In der heutigen Zeit hört und liest man viel über Hackerangriffe, Cybercrime, Datendiebstahl und dennoch schätzen manche das Risiko für einen Cyberangriff als eher gering ein, da die eigens verwalteten Daten für einen Hacker als wertlos klassifiziert werden. Doch ist diese Annahme richtig, wird das Thema nur durch die Medien künstlich aufgeblasen oder ist das Risiko doch größer als gedacht?
Gehen wir dieser Frage auf den Grund: Laut dem Antivirenhersteller Kaspersky wurden zwischen den Jahren 1968 und 2006 eine Million unterschiedliche schadhafte Programme (ebenso bekannt als Malware) entdeckt, während alleine im Jahr 2017 117 Millionen gezählt wurden – Tendenz steigend. Auch bei den Internet-der-Dinge-Geräten (bekannt auch als IoT-Devices) stieg die Anzahl von 46 im Jahr 2013 auf 33.000 im Jahre 2017 an. Diese explosionsartigen Entwicklungen sind wohl auch ein Grund dafür, dass bereits mehr als 50 % aller österreichischen Betriebe schon eine negative Erfahrung durch Schadsoftware machen mussten. In anderen Worten diverser Experten: „Es ist nicht die Frage ob, sondern wann man gehackt wird“.
Stellt sich nun die Frage, warum Schadsoftware und Hackerangriffe boomen, wenn doch jahrzehntelang die Welt anders aussah? Die Antwort dazu lautet: Daten bedeuten Geld bzw. Wert. Das sieht man laut dem österreichischen Bundesheer beispielsweise daran, dass Stand Mai 2018 der Unternehmenswert von Technologieunternehmen wie z. B. Google (733 Mrd.), Apple (857 Mrd.), Amazon (569 Mrd.), Facebook (516 Mrd.) und Microsoft (661 Mrd.) alleine um ein Vielfaches höher war als beispielsweise Daimler, Volkswagen und BMW zusammen erzielten (218 Mrd.) – man beachte das relativ junge Alter von z. B. Google (Gründungsjahr 1998). Ein anderer Vergleich veranschaulicht ganz eindrucksvoll diese These: Die teuerste von Menschenhand gebaute Maschine ist die Internationale Raumstation (ISS), deren Entwicklung und Bau 150 Mrd. Dollar verschlungen hat. Der geschätzte Schaden durch Cyberangriffe im Jahr 2017 betrug 600 Mrd., selbst der weltweite Drogenhandel kann mit diesen Zahlen nicht mehr mithalten.
Vorbei sind die Zeiten, als sogenannte „Script-Kiddies“ mit wenig Aufwand und ein wenig Know-how Viren und Würmer programmierten, die Programme oder Systeme zum Absturz brachten – heute hat man es mit ganzen Industrien im Untergrund zu tun, deren Budget und Möglichkeiten mit jedem geglückten Angriff steigen. Die Angriffe werden immer ausgeklügelter, die Opfer werden gezielt ausgewählt. Die Angreifer selbst gehen meist ein geringes Risiko ein: Im Internet existieren keine Grenzen, es gibt kein Passfoto, man hinterlässt keine DNA, lebt womöglich auf der anderen Seite des Erdballs oder es existieren gar andere gesetzliche Bestimmungen. Wohl auch deshalb lässt sich im Darknet als Laie (oder gar Konkurrent) so manche Schadsoftware kaufen, teils mit Supporthotline oder garantierten Leistungen mit Geld-zurück-Garantie – die Liste der Möglichkeiten ist lang.
Bin ich gefährdet, kann man mich überhaupt angreifen? Nun, mit Hackerangriffen ist es wie mit einem Einbruch in ein Gebäude: Eine einzige Schwachstelle bzw. ein offenes Fenster reicht. Dass es praktisch nie ein vollumfänglich sicheres System gibt, hat die Vergangenheit schon viel zu oft bewiesen. Man denke nur an die gestohlenen Tools der NSA, die Monate später eine Angriffswelle unter dem Namen „WannaCry“ ausgelöst hat – durch diesen Verschlüsselungstrojaner konnten Krankenhäuser ihre Patienten nicht mehr aufnehmen, Bahnunternehmen konnten Fahrpläne nicht mehr einhalten, Fastfood-Ketten konnten nur mehr Bestellungen mittels Notizblock aufnehmen, bei Autobauern stand das Fließband still. Das spezielle an diesem Fall: Das entsprechende Update von Microsoft, um die Sicherheitslücke zu schließen, wurde Wochen zuvor kostenlos zur Verfügung gestellt – selbst für das nicht mehr supportete Betriebssystem XP. Dass Microsoft zuvor noch nie solch ein Update für ein nicht mehr gewartetes Betriebssystem zur Verfügung gestellt hatte, konnte zu diesem Zeitpunkt als Wink mit dem Zaunpfahl verstanden werden, trotzdem kam die Botschaft nicht überall an. Anhand von diesem Beispiel sieht man wunderbar, dass selbst große Betriebe mit eigenen IT-Abteilungen oft diese Updates nicht installieren können – oder vielleicht einfach das Risiko unterschätzen. Gerade Industriebetriebe (oder auch Stromversorger) kämpfen mit der Tatsache, dass Steuerungs- und Produktionsanlagen oft nur mit bestimmten (aus den Jahren gekommenen) Betriebssystemen kompatibel sind – die Installation eines Sicherheitsupdates kann zur Folge haben, dass die gesamte Produktion zum Stillstand kommt, weshalb die Updates nie installiert werden.
