Das 100-Prozent-Risiko
Zum AnfangSaturn Media Markt, Volvo, Colonial Pipeline, Solarwind, Microsoft – die Liste der Opfer von Cybercrime-Attacken ist illuster. Klar ist: Es werden noch mehr werden. Sehr viel mehr. Hier sprechen IT-Experten darüber, was Unternehmen trotz alledem tun können.
100 Prozent. Bei dieser Wahrscheinlichkeit liegt für deutsche Firmen das Risiko, in den nächsten Jahren zum Opfer von Cybercrime-Angriffen zu werden. So nüchtern sieht es Ramon Weil, Geschäftsführer des Frankfurter Sicherheitsdienstleisters Secuinfra, der viele betroffene Wirtschaftsunternehmen betreut. Von dieser Regel gibt es Weil zufolge lediglich zwei Ausnahmen: Zum Ersten sind das die Firmen, die ihren Angriff schon hinter sich haben. „Außerdem diejenigen, die ebenfalls bereits angegriffen worden sind und es nur noch nicht bemerkt haben. Und das sind viele.“
Gerade für kleine und mittlere Unternehmen geht es häufig ums nackte Überleben, wenn Kriminelle ihnen digitale Handschellen anlegen. Das ist die schlechte Nachricht. Die noch schlechtere lautet: Es gibt keinen verlässlichen Schutz vor Cyber-Angriffen. Die Attacken lassen sich höchstens verlangsamen, im günstigsten Fall aufhalten, nicht aber vermeiden.
Warum ist das so? Und weshalb ist auch diese niederschmetternde Erkenntnis kein Grund, die Hände in den Schoß zu legen? Dazu folgen hier ein kurzer Sicherheitscheck, ein Update, eine Liste möglicher Präventionsmaßnahmen und ein überraschend positiver Ausblick auf die Zukunft.
Kurzer Sicherheitscheck
Zum Anfang Zum Anfang„Das vergangene Jahr war geprägt von einer deutlichen Ausweitung cyber-krimineller Erpressungsmethoden“, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das war im Oktober 2021 – noch vor der Entdeckung der so folgenschweren Log4-Sicherheitslücke, die Hackern eine unüberschaubar große Zahl an Einfallstoren eröffnete. „Wir sind mittendrin in einer starken Digitalisierung – wenn wir da nicht die Informationssicherheit von vornherein mitdenken, werden wir große Herausforderungen haben“, prophezeit BSI-Präsident Arne Schönbohm.
Vor diesen Herausforderungen standen in den vergangenen Monaten bereits viele Firmen. Im Juni 2021 wurde der im MDax gelistete Chemikalienhändler Brenntag AG erpresst, im Juli stand im Klinikum Wolfenbüttel die IT nach einer Erpressung still. Im August letzten Jahres musste die internationale Wirtschaftskanzlei CMS Hasche Sigle nach einem Angriff auf ihre deutschen Standorte sämtliche Netzwerkverbindungen nach außen kappen. Im November wurden 3.100 Server der Elektromarktkette Mediamarkt und Saturn mit der Ransomware Hive verschlüsselt. Viele Kunden konnten daraufhin bei Media Markt nur noch mit Bargeld zahlen, Rechnungen oder Kassenzettel konnten nicht ausgegeben werden. Die Forderung der Erpresser: 240 Millionen Euro. Allein im ersten Halbjahr 2021 registrierte der IT-Sicherheitsdienstleister Sonicwall über 300 Millionen versuchte Ransomware-Angriffe und damit mehr als im gesamten Jahr davor. Weltweit am stärksten betroffen waren die USA, Großbritannien und Deutschland.
Sicherheitsupdate
Zum AnfangCyberkriminalität ist ein Business, das wie jedes Geschäft Trends und Veränderungen unterliegt. Mit den aktuellen Branchenentwicklungen verändern sich jedoch auch die Maßnahmen, die Verteidiger zur Abwehr ergreifen sollten. Was also gibt es Neues an der IT-Security-Front?
