Hackerangriffe finden permanent statt

Matthias Nehls, welche konkreten Ziele verfolgen Sie mit der DGC?

Heutzutage führen Firmen Apps ein und Industrie 4.0. Sie haben immer mehr Mitarbeiter, die im Homeoffice tätig sind und von dort auf das Firmennetzwerk zugreifen. Bei all diesen Themen wird Cybersicherheit gerne übersehen. Mit unseren Spezialkenntnissen helfen wir Unternehmen, ihre IT-Sicherheit zu managen. Wir begleiten unsere Kunden also beim digitalen Wandel. Etwa indem wir deren Firmen-IT und -Netzwerke auf Schwachstellen untersuchen und helfen, sie zu beseitigen, sowie bei konkreten Cyberangriffen beratend und forensisch unterstützen.

Die Zahl solcher Cyberangriffe scheint zuzunehmen. Insbesondere seit der Pandemie. Trifft das zu?

Das ist definitiv so. Laut eines aktuellen Cybersicherheitsreports hat die Cyberkriminalität seit Anfang 2020 weltweit um 600 Prozent zugenommen. Eine Bitkom-Studie besagt ergänzend dazu, dass allein für die deutsche Wirtschaft der Schaden von 2019 auf 2020 um das Doppelte auf 223 Milliarden Euro gestiegen ist.

Mit welchen Cyberangriffen haben es Unternehmen primär zu tun?

Da müssen wir allen voran zwei Arten unterscheiden. Einmal hochprofessionelle Angriffe mit denen über Jahre beständig Informationen aus einem Unternehmen abgezogen werden. Diese Attacken bleiben in der Regel unerkannt. Dass sie nicht auffallen, macht sie nicht minder problematisch. Ganz im Gegenteil. Solche Angriffe gefährden den Geschäftserfolg eines Unternehmens massiv. Wir haben es in dem Fall auch mit klassischer Industriespionage zu tun.

Worum handelt es sich bei der zweiten Art von Cyberkriminalität?

Um Ransomware-Attacken auf Unternehmen, Verwaltungen, Krankenhäuser und Energieversorger. Sie führen immer wieder zu Schlagzeilen, denn die Angreifer erpressen Geld, indem sie Unternehmensdaten verschlüsseln. Dabei gehen die Kriminellen zunächst einmal nicht unbedingt zielgerichtet vor. Sie adressieren mit ihrer Schadsoftware abertausende Firmen-E-Mails, die sie im Darknet eingekauft haben. Eine Million Adressen kosten da kaum mehr als 100 Dollar.

Die Angriffe gelten als immer ausgefeilter, sogar von Arbeitsteilung ist die Rede. Inwiefern?

Was die internen Abläufe anbetrifft, so sind die Angreifer besser organisiert als manches Call-Center. Ein Teil der Hacker ist darauf spezialisiert, per Trojaner-Software in ein Firmennetzwerk einzudringen. Dort verschaffen sie sich zunächst einen Überblick und finden heraus, wie liquide das Unternehmen ist. Ein anderer Teil der Gruppe bewertet auf dieser Basis, welche Schritte als nächstes zu ergreifen sind, um die Firma erpressen zu können. Zuletzt werden die Dateien verschlüsselt und die Firma über die Summe informiert, die sie bezahlen muss, wenn sie ihre Daten wiedererlangen möchte. Inzwischen verleihen Angreifer ihrem Ansinnen Nachdruck, indem sie drohen, die erbeuteten Daten im Darknet oder Deepnet zu veröffentlichen. Das will nun wirklich kein Unternehmen.

Das Feld der Kriminalität scheint sich sogar noch zu weiten.

Das stimmt. Hacker bieten inzwischen ihre Dienste und Produkte zum Kauf an. Das reicht von kleinen Services bis hin zum kompletten Dienstleistungspaket getreu dem Motto "Cybercrime as a Service".

