Bild: The Digital Artist auf Pixabay
Cyber-Kriminalität ist eine der Kehrseiten der Digitalisierung. Je digitaler Unternehmen entlang ihrer Wertschöpfungskette aufgestellt sind, desto mehr Angriffsfläche bieten sie für die Machenschaften von Cyber-Kriminellen, -Spionen, -Aktivisten und -Terroristen.
Angriffe auf Informationen, IT-Dienste und IT-Systeme, die über das Internet verübt werden, nehmen seit Jahren stetig zu. Laut einer Bitkom-Studie vom Februar 2020 wurden in den vergangen beiden Jahren drei von vier Unternehmen Opfer eines Cyber-Angriffs. Betroffen sind Unternehmen aller Größenordnungen und Branchen, wobei insbesondere kleinere Unternehmen weiterhin im Fokus der Hacker stehen.
Neben der Quantität nimmt auch die Qualität von Cyber-Angriffen stetig zu. Das technische Repertoire der Kriminellen wird immer raffinierter, effektiver und schneller. Gleichzeitig sind sie global vernetzt und höchst organisiert. Eine arbeitsteilige Vorgehensweise und die Auslagerung von Teilaufgaben an spezialisierte Einzeltäter bzw. Anbieter ist dabei keine Seltenheit mehr. Das Bundeskriminalamt spricht gar von „Cybercrime-as-a-Service“ und einer „kriminellen Wertschöpfungskette“ (Bundeslagebild Cybercrime 2019).
Die finanziellen Folgen von Cyber-Angriffen sind für die betroffenen Unternehmen oft erheblich und können schnell in die Millionen gehen. Neben möglicher Erpressungsgelder können hohe Kosten für den Bereinigungsaufwand sowie Produktions- und Arbeitsausfälle entstehen. Ganz zu schweigen von Imageschäden oder dem Verlust geistigen Eigentums im Falle von Wirtschaftsspionage.
Die Corona-Pandemie und der damit verbundene Trend zum Home-Office haben die Notwendigkeit geeigneter IT-Sicherheitsmaßnahmen und einer ganzheitlichen Cyber-Security-Strategie nochmals verschärft. Denn im Home-Office wird häufig nicht nur mit privaten Endgeräten gearbeitet (Stichwort „Bring your Own Device“). Auch die private IT-Infrastruktur wie WLAN-Router oder IoT-Geräte stellen potenzielle Schwachstellen für Cyber-Angriffe dar.
Dank der Suchmaschine Shodan haben Kriminelle beim Hacken von IoT-Geräten inzwischen besonders leichtes Spiel. Das vom Nachrichtensender CNN „als erschreckendste Suchmaschine des Internets“ bezeichnete Projekt ermöglicht es, weltweit nach Millionen von IoT-Geräten zu suchen und deren Sicherheitslücken ausfindig zu machen. Gerade Endkunden hängen ihre Geräte häufig aus Sorglosigkeit oder Unwissenheit einfach ans Netz, ohne den Standardzugang für den Administrator zu ändern. Kriminelle können sich dadurch problemlos Zugang beschaffen.
Arten von Cyber-Angriffen
Zu den häufigsten Arten von Cyber-Angriffen zählen aktuell:
- Phishing
Täuschung von Beschäftigten mittels vertrauenswürdig erscheinender Emails oder Webseiten, um Konto- und Kreditkartennummern, Passwörter oder andere sensible Daten abzuschöpfen. - Schadsoftware (Malware)
Unerwünschte Software, die Computer und Netzwerke infiltriert. Diese wird meist unabsichtlich vom User heruntergeladen oder gelangt beispielsweise über einen infizierten USB-Stick auf den Rechner. Zu den verbreitetsten Arten von Malware gehören:
o Ransomware
Verschlüsselung von Unternehmensdateien mit dem Ziel, ein Lösegeld (engl. „Ransom“) zu erpressen.
o Spyware
Ausspähen von Aktivitäten und persönlichen Daten von Nutzern.
o Viren und Würmer
Schadprogramme, die sich unkontrolliert weiterverbreiten und auf dem „Wirtcomputer“ Schäden an Hardware, Software und Daten verursachen können. Sog. „Schläfer-Viren“ sind besonders hinterlistig, da sie zunächst inaktiv bleiben und abwarten, bis der beste Zeitpunkt für einen Angriff gekommen ist.
o Trojaner
Als nützlich getarnte Programme, die ohne Wissen des Nutzers im Hintergrund zusätzlich Schadsoftware installieren.
o Rootkits
Sammlung verschiedener Schadprogramme, die sich über Sicherheitslücken in einen Computer einnistet und Angreifern dauerhaften Fernzugriff („Remote-Access“) gewährt. - Manuelles Hacking
Ausnutzung von bekannten oder unbekannten Schwachstellen in von Unternehmen verwendeter Hard- und Software zum Erhalt von sensiblen Daten. - Denial of Service (engl. für „Verweigerung von Diensten”)
Gezielte Überlastung von Web- und E-Mail-Servern, um die Dienste lahmzulegen. - Defacing
Unbefugte Veränderung von Webinhalten eines Unternehmens. - CEO-Fraud
Bei dieser Betrugsmasche treten Kriminelle als entscheidungsbefugte Personen im Unternehmen auf, um von den Mitarbeitern Handlungen wie beispielsweise Auslandsüberweisungen zu bewirken. Die Mitarbeiter werden dabei per E-Mail oder auch Telefon zum Teil massiv unter Druck gesetzt.