Attackieren über die BandeStatt direkt Firmen anzugreifen, nutzen Kriminelle vermehrt Zulieferer als Trojanisches Pferd. So gelang es im Frühjahr 2021 mutmaßlich staatlichen Hackern, verseuchte Updates der Netzwerkmanagement-Plattform Orion von SolarWinds auf bis zu 18.000 Kundensysteme zu schleusen, darunter auch jene von Microsoft sowie mehrerer US-Ministerien und Behörden. Fachleute nennen dieses Phänomen Supply Chain Compromise. Das Aufspielen eines Updates, eigentlich eine sicherheitserhöhende Maßnahme, führt so direkt zur Infektion.
Ausweitung der KampfzoneFrüher reichte es, Firmengebäude und -netzwerke gegen Angreifer zu sichern. Mit dem Siegeszug von Home Office und Mobile Working zählt heute allerdings quasi jedes öffentliche WLAN und jedes Heimnetzwerk zum erweiterten Firmennetzwerk. „Um in ein durchschnittliches Heim-WLAN zu gelangen, ist aber deutlich weniger Fachwissen nötig als bei den meisten Firmennetzwerken“, sagt David Bischoff vom IT-Security-Dienstleister Secuinfra. „Und ist ein Angreifer daheim erst einmal eingedrungen, gibt es für ihn dort kaum noch Hürden.“
Humanoider AngriffKlassische Ransomware – die Bezeichnung setzt sich aus dem englischen Begriff ransom für Erpressung und ware für Computerprogramme zusammen – verschlüsselt Dateien selbsttätig. Besonders bei hochkarätigen Opfern kommt aber immer mehr sogenannte Human Operated Ransomware zum Einsatz, bei der der Angriff individuell zugeschnitten und von Menschenhand gesteuert wird – schließlich geht es mitunter um Millionenbeträge. So operierte beispielsweise die Hackergruppe, die hinter Angriffen auf die Software AG und die Technischen Werke Ludwigshafen steckte, laut „Handelsblatt“ auf eine Weise, die Rückschlüsse ihre Herkunft erlaubte: Beobachtern fiel auf, dass die Hacker an russischen Feiertagen nicht arbeiteten.
Veröffentlichung statt VerschlüsselungNachdem klassische Ransomware-Angriffe Daten verschlüsseln, haben viele Organisationen mittlerweile Backups angelegt, mit denen sie im Ernstfall ihr Netzwerk neu aufsetzen können. Um dem zu begegnen, setzen Hacker statt auf die Verschlüsselung sensibler Daten verstärkt darauf, mit deren Veröffentlichung zu drohen. Bevor die Hacker ihr Opfer über den Angriff informieren und ihre Forderungen stellen, werden dafür zunächst einmal große Datenmengen exfiltriert, also abgesogen.
„Viele Angreifer betreiben im Darknet Seiten, auf denen sie terabyteweise Daten nichtzahlender Unternehmen veröffentlichen“, weiß IT-Security-Experte Bischoff.Beispiel Volvo: Nachdem eine Ransomware-Bande namens Snatch im November 2021 Daten aus der Forschungs- und Entwicklungsabteilung des Autobauers erbeutete, veröffentlichte sie im Darknet Screenshots, die die Tiefe ihres Angriffs belegten. Auch E-Mails aus dem Hack der Europäischen Arzneimittelbehörde EMA im Herbst 2020 tauchten zuerst im Darknet in Form von Bildschirmfotos auf.
Präventionsoptionen
Zum AnfangWas also können Unternehmen tun? Wie weit Angreifer kommen und wie lange sie brauchen, um ein Firmennetzwerk zu unterwandern, hat definitiv einiges mit Technik zu tun – vor allem aber mit den Mitarbeitern und der Kultur eines Unternehmens.
Security-Briefing (Interview)
Wohin geht also die Reise?Security-AusblickMit der fortschreitenden Digitalisierung, dem Internet der Dinge und Künstlicher Intelligenz drohen weitere Runden des Wettrüstens zwischen Hackern und potenziellen Opfern. Andreas Fuchs, Leiter Cyber-Physical Systems und Automotive Security beim Fraunhofer-Institut für Sichere Informationssysteme (SIT) in Darmstadt, ist dennoch optimistisch.