Wie dringen die Hacker mit ihren Angriffen überhaupt in ein Unternehmen ein?

Ein Haupteinfallstor sind immer noch E-Mails. Sie enthalten einen infizierten Anhang oder einen Link auf eine vermeintlich vertrauenswürdige Seite. Klickt man darauf, dann lädt sich Schadsoftware auf den Rechner und die Angreifer sind im System. Oder es öffnet sich ein vermeintlich unverdächtiges Outlook-Fenster, das einen dazu auffordert, Name und Passwort einzugeben. Tut man das, dann haben die Hacker valide Anmeldedaten und können sich fortan unbemerkt anmelden und umsehen. Manche Hacker versenden gar Nachrichten mit der Original-E-Mail-Adresse und -Signatur eines Mitarbeiters. Deshalb kommt es darauf an, die Belegschaft zu schulen und zu sensibilisieren. Kommt einem die Mail eines Kollegen seltsam vor, dann lieber einmal anrufen, als irgendetwas anklicken.

Wo lauern noch Gefahren?

Nach wie vor sind nicht installierte Updates ein großes Problem. Dabei sind Sicherheitslücken oft schon lange bekannt. So warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai 2021 vor einer Sicherheitslücke bei Microsoft Exchange. Microsoft hat die Lücke längst geschlossen. Viele Unternehmen hatten Ende 2021 das Sicherheitsupdate aber immer noch nicht aufgespielt. Das ist wie eine Einladung an Cyberkriminelle. Auch die Firmen-Website wird häufig übersehen. Erst recht, wenn sie gar nicht selbst, sondern von einer beauftragten Agentur gehostet wird. Sie kann aber Schwachstellen enthalten, die Angriffspunkte für Hacker darstellen.

Was bedeutet es, wenn zahlreiche Mitarbeiter im Homeoffice arbeiten, wie in der Pandemie?

Damit hat sich die Gefährdungslage der IT-Sicherheit nochmals erhöht. So sind Firmenrechner nicht immer ausreichend abgesichert. Zudem stellt sich die Frage, wie gut eigentlich der Internet-Zugang der Mitarbeiter geschützt ist. Viele gehen über eine FritzBox ins Netz. Die Updates der Router werden aber erfahrungsgemäß nur selten durchgeführt, Initial-Passwörter gar nicht erst geändert. All das sind Angriffspunkte für Hacker und damit eine offene Flanke für Unternehmen.

Wie wirkt sich ein Hackerangriff im Normalfall auf ein Unternehmen aus?

Bei einer Ransomware-Attacke herrscht nachvollziehbarerweise Panik. Schließlich ist ein Unternehmen kaum mehr arbeitsfähig, wenn sämtliche PCs und Server vollständig verschlüsselt und die Backup-Server gründlich gelöscht sind. Zumeist fehlt es an einem Notfallkonzept. Es ist unklar, was zu beachten und wie vorzugehen ist. Die zentrale Frage ist: Gibt es ein externes, physikalisch getrenntes Backup der Daten. Das können klassische Bänder sein, die aber kaum ein Unternehmen mehr nutzt. Auch Daten in der Cloud sind mitunter sinnvoll. Denn wenn Hacker einen großen Cloudspeicher verschlüsseln wollen, dann fällt das dem Betreiber der Cloud gleich auf. Microsoft würde dem etwa sofort einen Riegel vorschieben. Gibt es hingegen weder Bänder noch ein Backup in der Cloud, dann bleibt nur eine Entscheidung: zahlt man oder zahlt man nicht.

Was muss ein Mittelständler beachten, wenn er gehackt wurde?