Beispiele von Cyber-Angriffen
Aufsehenerregende Beispiele von Cyber-Angriffen wandern immer wieder durch die Medien. Zu den prominentesten Beispielen, die schon einige Zeit zurückliegen, zählt der einstige Internetriese Yahoo!, der gleich mehrmals Opfer von großangelegten Attacken wurde. Im Jahr 2013 wurden die Konten von sage und schreibe fast einer Milliarde Yahoo!-Usern gehackt. Dabei wurden personenbezogene Daten und Passwörter abgegriffen und anschließend im Darknet zum Verkauf angeboten. Besitzer einer älteren Sony Playstation mögen sich noch an den Angriff auf das digitale Serverportal Playstation Network (PSN) im April 2011 erinnern, der zu einem vierwöchigen Ausfall der beliebten Spieleplattform geführt hat. Daneben wurden über 77 Millionen Kreditkartendaten von Kunden abgefangen.
Ein jüngeres Beispiel hierzulande ist das mittelständische Unternehmen Pilz aus Baden-Württemberg. Bei dem auf Automatisierungs-, Steuerungs- und Sicherheitstechnik spezialisierten Unternehmen wurden im Herbst 2019 durch eine Cyber-Attacke sämtliche Unternehmensserver über Nacht in den Wartungsmodus versetzt. Um eine mögliche Ausbreitung des Angriffs nach innen und außen zu verhindern, wurden sofort nach Bekanntwerden des Angriffs sämtliche Netzwerke und Server des Unternehmens abgeschaltet. Die Täter hatten jedoch bereits mit Hilfe eines Trojaners weltweit Server attackiert und einen Teil der Daten verschlüsselt, mit dem Ziel, Lösegelder zu erpressen. Das Unternehmen musste nahezu hilflos zusehen, wie die Hacker ihr Werk verrichteten. Die rund 2.500 Mitarbeiter konnten ihre Arbeit teils nur sehr eingeschränkt oder gar nicht mehr ausführen. Ein zweiwöchiger Produktionsausfall war die Folge. Der Regelbetrieb konnte erst nach ca. vier Wochen wieder vollständig aufgenommen werden.
Ein tragischeres Ende nahm jüngst ein Cyber-Angriff auf die Universitätsklinik Düsseldorf. Als im September 2020 die gesamte IT des Krankenhauses von mutmaßlich russischen Hackern lahmgelegt wurde, musste ein Rettungswagen mit einer schwer erkrankten Patientin in ein weiter entferntes Krankenhaus umgeleitet werden. Kurz nach der Einlieferung ist die Patientin verstorben. Bei einer sofortigen Behandlung im Düsseldorfer Klinikum hätte dies nach Expertenansicht wahrscheinlich verhindert werden können. Eingangstor für die Cyber-Angreifer war eine Sicherheitslücke einer verbreiteten Software.
Meldung und strafrechtliche Verfolgung von Cyber-Angriffen
Cyber-Angriffe stellen einen Verstoß gegen die Rechtsordnung dar und sind entsprechend strafrechtlich zu ahnden. Dennoch zeigen nur etwa 12 % der betroffenen Unternehmen einen Cyber-Angriff tatsächlich an, da sie negative Schlagzeilen fürchten und möglichen öffentlichen Vorwürfen nach versäumten Schutzmaßnahmen entgehen wollen. Stattdessen ziehen viele es vor, sich an private IT-Experten zu wenden, um Schadensbegrenzung zu betreiben und eine Analyse der Vorfälle durchführen zu lassen.
Und in der Tat ist eine private Aufklärung oftmals effektiver als die behördliche. So sind zwar in den Strafverfolgungsbehörden hochangesehene Experten tätig. Aufgrund der schieren Masse an Fällen kommen diese jedoch kaum mit der Aufklärungsarbeit hinterher. Für das Jahr 2019 weist die Polizeiliche Kriminalstatistik 100.514 Fälle im Bereich Cyber-Kriminalität in Deutschland aus, wobei die Dunkelziffer um ein Vielfaches höher liegen dürfte. Gegenüber dem Vorjahr stiegen die Fallzahlen um 15,4 %. Gleichzeitig sank die Aufklärungsquote um 6,6 Prozentpunkte auf 32,3 %.
