Cyber Security IT-Risiken im Mittelstand erkennen, vorbeugen, versichern

Menü

Was kann mir schon gross passieren?

Header was kann mir schon gross passieren 800

Visite 2.0 heißt das Projekt, mit dem das Lukaskrankenhaus in Neuss voll auf Digitalisierung setzt: Ärzte und Pflegekräfte laufen mit iPads herum, um Daten direkt am Krankenbett abzurufen und einzugeben. Das sorgt für effektivere Prozesse – solange die Daten zugänglich sind. Das ändert sich schlagartig, als ein Mitarbeiter den Anhang einer Mail öffnet und ein Virus von dort aus das Computersystem der Klinik lahmlegt. Die Hacker melden sich und versprechen, das Problem zu lösen – für einen Obolus. Statt sich erpressen zu lassen, fährt das Krankenhaus alles herunter und schaltet um auf händischen Betrieb. Vier Tage dauert es, das System zu säubern; insgesamt zehn Tage, bis es wieder hochgefahren ist.

Ransomware

Angreifer schleusen Ransomware etwa über E-Mail-Anhänge in die Computer ihrer Opfer ein und lassen sie dort Dateien verschlüsseln. So werden Dokumente, Fotos, E-Mails, sogar komplette Datenbanken unbrauchbar. Wer wieder an seine Daten will, muss den Angreifern ein Lösegeld („ransom“) zahlen.

Da Ransomware vergleichsweise einfach zu programmieren ist, entstehen immer neue Versionen. Virenscanner kommen da kaum nach.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät nachdrücklich, kein Lösegeld zu zahlen: „Jede erfolgreiche Erpressung motiviert den Angreifer, weiterzumachen. Sie finanziert die Weiterentwicklung der Schadsoftware und fördert deren größere Verbreitung.“ Damit steige die Gefahr, demnächst mit einem ausgefeilteren Verfahren erneut erpresst zu werden. Zudem, so das BSI, gebe es keine Garantie, dass die Erpresser die Daten tatsächlich entschlüsseln.

Auf rund 1 Million Euro beziffert Nicolas Krämer, kaufmännischer Direktor des kommunalen Krankenhauses, den Schaden. Der größte Teil dieser Summe sei an „an sündhaft teure IT-Sicherheitsexperten“ geflossen. Viel Geld für das Lukaskrankenhaus, das von der Größe her ein veritabler Mittelständler ist.

Und die sind besonders bedroht, wie eine Umfrage des IT-Branchenverbandes Bitkom zeigt: 61 Prozent aller Cyberangriffe richten sich gegen Mittelständler. Der wirtschaftliche Schaden liegt im Schnitt bei 80.000 Euro, besagt eine PwC-Studie, in manchen Fällen bei über 500.000 Euro. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Allianz für Cyber-Sicherheit gegründet, um Unternehmen bei der Aufrüstung zu unterstützen. Die Sicherheit der Firmen sei gefährdet, sagt BSI-Präsident Arne Schönbohm: „Die organisierten Kriminellen verdienen mit Cyberangriffen mehr Geld als mit Drogen.“

Zum Ziel solcher Angriffe wird früher oder später jedes Unternehmen. 2016 wurden 56 Prozent aller deutschen Unternehmen von Cyberschädlingen angegriffen, besagt eine Umfrage des Spezialversicherers Hiscox – und sie sind nicht darauf vorbereitet. 62 Prozent der Unternehmen, eine „erschreckend hohe Zahl“, seien „Cyberanfänger“, sagt Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland.

Tatsächlich ist der Umgang mit dieser Gefahr bisher eher schizophren. Zwar ist das Risikobewusstsein gestiegen, wie die E-Crime-Studie der Beratungsgesellschaft KPMG zeigt: 89 Prozent der Führungskräfte sehen ein hohes bis sehr hohes Risiko, dass deutsche Firmen zum Opfer werden. Doch nur 39 Prozent halten ihr eigenes Unternehmen für gefährdet. Entsprechend nachlässig gehen sie mit virtuellen Gefahren um: 71 Prozent der Unternehmen verzichten auf Cybersicherheitsrichtlinien, nur 17 Prozent haben einen zertifizierten IT-Grundschutz. Und von den Unternehmen, die das neue IT-Sicherheitsgesetz verpflichtet, ein Informationssicherheits-Managementsystem aufzubauen, haben das erst 41 Prozent getan.