Sie forschen an sicheren IT-Lösungen für Verwaltung und Industrie. Teilen Sie die Befürchtung, dass die fortschreitende Digitalisierung für stetig wachsende Angriffsmöglichkeiten sorgen wird? Ja. Nach der IT gerät jetzt die OT, also die Operational Technology, ins Visier von Kriminellen. Fahrzeuge sind ja bereits seit Jahren mit je etwa 100 Mikroprozessoren pro Automobil digitalisiert. Neu ist, dass man sie jetzt per Internet vernetzt. Auch mit dem Internet of Things (IoT) werden in den nächsten Jahren reihenweise Maschinenparks, Fertigungsstraßen und Produkte ans Internet angeschlossen. Damit bildet jede und jedes von ihnen einen potentiellen Angriffspunkt.
Mit Künstlicher Intelligenz halten Angreifer eine neue, sehr viel mächtigere Waffe in ihren Händen. Das stimmt. Man kann beispielsweise die KI eines Autos so manipulieren, dass sie ein Stoppschild für ein Vorfahrtsschild hält und Kreuzungen überfährt – ein perfektes Szenario für die Erpressung von Automobilherstellern. Sicherheitsforscher von McAfee haben kürzlich demonstriert, wie sich Teslas KI mit zwei Isolierbändern auf einem Verkehrsschild in die Irre führen lässt. Oder Kriminelle nutzen KI zur Verschärfung ihrer Angriffstools. Beides ist möglich. Das Problem mit KI ist, dass man nicht weiß, was beziehungsweise warum sie es tut. Momentan wird daher sehr viel an Reverse Engineering geforscht – Verfahren, mit denen man die Prozesse einer KI rückwärtsentwickelt, um ihre Funktionsweise zu verstehen und zu verhindern, dass sie unbemerkt manipuliert werden.
Früher oder später steht mit Quantencomputern der nächste Technologiesprung bevor. Sind damit unsere aktuellen Verschlüsselungstechniken obsolet? Niemand weiß, wann Quantencomputer kommen, aber wenn es so weit ist, werden sie viele der aktuellen kryptographischen Verfahren brechen. Wir arbeiten daher aktuell an sogenannter Post-Quanten-Kryptographie, die gegen die Rechenkraft von Quantencomputern resistent sein wird. Die Frage ist natürlich, wie schnell uns die Umstellung gelingt, wenn die erste Macht Quantencomputer besitzt und einsetzt. Außerdem forschen wir an Systemen der Cyber Resilience.
Was ist unter Cyber Resilience zu verstehen? Nicht nur Personal Computer sondern auch Eingebettete Systeme werden künftig über lokale Security-Module verfügen, an denen sich erkennen lässt, ob ihre Integrität gewährleistet ist oder sie kompromittiert sind. Dasselbe gilt beispielsweise für die zigtausend IT-gesteuerten Weichen der Deutschen Bahn und Millionen Smartmeter, die in wenigen Jahren in deutschen Haushalten verbaut sein werden. Hinter alledem steht die Idee von Trusted Computing, also einer Technologie, mit der sich der Softwarestatus eines Devices aus der Ferne erkennen lässt. Auch Router werden sich künftig gegenseitig über ihre Integrität informieren können. Die Grundlagenforschung in diesem Bereich ist abgeschlossen – jetzt kommt es darauf an, das Thema in die Breite zu tragen. Dafür braucht es offene Standards.
Aber auch die Gegenseite rüstet vermutlich auf. Sicher. Wir sehen ja aktuell, dass immer gezielter High Value-Targets angegriffen werden: Ölpipelines, Krankenhäuser oder Automobilhersteller. Kriminelle pflücken sich eben immer die nächsten Low-Hanging Fruits. Und mit ihren wachsenden technologischen Möglichkeiten geraten immer lukrativere Ziele in ihre Griffweite.
