Cyber-Angriffe als Risikofaktor für Unternehmen

Mit der "Digitalen Transformation" rücken vermehrt Chancen in den Vordergrund. Diese ergeben sich etwa durch eine möglichst intuitive Einbettung von Computertechnik in vorhandene Arbeitsabläufe. In vielen Bereichen können Firmen es sich beispielsweise nicht mehr leisten, Kommunikation mit Kunden ohne moderne Werkzeuge wie Online-Terminkalender und Ticketsysteme für Anfragen zu gestalten.

Auch für die eigenen Mitarbeitern ist die verwendete Informationstechnik keineswegs ein bloßes Mittel zum Zweck. Längst sind dienstliche Smartphones und Laptops bestimmter Hersteller eine Art Statussymbol, wie es früher der Dienstwagen war.

Die Zunahme der Bedeutung von Informationstechnik erhöht die Abhängigkeit hiervon. Der plötzliche Ausfall eines oder mehrerer IT-Geräte dürfte inzwischen zu den gefürchteteren Szenarien im Unternehmensalltag gehören. Ganz zu schweigen natürlich von einem Abfluss sensibler Kundendaten oder der vollständigen Funktionsuntüchtigkeit der Informationstechnik. Mit entsprechenden Risiken sollten sich Verantwortliche daher rechtzeitig befassen. Ebenso damit, dass es keinen Schutz vor Cyber-Risiken zum Nulltarif gibt.

Cyber-Risiken, vor denen kein Unternehmen sicher ist

Natürlich ist es immer noch möglich, sich Viren oder Trojaner auf einen PC zu laden, indem man sorglos auf dubiosen Seiten im Internet surft und wahllos Software aus unbekannten Quellen installiert. Auf derartige Cyber-Risiken "alter Art" sind PC-Benutzer inzwischen im beruflichen wie im privaten Bereich sensibilisiert. Es ist davon auszugehen, dass es kaum noch einen Kriminellen gibt, der eine Schadsoftware auf diese Weise an Unternehmen zu verteilen plant. Angriffe erfolgen viel gezielter und subtiler.

Verschärft wird die Problematik dadurch, dass die Täter beträchtliche Gewinne erzielen - bei gleichzeitig geringem Entdeckungsrisiko. Finanzielle Forderungen bei Erpressungen werden zum Beispiel in der Regel per Bitcoin verlangt. Deren Zahlungswege sind meistens nicht nachzuverfolgen. Dies ruft Nachahmer auf den Plan. Das Bundeskriminalamt erwähnt in seinem Sicherheitslagebild 2020 gar die Möglichkeit, Cyber-Angriffe regelrecht im Darknet zu bestellen. In Anlehnung an die Bezeichnung für legale Clouddienste (Software-as-a-Service), stellen die Autoren diese Erscheinungsform als Cybercrime-as-a-Service vor. Zudem können dort notwendige Schadprogramme, etwa zur Durchführung eines Angriffs mit einem Verschlüsselungstrojaner, gekauft werden. Durch die Verfügbarkeit derartiger Programme für weniger technikaffine Kriminelle steigen Cyber-Risiken immens.

Das Bundesamt für Sicherheit in der Informationstechnik setzt sich permanent mit aktuellen Cyber-Risiken für Unternehmen, Behörden und sonstigen Organisationen auseinander. In seinem Jahresbericht werden unter anderem folgende Angriffsformen thematisiert:

1. Ransomware: Opfer von Angriffen mittels Verschlüsselungstrojanern und einer anschließenden Erpressung, sind inzwischen eine Vielzahl an Unternehmen und Behörden geworden. Dabei kommt letztlich eine Kombination unterschiedlicher Angriffsmethoden zum Einsatz. Zunächst erfolgt ein Ausspionieren von Interna der Firma durch öffentlich zugängliche Quellen und durch Techniken des Social Engineering. So können Namen von Vorgesetzten und Abteilungen unter anderem auch durch fingierte Anrufe oder E-Mail-Anfragen erlangt werden. Derartige Informationen werden im Anschluss benötigt, um einen Mitarbeiter dazu zu verleiten, die Anlage einer E-Mail zu öffnen. Ist diese vermeintlich von einem Vorgesetzten und hat den Namen eines aktuellen Projekts in der Betreffzeile, sinkt die Schwelle bei Mitarbeitern üblicherweise enorm, Bedenken gegen das Öffnen von Anlagen zu hegen. Mittels der mit einem Makrovirus präparierten Anlage wird beispielsweise eine Software wie Emotet installiert. Diese verschafft dem Angreifer weitgehende Funktionen im Firmennetzwerk. Eine Angriffsmöglichkeit ist die Verschlüsselung aller zugreifbaren Dateien mit einem Trojaner wie Ryuk. Dieser greift auch gezielt Back-ups an. Ist die Verschlüsselung vollzogen, nehmen die Kriminellen Kontakt mit der Firmenleitung auf und bieten eine Entschlüsselung gegen Bezahlung an.