Den größten Anteil der Straftaten machten Vermögensdelikte aus, sprich die Täter verfolgten finanzielle Absichten. Die Strafverfolgung selbst gestaltet sich jedoch schwierig, da die Täter meist über die ganze Welt verteilt sind. Verschiedenste Behörden (BKA, ZAC, Interpol, Europol etc.) haben das Thema Cyber-Security für sich priorisiert und arbeiten eng zusammen. Eine fehlende Verurteilung scheitert meist nicht an den fehlenden Strafrechtsnormen, sondern an den schwierigen Tatermittlungen im Einzelfall. Oftmals sind Rückschlüsse auf das tatsächliche Tatgeschehen nur schwer nachvollziehbar.
Entwickeln ganzheitlicher Cyber-Security-Strategien
Um der steigenden Cyber-Kriminalität nicht hilflos ausgeliefert zu sein und im Falle eines Angriffs schnellstmöglich reagieren zu können, ist die Entwicklung und fortwährende Optimierung einer ganzheitlichen Cyber-Security-Strategie unabdingbar. Diese sollte die Bereiche Prävention, Detektion, Reaktion und Dokumentation umfassen.
Zu den wichtigsten Präventionsmaßnahmen zählen:
- Entwicklung eines 360-Grad-Sicherheitskonzept, das die gesamte IT-Infrastruktur umfasst: vom Netzwerk über Server und Services bis hin zu den stationären und mobilen Endgeräten
- Im Falle von Cloud-Computing: Vornehmen zusätzlicher Schutzmaßnahmen, die über die Sicherheitskonzepte der Cloud-Anbieter hinausgehen, z. B. Einrichtung von Cloud-Firewalls zur Blockierung von Schad-Traffic oder Durchführung lokaler Back-ups von in der Cloud gespeicherten Daten
- Einrichten von Firewalls
- Segmentieren des Netzwerks, um Bedrohung einzudämmen und deren Ausbreitung auf andere Bereiche zu verhindern
- Verschlüsseln von Datenbanken und Nutzung kryptografischer Verfahren
- Effektives Patch-Management, d. h. zeitnahes Einspielen von sicherheitsrelevanten Patches für Betriebssystemen und Anwendungen
- Effektives Identity Access Management, d.h. Verwaltung der Zugriffsrechte der Mitarbeiter auf Daten und Prozesse, Multi-Faktor-Authentifizierung an Geräten und Diensten, Verwendung von Conditional Access (verstärkte Sicherheitsabfragen bei Zugriffen außerhalb des Unternehmens)
- Freigabe von Software nur durch IT-Verantwortliche
- Regelmäßige Mitarbeiterschulungen, um den Sicherheitsfaktor „Mensch“ miteinzubeziehen („menschliche Firewall“)
- Ggfls. Nutzung von Security-as-a-Service Angeboten, d. h. Outsourcing des IT-Sicherheitsmanagements an einen externen Dienstleister
Prävention ist gut, Kontrolle ist besser. Daher sollte die IT-Infrastruktur einer fortlaufenden Überwachung und Analyse unterzogen werden, um etwaige Angriffe frühzeitig erkennen zu können. Hierbei sollten moderne Tools wie etwa KI-Anwendungen zum Einsatz kommen. Wird ein Angriff detektiert, gilt es umgehend zu handeln. Das Unterbinden des Netzzugriffs infizierter Geräte sowie das Zurückversetzen infizierter Geräte in einen sicheren Zustand zählen zu den Erstmaßnahmen, die einzuleiten sind. Für solche Situationen sollte zudem ein Notfallplan entwickelt und mit den Mitarbeitern geteilt werden, so dass diese bei Sicherheitsvorfällen wissen, wie sie sich zu verhalten haben und wer zu benachrichtigen ist. Nicht zuletzt sollten Vorfälle analysiert und dokumentiert werden, so dass aus den Fehlern gelernt werden kann.
Ein Hinzuziehen externer Fachleute bei der Entwicklung und Umsetzung einer ganzheitlichen Cyber-Security-Strategie ist allgemein sehr ratsam. Allein schon aufgrund der „Betriebsblindheit“ ist es kaum möglich, dieses Thema vollständig in Eigenregie zu durchdenken. Darüber hinaus sollte die Cyber-Security-Strategie organisatorisch bei der Unternehmensführung verankert sein, denn Sicherheit ist immer Chefsache.
Sie brauchen Hilfe?
Die IT- und Sicherheits-Experten aus unserem bundesweiten DKUB-Netzwerk beraten und unterstützen Sie sowohl präventiv als auch bei der Krisenintervention im Ernstfall – schnell, vertraulich und unbürokratisch. Nehmen Sie mit uns Kontakt auf!