Mein Mitarbeiter, der unfreiwillige Komplize

609.000

Euro kostet es deutsche Unternehmen durchschnittlich, den Schaden durch die Verletzung von Geschäfts- und Betriebsgeheimnissen auszugleichen.

Die Firmen hinken nicht nur in der Technik hinterher, auch bei der Sensibilisierung der Mitarbeiter sieht etwa das BSI Nachholbedarf: Meist öffnen Menschen das Einfallstor für Cyberattacken. Etwa indem sie unbewusst helfen, Schad- und Spionagesoftware in der Firmen-IT zu platzieren. Meistens über täuschend echte Mails mit seriös wirkenden Anhängen, angeblich Lieferscheine, Angebote, Rechnungen oder andere Geschäftsdokumente, die beim Anklicken den Rechner infizieren und sich im Firmennetz verbreiten – so wie beim Lukaskrankenhaus in Neuss. Auch über soziale Netze wie Facebook verschicken Hacker gefälschte Nachrichten mit Links oder Anhängen, die beim Anklicken Schadsoftware installieren.

ERST KAMEN DIE SPIONE, JETZT FOLGEN DIE ERPRESSER:

Infografik herunterladen

Schadsoftware sei im Internet in unzähligen Varianten frei verfügbar, sagt Robert Reinermann, Sprecher der Geschäftsführung der GDV-Tochter VdS Schadenverhütung: „Angriffstools lassen sich im Darknet für wenige Dollar kaufen – oft sind sie sogar mit Erfolgsgarantie erhältlich!“ Die Zeit stümperhaft formulierter Mails („Hallo, hier ihre Bank. Sie jetzt handeln um zu vermeiden Sperrung Konto“), die viele Internet-User aus ihren Postfächern kennen, ist vorbei.

Betroffen von Angriffen sind nicht nur die „Hidden Champions“ mit ihrem wertvollen Know-how, ihren Patenten und Technologien. Zwar gibt es weiter Industriespione, doch verlagert sich der Fokus der meisten Cyberkriminellen. Einige greifen nach Informationen über interne Betriebsabläufe, andere nutzen Mitarbeiter-, Kunden- oder Bankdaten für Betrugsgeschäfte. So haben Hacker über gestohlene Kreditkartennummern online Bahnfahrkarten gekauft und diese auf Auktions- und Mitfahr-Plattformen zu Geld gemacht, wie das Bundeskriminalamt (BKA) berichtet.

Auf der Suche nach solchen Daten geraten selbst kleine Betriebe schnell ins Visier der Kriminellen. So drang ein internationaler Hacker-Ring ins Kassensystem eines Restaurants in Sachsen ein und fischte die Kreditkarteninformationen von etwa 400 Gästen ab. Der Schaden für den Gastronomen, der zuerst einen IT-Forensiker hinzuzog und schließlich ein neues Kassensystem kaufen musste: mehr als 100.000 Euro.

337.000

Euro kostet das Beseitigen von Schäden durch Cybererpressungen, besagt die KPMG-Studie über E-Crime.

„Die Hackerszene geht heute hochprofessionell vor, wir haben es mit top ausgebildeten und international operierenden Banden zu tun“, sagt Bernd König, bei T-Systems zuständig für Cyber Security. Dabei zeigen sich die Cyberkriminellen immer weniger am Wissen des Unternehmens interessiert, stattdessen geht es darum, die Firmen-IT lahmzulegen oder die IT-Infrastruktur für eigene Zwecke zu nutzen. So wurden beispielsweise weit verbreitete Router manipuliert, damit die Hacker über sie teure Sonderrufnummern anrufen konnten.