Stehen wir also vor einem endlosen Wettrüsten zwischen Hackern und IT-Security-Experten?Nein, denn das Problem ist erkannt. In den USA hat die Biden-Regierung im Juli 2021 die Betreiber kritischer Inrastrukturen per Cybersecurity Act verpflichtet, ausschließlich State-of-the-Art Sicherheitstechniken einzusetzen. Das ist auch für uns von Belang, weil ein guter Teil unserer IT aus den USA stammt. Außerdem gibt es hier in Deutschland eine Regulierung Kritischer Infrastrukturen. Wir befinden uns mitten in einer Trendwende. Bisher gab es einfach eine zu geringe Nachfrage nach IT-Security und damit zu wenig Innovationsanreize. Je mehr Unternehmen aber die enormen potentiellen Schadenswerte erkennen, die in ihrer IT-Security liegen, umso mehr wird investiert werden. Genau das ist jetzt der Fall.
Das heißt: je größer die Schäden, die Hacker anrichten, umso schwerer wird es in Zukunft für sie werden? Ich glaube, wir stehen vor einem echten Innovationsschub bei IT-Sicherheitstechnik. Ich bin guter Hoffnung, dass wir in den nächsten fünf bis zehn Jahren einen Wandel zum Besseren erleben werden. Jeder weiß, dass es so nicht weitergehen kann.
Outro
Cyber-Security-Risk-Report 2021
Die zunehmende Digitalisierung bietet für die Mehrheit der Unternehmen in Deutschland zahlreiche neue und einzigartige Chancen. Doch damit steigt das Risiko Cyber-Angriffen ausgesetzt zu sein.
Homo Digitalis
Wie die Digitalisierung unser Leben, Denken und Sein verändern wird.
Die Verwandlung
Vom Maschinenbauer zum Softwareentwickler: Wie digitale Technologien die Transformation von Unternehmen vorantreiben.
Text: Harald Willenbrock
Harald Willenbrock, Texter und Autor in Hamburg, ist Mitglied der brand eins-Redaktion, Mitgründer und Co-Redaktionsleiter des Outdoor-Magazins WALDEN, Autor bei GEO, A&W, NZZ-Folio und anderen sowie Corporate Texter für Marken wie BMW, Duravit, Porsche und COR.
Der Faktor Zeit
Zum Anfang„Der Versuch, sich ausschließlich auf die Verhinderung von Angriffen zu konzentrieren, ergibt heute nur noch wenig Sinn“, sagt IT-Sicherheitsberater Weil. „Vor allem kommt es darauf an, den Angreifer zu lähmen, die Infizierung des Netzes durch ihn zu verlangsamen und ihn zu immer rabiaterem Vorgehen zu zwingen. Denn das ist leichter zu erkennen.“ Durch einige simple Vorsichtsmaßnahmen, kann jedes Unternehmen bei einem Angriff zumindest Zeit gewinnen.
Das Unternehmensnetzwerk segmentieren Mitarbeiter der Buchhaltung benötigen in den seltensten Fällen Zugriff auf die Daten der Entwicklungs- oder Produktionsabteilung (und umgekehrt). Wer sein Unternehmensnetzwerk in Segmenten anlegt, verhindert, dass Eindringlinge bei einem Einfallstor gleich die gesamte Firma lahmlegen.
Zugriff limitierenMitarbeiter sollten ausschließlich auf die Daten zugreifen dürfen, die sie für die tägliche Arbeit in ihrem Bereich tatsächlich brauchen. Ihre Zugriffsmöglichkeiten können beispielsweise auf definierte Datengruppen, Computer oder Arbeitszeiten beschränkt werden.
Zwei Faktor-AuthentifizierenWird beim Einloggen ins Unternehmensnetzwerk eine Zwei-Faktor-Authentifizierung (z. B. per SMS oder Dongle) verlangt, stehen Angreifern mit einem erbeuteten Passwort nicht sofort alle Firmentüren offen.
