, die Anmeldedaten Ihrer Besucher:innen, Ihrer Abonnenten:innen, Ihrer Freunde und Förderer gespeichert haben, haben auch Angreifer die Möglichkeit, an sie heranzukommen.
- Ob und inwieweit Sie ansonsten Informationen haben, die besonders schützenswert sind, wissen nur Sie selbst. Wenn ein Angreifer Zugang zu Ihrem System hat, wird er aber auch das herausfinden.
- Zahlreiche Kultureinrichtungen verfügen über hohe und zum Teil hoch versicherte materielle Werte, die durch eigene Zugangs- und Alarmsysteme gesichert sind. Auch zu diesen müssen Menschen aus Ihrer Organisation Zugang haben. Auch zu diesen kann sich also auch ein Angreifer Zugang verschaffen.
- Das eigentliche Ziel eines Angriffs müssen gar nicht Sie selbst sein. Kultureinrichtungen sind Teil eines weit verzweigten Netzwerks, zu dem auch Stiftungen, Banken, Unternehmen und private Förderer gehören, aber auch die Netze der Länder und des Bundes. An besser gesicherte Ziele kommt man am besten über die weniger gesicherten Partner ran. So könnte ein Angreifer beispielsweise aus Ihrem System heraus Mails mit schädlichen Anhängen oder Links auf manipulierte Websites versenden und damit das Vertrauen ausnutzen, das Ihre Kontakte in Sie haben.
- Wenn der Angreifer Kontrolle über Ihr System hat, kann er einfach auch Ihren Betrieb lahmlegen. Dabei muss es ihm nicht immer nur darum gehen, durch die Verschlüsselung Ihrer Dateien Geld zu erpressen (Ransomware). Als Kultureinrichtung stehen Sie im Fokus intensiv geführter kulturpolitischer Debatten. Manchmal will man Ihnen deshalb einfach auch nur ihre Verwundbarkeit vor Augen führen. Manchmal kann es aber auch passieren, dass man selbst als Teil der städtischen Infrastruktur zum mittelbar Betroffenen wird, weil diese das eigentliche Ziel des Angriffs war, wie es etwa dem Kulturforum Witten erging. Das Ergebnis ist in all diesen Fällen das gleiche: Die Systeme sind über Wochen nicht verfügbar.
Wo Sie als Leitung gefordert sind
Je mehr Systeme bei Ihnen im Einsatz sind, desto mehr mögliche Zugänge gibt es. Mit zunehmender Digitalisierung steigt also auf Ihrer Seite rein quantitativ der Aufwand, Ihre Systeme abzusichern, während sich gleichzeitig für den Angreifer die Chancen erhöhen – er muss nur an einem einzigen Zugang erfolgreich sein. Inwiefern sind Sie hier als Leitung gefordert, auch wenn Sie selbst über keine IT-Expertise verfügen?
- Die Zugänge absichern: Gegen Angriffe auf technische Schwachstellen können Sie als Leitung selbst nur wenig unternehmen. Das ist Aufgabe Ihrer IT. Die IT ist aber immer auch Teil Ihres Teams! Wie alle anderen Abteilungen auch müssen Sie sie fordern und fördern, sie mit den erforderlichen Ressourcen ausstatten und dafür sorgen, dass sie die relevanten Schwachstellen im Blick hat, die erforderlichen Sicherheitsmaßnahmen ergreift und sich regelmäßig durch Dritte testen lässt.
Ihre IT-Abteilung kann dabei tun, was in ihrer Macht steht, um die technischen Schwachstellen abzusichern. Sie kann Sie aber nicht vor sich selbst schützen. Der größte Teil der oben dargestellten Versuche, in Ihr IT-System zu gelangen, hat fast immer mit Menschen zu tun und nur wenig mit Technologie. Wenn das Problem ist, dass Angreifer Ihr Verhalten und das Ihrer Mitarbeiter:innen ausnutzen, geht es darum, dass Sie alle Ihr Verhalten an den relevanten Punkten ändern müssen. Die Angreifer jedenfalls werden ihres nicht verändern.
Dafür müssen Sie Ihre Mitarbeiter:innen einbinden, sensibilisieren und schulen – und zwar nicht durch allgemeine Vorträge, sondern bezogen auf ihren jeweiligen Arbeitsplatz. Nur so werden für Ihre Mitarbeitenden die sie selbst betreffenden Risiken greifbar, die je nach Aufgaben, genutzten Anwendungen, eingesetzten Geräten und Einsatzorten sehr unterschiedlich ausfallen können. Und nur so erfahren sie, was sie zu Ihrer aller Schutz tun können und was sie warum tun dürfen und was nicht.