Das fängt schon mit der Datenschutz-Grundverordnung (DSGVO) an. Mit Beginn des Angriffs hat das betroffene Unternehmen 72 Stunden Zeit, alle Kunden und Geschäftspartner, deren Daten mit erbeutet wurden, sowie die zuständige Datenschutzbehörde zu informieren. Ein Angriff hat also juristische Folgen. Insofern benötigt ein Unternehmen externes Knowhow. Das reicht von Juristen über Cyber-Security-Experten, bis hin zu Medienfachleuten, die ihm sagen, wie zu kommunizieren ist. Natürlich sollte es auch die Polizei einschalten. Sofern der Geschädigte kein Datenbackup hat, dann bleibt letztlich nur das, was das BSI sagt: Löschen sie alle Systeme, und setzen sie alles wieder auf.

Wenn nun ein mittelständisches Unternehmen glaubt, es komme aufgrund seiner überschaubaren Größe für einen Angriff nicht infrage, was entgegnen Sie ihm?

Das hören wir oft. Wir berichten dann etwa von einem Heizungs- und Sanitärunternehmen, das gehackt wurde. Sämtliche Daten waren weg. Es konnte nicht einmal mehr seine Rechnungen stellen. Als das in der Region die Runde machte, haben alle Unternehmen aus der Branche massiv in die Cybersicherheit investiert. Der Vorfall hatte also einen heilsamen Effekt. Dazu musste es aber erst einen Geschädigten geben. Man muss aber auch sagen, dass die DSGVO-Einführung die Firmen sensibilisiert hat. Der Schutz der Kundendaten und der damit verbundene Aufwand erfährt mehr Aufmerksamkeit. Das allein reicht aber nicht. Allen muss klar sein: Angriffe finden permanent statt und es ist nur eine Frage der Zeit, wann es ein Unternehmen trifft.

Sind manche Branchen für Cyber-Kriminelle reizvoller als andere?

Nein. Es sind pauschal alle Branchen betroffen. Für die Angreifer ist es lediglich wichtig, ein liquides Unternehmen vorzufinden. Sobald sie im System sind, erkennen sie das spätestens am Kontostand. Dann wissen sie, was sie rausholen können.

Worauf kommt es für den Mittelstand also bei digitaler Transformation und Cybersicherheit an?

Jedes Unternehmen sollte ein Informationssicherheitsmanagementsystem, kurz ISMS, aufbauen. Es dient dazu, die IT-Sicherheit zu definieren, die Prozesse zu steuern, zu kontrollieren und ständig zu verbessern. Dazu zählen auch Penetrationstests und Awareness-Schulungen, die externe Spezialisten übernehmen können. Es ist jedoch wichtig, dass ein Unternehmen Managementkräfte aufbaut, die ein Verständnis für IT-Sicherheit haben und die Prozesse steuern können.

Ein Mittelständler kommt also nicht umhin, sich selbst IT-Security-Expertise anzueignen

Ganz ohne Externe wird es vermutlich nicht gehen, aber Brückenköpfe im Unternehmen sind immer wichtig. Gerade auf Geschäftsführungsebene muss ein hohes Verständnis für die Cybersicherheit da sein. Sie muss Chefsache sein. Nicht zuletzt, weil die Geschäftsführung haftet.

Wie viel Geld sollte ein Mittelständler für Cyber-Security-Maßnahmen einplanen?

Bitkom und BSI empfehlen Unternehmen, rund 20 Prozent ihres IT-Budgets in die Cybersicherheit zu stecken. Dazu gehören Firewalls, Updates aber auch klassische Zertifizierungspflichten und das ISMS.

Gibt es Quick-Wins, die wirklich jedes mittelständische Unternehmen beherzigen sollte?

Wenn Unternehmen umgehend alle Updates installieren würden, dann wäre das Risiko schon mal drastisch minimiert, denn Trojaner nutzen Sicherheitslücken aus. Schulungen, um ein Bewusstsein für IT-Sicherheit in der Belegschaft zu wecken, sind gleichermaßen wichtig. Gerade wenn es um den E-Mail-Verkehr geht. IT-Sicherheit bleibt aber ein Dauerthema. Sie wird nie abgeschlossen sein.