Prozesse optimierenAccount-Zugänge sollten so angelegt werden, dass sich Mitarbeiter nur während ihrer Kernarbeitszeit einloggen können. Nächtliche Log-In-Versuche fallen dann eher auf. Auf diese Weise wurde auch der Hack bei der europäischen Arzneimittelbehörde EMA entdeckt: Einem ihrer Systemmanager fiel auf, dass ein bestimmter Mitarbeiter sich regelmäßig außerhalb der Bürozeiten ins Netzwerk einwählte. Dieser „Mitarbeiter“ war offenbar ein russischer Hacker.
Fallen aufstellenJe früher ein Einbruchsversuch erkannt wird, umso enger lässt sich der Schaden eingrenzen. Ein simples Werkzeug zur sogenannten Cyber Deception ist ein leicht zugänglicher Rechner, dessen Zugangskonten überwacht werden. Er fungiert als eine Art Klebefalle, in der unerwünschte Besucher Spuren hinterlassen.
Der Faktor Mensch
Zum AnfangEinen entscheidenden Faktor für hohe IT-Sicherheit hat jedes Unternehmen bereits an Bord. Es kommt nur darauf an, ihn richtig einzusetzen. Vier Parameter, an denen es menschlich häufig hakt:
Personalmangel„Bei typischen Mittelständlern kommt auf 500 Mitarbeiter meist lediglich ein IT-Beauftragter plus ein Azubi. Diese IT-Abteilung muss dann nicht nur die Hard- und Software, sondern meist auch noch die Nutzer betreuen“, weiß Hauke Gierow vom Bochumer Security-Anbieter G Data. „Die Wahrscheinlichkeit, dass eine solche Abteilung überlastet ist, ist entsprechend hoch. Die Chance, dass sie Unregelmäßigkeiten zeitnah nachgehen und Angriffe entdecken kann, gering.“
Technisches Versagen Dem Menschen kommt nicht nur bei der Vermeidung sondern auch bei der Bewertung von Sicherheitsproblemen eine Schlüsselrolle zu. Idealerweise werden alle technischen Meldungen und Protokolle in einem SIEM-System (Security Information & Event Management) zusammengeführt. Ob es sich bei einer Unregelmäßigkeit aber tatsächlich um einen Angriff oder um ein False-Positive handelt und welche Reaktion angemessen ist, müssen Experten beurteilen. „Überließe man einer Software die Entscheidung, ob eine Produktion stillgelegt wird, weil Server kompromittiert sind, richtet man unter Umständen größeren Schaden an als der Angriff selbst“, sagt IT-Sicherheitsexperte Bischoff.
Mangelndes Wissen „Es gibt ja nicht nur einen Mangel an IT-Security-Experten“, mein Andreas Fuchs vom Fraunhofer-Institut für Sichere Informationssysteme (SIT), „sondern auch einen Mangel an IT-Security-Wissen bei Führungskräften und Mitarbeitern.“ Die beste IT-Sicherheitsstruktur nützt nichts, wenn Mitarbeiter nicht lernen, dass sie keine externen USB-Sticks an ihre Rechner stecken und keine Phishing-Mails öffnen dürfen. Investitionen in die IT-Security-Kompetenz der Mitarbeiter sind daher ebenso essenziell wie in Sicherheitssysteme.
Mangelnde Priorisierung Es gibt keinen hundertprozentigen Schutz vor Hackern. Man kann seinen gesamten Umsatz in IT-Sicherheit pumpen und dennoch chancenlos sein. Sinnvoller ist es, sich in einem sogenannten Threat Modelling zu fragen: Welche Assets sollen vorrangig geschützt werden? Vor wem? Und wie lange? Wer diese Fragen beantwortet, kann seine Ressourcen entsprechend sinnvoll verteilen.
Der Faktor Unternehmenskultur
Zum AnfangDer wirksamste Schutz vor Hackern? Eine offene Unternehmenskultur, die IT-Sicherheit als gemeinsame Aufgabe aller Mitarbeiter begreift. Was braucht es dafür?