2. Datendiebstahl: Bei einem gezielten Datendiebstahl kommt ebenfalls oft die bereits beschriebene Infektion mit Emotet zur Anwendung. Die Zielrichtung ist das Sammeln und Ausleiten sensibler Informationen. Dabei wird unter anderem die Software Trickbot genutzt. Diese ist für die Spionage und Sabotage in Firmennetzwerken optimiert. Nutzen eines solchen Angriffs kann beispielsweise eine Erpressung mit der Ankündigung sein, Firmengeheimnisse zu veröffentlichen. Eine weitere Angriffsform ist der Zugang über schlecht abgesicherte Online-Zugänge. Ist ein Intranet etwa durch ein simples Login aus dem Internet möglich, besteht immer auch die Gefahr, dass Berechtigte mit schwachen Passwörtern das Sicherheitskonzept aushebeln.

3. Computersabotage: Hat die Zielrichtung, Computersysteme in ihrer Funktionsfähigkeit zu stören. Eine Variante dieser Cyber-Risiken sind sogenannte Distributed-Denial-of-Service-Angriffe (DDoS). Hierzu bringt der Angreifer etwa massenhaft Rechner Unbeteiligter unter seine Kontrolle. Dabei handelt es sich oft um schlecht abgesicherte PCs von Privatnutzern. Ferngesteuert kann der Kriminelle dann zeitgleiche Anfragen an einen Firmen-Server senden. Bei einer ausreichenden Anzahl an verwendeten Rechnern, lässt sich auf diese Weise nahezu jeder Server temporär stören. Der Kriminelle kann die Angriffsform mit einer Erpressung verbinden. Ebenso sind aber auch Rache oder eine Beauftragung durch Konkurrenten denkbare Motive.

4. Computerbetrug: Unter diese Kategorie fällt der Einsatz von Banking-Trojanern. Dabei werden Transaktionsdaten auf unterschiedliche Weise ausgespäht. Infrage kommen beispielsweise Keylogger, die Tastaturanschläge aufzeichnen oder das Stehlen von Zugangsdaten durch Schadsoftware. Unternehmen transferieren oft große Summen, sodass auch dieser Prozess ein lohnenswertes Angriffsziel für Kriminelle ist.

5. Social Hacking: Diese Form des Angriffs wird meist begleitend zu einer der vorgenannten Methoden genutzt. Dabei versuchen Kriminelle, Mitarbeiter von Unternehmen zu Fehlern zu verleiten. Neben dem Ausführen von Schadsoftware in Anlagen von E-Mails kann dies das Nennen von Zugangsdaten sein. Der Angreifer übt häufig Druck auf die Personen aus. Dazu nutzt er etwa fingierte Begleitschreiben eines Vorgesetzten per E-Mail, die auf eine besondere Dringlichkeit hinweisen. Ebenso ist das Ausnutzen von Stresssituationen eine denkbare Variante. Für einen wirksamen Schutz vor Cyber-Risiken, darf der Angriffspunkt "Mensch" auf keinen Fall aus den Augen gelassen werden.

Mittelständische Unternehmen im Fokus von Kriminellen

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) geht davon aus, dass nur etwa 28 Prozent der Mittelständler für sich ein hohes Risiko sehen, Opfer einer Cyber-Attacke zu werden. Auch wenn die Namen der KMU meistens nicht überregional bekannt sind, bleibt die Gefährdung durch Cyber-Risiken unvermindert.

Dies hat zwei Gründe:

• Kleine und mittelständische Unternehmen nutzen gängige Spezial-Software und Hardware-Produkte großer Plattformen. Werden hier Sicherheitslücken bekannt, sind auch deren Netzwerke angreifbar. Cyber-Kriminelle scannen das Internet regelrecht nach im Einsatz befindlicher Hard- und Software mit bekannten Schwachstellen. Da solche Suchen bis zu einem gewissen Grad sehr gut zu automatisieren sind, ist davon auszugehen, dass jeder aus dem Internet erreichbare Rechner regelmäßig auf Verwundbarkeit getestet wird. Der Schutz vor Cyber-Risiken hat zudem nicht bei jedem Unternehmen den gleichen Stellenwert. So kann das verspätete Einspielen von Updates oder Patches ein echtes Problem werden.

• Unternehmen und Organisationen können in der Regel sehr gut durch sogenannte OSINT-Recherchen ausgekundschaftet werden. Dies bedeutet, dass sich Informationen aus frei verfügbaren Quellen sammeln und zu einer Art Profil zusammenführen lassen. Hier macht es für die Kriminellen die Masse. Je mehr potenzielle Angriffsziele sie finden, desto höher sind ihre Chancen auf tatsächlich erfolgreich durchgeführte Angriffe. Da Opfer von Cyber-Kriminalität aus jeglichen Branchen stammen, kann Ihr Unternehmen bereits durch die Suche eines Schlüsselwortes und eines Ortsnamens in den Fokus eines Angreifers geraten.

Daher besteht letztlich für nahezu jedes gewerbliche Unternehmen, aber auch für Organisationen und Behörden die Gefahr, zum Ziel von Cyber-Kriminellen zu werden. Aus diesem Grund sollten Sie dem Schutz vor Cyber-Risiken die notwendige Priorität einräumen.