Wie wir alle von unseren Neujahrsvorsätzen wissen, reichen Wissen und Einsicht allein aber nicht aus, um eingespieltes Verhalten zu verändern. Es geht darum, manches zu tun und anderes zu unterlassen und das so, dass es sich gut in den eigenen Alltag integriert. Das braucht Zeit und Aufmerksamkeit. Das ist vor allem nichts, was man an Sicherheitsbeauftrage delegieren oder zur Aufgabe der IT machen kann. Also liegt alles in der Verantwortung der Einzelnen? Nicht ganz. IT-Sicherheit lässt sich nur in eine Organisation bringen, wenn alle ihr Verhalten anpassen. Für die Leitung aber kommt hinzu, dass innerhalb einer Organisation nur sie den erforderlichen Raum für die notwendigen Verhaltensänderungen schaffen kann. In ihrer Hand liegt es, Prioritäten entsprechend zu setzen und die erforderlichen Ressourcen (Zeit, Geld und Aufmerksamkeit) zur Verfügung zu stellen. Außerdem: Wenn Sie als Leitung das erforderliche Verhalten nicht konsequent vorleben, wird es nicht stattfinden. Das galt schon immer, und gilt hier umso mehr. Fatal ist nur, dass Sie, wenn Sie an dieser Stelle selbst nicht konsequent sind, potentiellen Angreifern die Tore zu Ihren IT-Systemen weit öffnen. Davor kann Ihre IT Sie nicht schützen, sondern davor müssen Sie Ihre IT schützen. - Den Weg von Angreifern innerhalb des Systems erschweren: Da Sie nicht jedes Verhalten geändert und niemals alle Zugänge dicht bekommen werden, müssen Sie gemeinsam mit der IT-Abteilung Angreifern, die erfolgreich Zugang zu Ihrem System erlangt haben, den weiteren Weg im System bzw. im Netzwerk erschweren – auch um die Chance zu erhöhen, dass Sie ein Eindringen mitbekommen, bevor es wirklich Schaden anrichten kann. Stichwörter sind hier u.a.: Rechte/Rollen-Konzept, Need-to-know-/ LeastPrivileges-Prinzip, 4-Augen-Prinzip, Trennung von Systembereichen, Verschlüsselung wichtiger Daten, etc.
- Vorbereitung auf den Fall der Fälle: Ist doch einmal etwas schief gegangen, wird Ihre IT erstmal viel zu tun haben. In allen denkbaren Szenarien haben aber auch Sie als Leitung alle Hände voll zu tun. Im worst case eines Totalausfalls Ihrer Systeme stehen Sie vor der Herausforderung, Ihren Betrieb, Ihre Kommunikation, Ihren gesamten Alltag erstmal ganz ohne die gewohnte Technologie bewältigen zu müssen – im Zweifel über Wochen und Monate. Da kommt es allein auf Ihre organisatorischen und kommunikativen Fähigkeiten an. Es ist sinnvoll, sich die Frage zu stellen „Was machen wir eigentlich, wenn…?“ und vorzubereiten, was man vorbereiten kann. Stichworte sind hier u.a.: Notfall- und Krisenmanagement, Business-Continuity-Management, Back-Up- und Wiederherstellungsstrategie, Krisenkommunikationspläne, Ausweichstrategien, etc.
Ihre Verantwortung, Ihre Entscheidungen
All die oben vorgestellten Handlungs- und Regelungsbedarfe haben erstmal nichts mit IT zu tun. Sie setzen die Klärung voraus, was Ihnen als Organisation wichtig ist, was Sie besonders schützen wollen, wer worauf zu welchem Zweck Zugriff haben sollte, wer wie ausgestattet sein muss, wofür Sie Geld ausgeben und wofür nicht, etc. Das sind alles Entscheidungen, die nie allein zugunsten der Sicherheit getroffen werden können, sondern immer eine Abwägung zwischen der benötigten Funktionalität, der Benutzerfreundlichkeit und der Sicherheit erfordern. Das bedeutet aber auch, dass es hier keine absolute Sicherheit geben kann und dass bei diesem Thema immer schon angelegt ist, dass etwas schief gehen kann. Deshalb kann man eigentlich nicht von Sicherheit sprechen, sondern allenfalls vom Umgang mit Risiken, die man sich bewusst machen muss, um selbstbewusst mit ihnen umgehen zu können: Welche Risiken können wir vermindern, welche müssen wir verlagern, und welche nehmen wir in Kauf? Das sind Entscheidungen, die Sie nicht der IT-Abteilung überlassen wollen. Das sind vor allem alles Entscheidungen, bei denen gilt: Wenn Sie sie als Leitung nicht treffen, trifft sie keiner. Oder schlimmer noch: Wenn Sie sie als Leitung nicht treffen, trifft jede:r in Ihrer Einrichtung die Abwägung zwischen Sicherheit, Funktionalität und Benutzerfreundlichkeit selbst und nach eigenem Ermessen. Nur, verantwortlich, das bleiben weiter Sie – auch davor kann Ihre IT Sie nicht schützen.
Entsprechend sieht auch der rechtliche Rahmen aus, in dem Sie sich bewegen. Außer der DSGVO und insb. den in ihr geforderten technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) gibt es noch keine explizite gesetzliche Regelung, die branchenübergreifend Pflichten der Unternehmensleitung zur Sicherung von IT-Systemen festschreibt. Dieser Umstand darf aber nicht darüber hinwegtäuschen, dass solche Pflichten schon längst bestehen. Sie wurden und werden unter die allgemeinen unternehmerischen Sorgfaltspflichten subsumiert, die in mittelbarer Anwendung für Leiter:innen aller Arten von Einrichtungen gelten. Die Verantwortung, auch für die IT-Sicherheit, liegt dabei als Gesamtverantwortlichkeit bei der gesamten Leitung und nicht nur bei dem Leitungsmitglied, das auch für die IT zuständig ist. Deswegen gehen Sie als gesamte Leitung davon aus: Wenn etwas schief geht, wird man sich an Sie und nicht an Ihre IT wenden. Jede:r weiß, dass Sie nicht alle Schwachstellen schließen und jeden Schaden verhindern können. Umso mehr wird es dann aber darauf ankommen, dass Sie mindestens das gemacht haben, was Sie – und zwar nur Sie – machen konnten.
Ein Beitrag von Christoph Geisler. Ursprünglich erschienen im Kulturmanagement Network Magazin, Februar 2022.