Ressourcen bereitstellenSicherheitsexperte Gierow empfiehlt Unternehmenskunden, mindestens 0.5 Prozent ihres Jahresumsatzes in IT-Sicherheit zu investieren. Wichtig dabei: IT-Budget und IT-Sicherheitsetat sollten stets getrennt budgetiert werden, sonst fehlt in Jahren mit hohen Hard- oder Software-Investitionen das Geld für den Schutz des Netzes.
Fehlerkultur etablieren Jeder macht Fehler – und wie immer kommt es darauf an, wie man mit ihnen umgeht. Unternehmen sollten daher eine Fehlerkultur pflegen, in der Mitarbeiter sich trauen, ihrem IT-Sicherheitsbeauftragten mitzuteilen, wenn sie gerade eine verdächtige Mail geöffnet haben. Nach einer Umfrage von G Data hapert es genau daran: 68 % der jüngeren Mitarbeiter haben Angst, IT-Fehler zuzugeben.
Prozesse konfigurierenSelbst die ausgefeilteste Technologie kann Betrugsmaschen wie den sogenannten CEO Fraud nicht verhindern. Helfen kann hier nur eine Kultur des Vertrauens und der Offenheit. Eine, in der ein Buchhalter im Zweifel seinen Vorstandsvorsitzenden anrufen und nachfragen kann: „Stammt die Order, eine halbe Million Euro an diese bulgarische Tochterfirma zu überweisen, wirklich von Ihnen?“
Privilegien abstellenIn vielen Firmen dürfen aus Sicherheitsgründen nur IT-Administratoren Software auf Firmen-PCs installieren – mit Ausnahme der Computer der Geschäftsführung. „Mit solchen Privilegien ist die Führungsebene nicht nur kein Vorbild, sondern auch ein besonders lohnendes Opfer. Denn auf den PCs des C-Levels warten ja meist auch die interessantesten Daten“, meint Gierow. Führungskräfte sollten sich daher „selbst an die Kette legen“ und denselben Vorsichtsmaßnahmen unterwerfen wie alle anderen Mitarbeiter, rät Gierow.
Ganzheitlich operierenLetztlich braucht es ein umfassenderes Verständnis von digitaler Sicherheit. „Unternehmen müssen erkennen, dass IT-Sicherheit kein rein technisches Thema ist, sondern auch viel mit Psychologie, Sozialwissenschaften, kurzum: mit Menschen zu tun hat“, sagt G Data-Experte Gierow. „Software und Technik sind lediglich der Anfang. Erst wenn man das verstanden hat, hat man eine Chance, dem Problem Herr zu werden.“
Scrollen, um weiterzulesen
Wischen, um weiterzulesen
Wischen, um Text einzublenden
Das 100-Prozent-Risiko
100 Prozent. Bei dieser Wahrscheinlichkeit liegt für deutsche Firmen das Risiko, in den nächsten Jahren zum Opfer von Cybercrime-Angriffen zu werden.
Warum ist das so? Und weshalb ist auch diese niederschmetternde Erkenntnis kein Grund, die Hände in den Schoß zu legen?
Kurzer Sicherheitscheck
Haben wir ein Problem, und wenn ja: wie viele?
„Das vergangene Jahr war geprägt von einer deutlichen Ausweitung cyber-krimineller Erpressungsmethoden“,
Angriffsfläche
Schadensfälle
Kostenfaktor
Hochrisiko
Sicherheitsupdate
Attackieren über die Bande
Humanoider Angriff
Präventionsoptionen
Was also können Unternehmen tun?
Security-Ausblick
Sie forschen an sicheren IT-Lösungen für Verwaltung und Industrie. Teilen Sie die Befürchtung, dass die fortschreitende Digitalisierung für stetig wachsende Angriffsmöglichkeiten sorgen wird?
Der Faktor Zeit
Zugriff limitieren
Fallen aufstellen
Der Faktor Mensch
Mangelndes Wissen
Der Faktor Unternehmenskultur
Fehlerkultur etablieren