Die Bedrohung wächst

Der klassische Banküberfall wird immer mehr von dreister Cyberkriminalität abgelöst. Neustes Beispiel: Einem Freiburger KMU wurde ein siebenstelliger Betrag gestohlen. Hierbei simulierte der Angreifer mittels gestohlener E-Mailadressen einen Geschäftspartner. Damit konnte das Opfer dazu bewegt werden, einen E-Mail-Anhang zu öffnen, der dem Angreifer durch die Installation eines Trojaners den Diebstahl ermöglichte.

Dieses Beispiel zeigt: Die Angreifer müssen sich ein Wissen über das Opfer aneignen, beispielsweise über Mailadressen des Geschäftspartners. Sie werden immer gescheiter und sie nutzen die Schwachstelle Mensch (Social Engineering), um sich gesetzeswidrig zu bereichern, Daten zu stehlen oder an Firmengeheimnisse zu gelangen. Doch wie kann und muss sich ein Unternehmen schützen?

„Die meisten großen Firmen – insbesondere Banken – sind mittlerweile derart gut gegen Angriffe von außen geschützt, dass die Angreifer vermehrt versuchen, über Zulieferer, Subunternehmen oder Partner einen Zugang an die gewünschten Unternehmensdaten zu erhalten“, erklärt Tobias Ellenberger, COO der Oneconsult AG. Das Unternehmen ist mit 18 Mitarbeitenden bei mehr als 200 Unternehmen in der Schweiz, Europa und Übersee in den Bereichen IT-Security, konzeptionelle Security Audits und digitale Forensik tätig.

Damit ist auch klar: Die Unternehmensgröße ist nicht maßgebend, wie stark der Schutz eines Unternehmens sein muss. „Wir beraten Unternehmen in der Größe von drei Computerarbeitsplätzen bis zu über 150.000. Die Grundsatzfrage lautet: Habe ich sensible, schützenswerte Daten? Und wenn man eingangs erwähntes Beispiel betrachtet, hat beinahe jedes Unternehmen schützenswerte Daten, wie Personaldaten, Insiderwissen oder eben auch E-Mail-Adressen von Geschäftspartnern, welche für einen weiterführenden Angriff verwendet werden können.“

Das heißt, Schutz vor unberechtigtem Datenzugriff ist heute für alle wichtig. Dies gerade dann, wenn man weiß, dass immer mehr periphere Geräte wie Videokameras, Drucker oder Smartphones sowohl ans interne Netzwerk wie auch ans Internet angeschlossen werden. Ellenberger nennt aber auch das Stichwort Scada-Systeme (Supervisory Control and Data Acquisition) sowie Industriesteuerungen, die nie für eine Einbindung ins Internet konzipiert wurden. In diesen Geräten liegt ein großes Gefahrenpotenzial. Sie sind, wenn überhaupt, nur teilweise ausgerüstet, um Angriffe abzuwehren.

Gerade die Steuerungssysteme in der Industrie waren bis jetzt in sich geschlossene Systeme, die abgekoppelt von allem andern operierten. In jüngerer Vergangenheit hat man die Geräte fit gemacht, dass sie über IP angesprochen werden können und hat sich nicht darum gekümmert, wie die Geräte sicher gemacht werden könnten. „Bei diesen Steuerungen stehen wir da, wo wir vor Jahren mit den Computern waren“, gibt Ellenberger zu bedenken.

Ist der Cyberkriminelle einmal auf der Steuerung, der Netzwerkkamera, dem Drucker oder dem Fernseher, ist der Schritt ins firmeninterne Netz meist nicht mehr weit. Ellenberger weist darauf hin, dass anhaltend mehr und in beständig schnelleren Zeitabständen solche Geräte auf den Markt kommen. „Deshalb sollte sich jeder IT-Verantwortliche bevor eine neue Technologie implementiert wird zentrale Fragen nach der Sicherheit der Geräte und welchen Schutz sie gegen Angriffe von außen bieten, stellen.“ Ellenberger geht zwar davon aus, dass die schweizerischen Unternehmer im Bereich Internet-Security „relativ gut unterwegs“ sind, dass es aber noch Luft nach oben gibt.

Neben technischen und konzeptionellen Security Audits ist die Oneconsult auch in der digitalen Forensik tätig und wird unter anderem bei Malware-Attacken und Daten beauftragt, die Spuren der Täter zu verfolgen und Ereignisse nachzuvollziehen – übrigens ein wachsender Unternehmenszweig. Waren es bis vor Kurzem pro Monat noch ein bis zwei Vorfälle, die abgeklärt werden mussten, sind es heute im Durchschnitt zwei bis vier. Gemäß Ellenberger ist es aber oft schwierig, den kriminellen Akt einer bestimmten Täterschaft zuzuordnen. „Die Anonymisierung ist heute ziemlich einfach und wenn der Angreifer länderübergreifend operiert, ist die Chance, dass er erwischt werden kann, relativ gering.“