» Schadsoftware ist im Internet in unzähligen Varianten frei verfügbar. Angriffstools lassen sich für wenige Dollar kaufen – oft sogar mit Erfolgsgarantie!«
Robert reinermann, Sprecher der Geschäftsführung bei VdS Schadenverhütung

Und das Unternehmenmerkt gar nichts

Oft kriegen Unternehmen nicht einmal mit, was ihre Rechner so treiben. Hacker können infizierte Firmen-PCs über das Internet mit anderen infizierten PCs zu einem Rechner-Netzwerk zusammenschalten, über das sie Spam verschicken oder Angriffe auf Server starten. Im vergangenen November sollten 900.000 Telekom-Router in solch ein mächtiges Botnetz eingebaut werden – der Plan ging zwar schief, aber Tausende Telekom-Kunden saßen da ohne Telefon und Internet.

VIREN, WÜRMER UND TROJANER

eine kurze Geschichte digitaler Freibeuterei

Ein ganzer Dienstleistungssektor beruht auf Botnetzen, deren Dienste man im Darknet problemlos mieten kann. Zum Beispiel, um „Distributed Denial of Service“-Angriffe (DDoS) zu fahren, bei denen ein Internetserver mit so vielen Anfragen bombardiert wird, dass er zusammenbricht. Hacker nutzen DDoS-Angriffe auch, um Lösegeld zu erpressen, etwa von Onlineshops, denen sie mit der Vernichtung ihrer Existenz drohen.

Angreifer brauchen dazu wenig Fachwissen, doch das dahinterliegende Know-how ist immens. Markus a Campo, IT-Sicherheitsexperte beim Beratungsunternehmen Experton Group, hat kürzlich einen Trojaner analysiert, der sich als Banking-Homepage oder -App ausgibt und unbemerkt vom Nutzer Passwörter und Tan-Listen kopiert, per Mail verschickt und dann das betreffende Konto räumt. „Dieser Trojaner bestand aus über 7000 Software-Modulen“, sagt Campo. „Das heißt: Hier war nicht nur ein Hacker im stillen Kämmerlein am Werk, sondern eine ganze Mannschaft von mindestens 30 bis 40 Leuten, die ein Software-Entwicklungsprojekt mit Qualitätssicherung und allem Schnick und Schnack durchgezogen haben. Professioneller geht es kaum.“

Profis sprechen von Phishing, wenn Opfer auf gefälschte Websites oder Apps hereinfallen. Laut einer BSI-Untersuchung zählt es zu den größten Sicherheitsrisiken in der indus­triellen Fertigung, bei der Stromversorgung und Logistik. Ebenfalls auf der Liste der Risiken: verseuchte Datenträger und Drive-by-Angriffe, also Schadprogramme, die allein durch das Ansurfen einer präparierten Website auf den Rechner gelangen. Möglich ist das, weil Hacker ständig neue Sicherheitslücken, Exploits genannt, in Web-Browsern und Internetanwendungen wie Adobe Flash entdecken und nutzen.

Die größte aktuelle Bedrohung sind Erpresserprogramme: Ransomware breitet sich mit rasanter Geschwindigkeit aus. Sie macht fast 40 Prozent der im Jahr 2016 verschickten Spam-Mails aus, errechnen Forscher von IBM X-Force, den Sicherheitsexperten des IT-Konzerns; im Jahr zuvor waren es lediglich 0,6 Prozent. In diesen Mails wird – häufig sehr überzeugend formuliert – zum Öffnen eines Dateianhangs oder Anklicken eines Internet-Links aufgefordert, hinter dem sich die aktuellste Version des Schädlings verbirgt. Das FBI schätzt, dass allein in den ersten drei Monaten 2016 (und allein in den USA) 209 Millionen Dollar von den Opfern erpresst wurden.

Investitionen in Sicherheitlohnen sich auf alle Fälle

Frühere Versionen dieser Schadprogramme blockierten den Zugang zum Rechner: User bekamen nur einen Sperrbildschirm zu sehen. Er forderte zur Zahlung einer Strafgebühr für angeblich illegale Aktivitäten auf, die vom BKA, der Gema, Microsoft oder anderen Organisationen entdeckt worden seien. Solche simplen Ransomware-Varianten sind fast komplett vom Markt verschwunden. Die jetzige Welle ist viel gefährlicher. Aktuelle Ransomware wie Locky oder Teslacrypt verschlüsselt Daten auf den Rechnern und gibt sie erst nach der Zahlung von Lösegeld in der anonymen Internet-Währung Bitcoin wieder frei.

Hat sich so eine Ransomware erst einmal auf dem Rechner eingenistet, ist alles zu spät. Die Verschlüsselungsalgorithmen sind nicht zu knacken. Wer nicht zahlt, ist seine Dateien los. Es sei denn – und das ist die gute Nachricht –, er hat Back-ups angelegt. Wer regelmäßig seine Daten sichert und diese sicher lagert, hat die besten Chancen, die Folgen eines Ransomware-Angriffs kleinzuhalten – und diese Folgen können empfindlich sein.

Laut einer BSI-Umfrage wurde fast jede dritte von rund 600 befragten Institutionen mit Ransomware angegriffen. 23 der 190 Betroffenen meldeten einen erheblichen Ausfall von Produktion und Dienstleistung, 21 verloren wichtige Daten, bei vieren gefährdete der Angriff sogar die wirtschaftliche Existenz.

Lösegeld hat fast keines der Unternehmen bezahlt. Ein kluger Entschluss, findet das BSI: Alles andere würde die Ransomware-Banden weiter ermutigen. Deren Geschäft ist lukrativ und gut organisiert. Niemand muss mehr selbst programmieren können, um einen Angriff zu starten; es gibt dafür fertige Bausätze, die man für wenige Hundert Euro nutzen kann. Im Preis inbegriffen: eine Server-Infrastruktur, die die Ransomware streut und die Lösegeldzahlungen abwickelt. Die Hälfte des Lösegelds nimmt der Anbieter für diese Dienstleistung; wer einen höheren Basispreis zahlt, bekommt bessere Konditionen.

Auf Smartphones soll sich in den vergangenen Monaten die Zahl der Ransomware-Angriffe verfünffacht haben. Besonders gefährdet sind Android-Geräte – allerdings beschränkten sich die meisten Angriffe bislang darauf, das Telefon zu sperren, die Daten bleiben intakt und können gerettet werden. Inzwischen verbreitet sich aber eine Ransomware namens Cyberlocky, die auch Daten verschlüsselt und über präparierte Webseiten jedes Android-Telefon befallen kann, auf dem nicht min­destens die Betriebssystemversion 5.0 läuft. Als gefährdet galten lange nur Windows-Rechner, inzwischen ist auch eine MacOS-Ransomware namens Ke-Ranger bekannt.

Dass 95 Prozent der bekannten Smart­phone-Schadsoftware für Android geschrieben werden, liegt eben nicht nur daran, dass dieses Betriebssystem am weitesten verbreitet ist – sondern auch daran, dass auf vielen Modellen veraltete Versionen laufen, bei denen längst bekannte Sicherheitslücken nicht mehr geflickt werden. Wie wichtig solche Updates sind, zeigt die Spionage-Software Pegasus, die auf iPhones unter anderem Passwörter und E-Mails abgreift. Rund zwei Wochen nach den ersten Hinweisen auf den erstaunlich ausgefeilten Schädling stellte Apple ein Update bereit, das Pegasus blockiert.

Überhaupt sind Smartphones und Tablets, die heute in vielen Betrieben auch für die Überwachung von Produktionsanlagen oder für den Vertrieb genutzt werden, eines der wichtigsten Einfallstore für Hackerangriffe. Nicht nur wegen der vielen hochsensiblen Daten, die Nutzer heute ihren mobilen Endgeräten anvertrauen, sondern auch wegen ihres sorglosen Umgangs damit: Smartphones werden mit ungeschützten WLAN-Netzwerken in Cafés oder Flughäfen verbunden, mit Apps aus nicht vertrauenswürdigen Download-Portalen bespielt oder im Taxi oder Zug liegen gelassen. Was, wie eine Kaspersky-Studie zeigt, nur etwa die Hälfte der Mitarbeiter innerhalb von 24 Stunden meldet – 2013 waren es noch 60 Prozent.

Offenbar hat sich der Ernst der Lage noch nicht bei allen herumgesprochen.

S 16 181152202
Cyberangriffe gehören heute zum Alltag, und wir müssen lernen, damit umzugehen.
Dr. Angela Merkel, Bundeskanzlerin
top