Ein Cyberangriff kann jeden treffen, unabhängig von der Sensibilität der gespeicherten Daten.
Wenn selbst große Betriebe mit eigenen IT-Abteilungen und großen Budgets diese Gefahren nicht abwenden können, so bedeutet dies, dass grundsätzlich niemand vor Cybervorfällen geschützt ist – denn Schadsoftware fragt grundsätzlich nicht nach dem Namen. Ein weiteres eindrucksvolles Beispiel: Die Schadsoftware Silence. Hier hat sich ein kleines Team an Kriminellen in Bankennetze eingeklinkt und sich dadurch über Monate hinweg unauffällig Millionen verschafft – dass Bankensysteme spezielle Sicherheitsvorkehrungen aufweisen hat in diesem Falle wenig geholfen. Aber nicht immer müssen Angriffe speziell ausgeklügelt sein, denn oft ist der einfachste Weg auch der effektivste: Eine Schadsoftware, versteckt in einer Bewerbung, direkt versendet an die Personalabteilung, mit einem Bewerbungsschreiben zu einer aktuell ausgeschriebenen Stelle, lässt erst gar keinen Verdacht beim Empfänger aufkommen. Man kann den Kollegen vom Personalbüro auch keinen Vorwurf machen, wenn dieser einfach nur seine Arbeit macht.
Doch nicht alle Cybervorfälle basieren auf Schwachstellen oder Schadsoftware, es gibt verschiedene Arten der Bedrohung. Während beispielsweise sogenannte Denial-of-Service Attacken (DoS) lediglich dem Zweck dienen, Systeme unverfügbar oder langsamer zu machen, so fordert Ransomware (auch bekannt als Verschlüsselungstrojaner) Geld vom Opfer, um die zuvor verschlüsselten Daten wieder lesbar bzw. nutzbar zu machen. Bei CEO-Fraud oder Rechnungsmanipulationen versuchen Kriminelle, Angestellte gezielt zu täuschen, sodass diese Beträge auf die Konten der Betrüger überweisen.
Es gibt aber auch die sogenannten Insider-Fälle: Ein gekündigter Angestellter, der Rache ausübt und die Systeme des ehemaligen Arbeitgebers zerstört oder droht, Daten zu veröffentlichen, sollte nicht eine Lösegeldzahlung stattfinden. All diese Variationen haben eines gemeinsam: Sie kosten Betriebe richtig viel Geld. Doch kann dies wirklich jeden Unternehmer treffen oder nur jene mit sensiblen Daten?
Denial-of-Service Attacken richten sich nicht nach dem Inhalt oder der Wichtigkeit von Daten, diese Attacken wollen nur die Verfügbarkeit eines Systems unterbinden, indem die Systeme des Opfers mit einer hohen Anzahl an Anfragen konfrontiert werden, bis keine Antworten aufgrund Überlastung mehr möglich sind. Ein Beispiel dazu wären Angriffe auf Buchungssysteme von Hotelbetrieben – ohne Buchung kein Ertrag. Ransomware stiehlt im Regelfall ebenso keine Daten – macht diese jedoch für den Anwender unbrauchbar. Dies kann z. B. auch Produktionsbetriebe treffen, die dann plötzlich keinen Zugriff mehr auf Planunterlagen oder geschäftskritische Anwendungen haben. Auch hier spielt der Wert der Daten für den Angreifer keine Rolle – es geht rein um den Wert der Daten für das Opfer. Schlussendlich gibt es natürlich auch den berühmten Datenklau – der in Zeiten der DSGVO nicht mehr unterschätzt werden darf, da beispielsweise Geschäftsführer hier mit ihrem persönlichen Vermögen haften.
Jeder kann ein Opfer eines Cyberangriffes werden, dazu tragen auch die Internet-of-Things Geräte (IoT) bei. Der Smart-TV, der Streamingdienste wie Netflix über das Internet nutzt, die Kaffeemaschine, die automatisch die Bohnen nachbestellt oder den Servicetechniker ruft. Der Herd, mit dem wir vom Smartphone aus das Essen erhitzen können, die Überwachungskamera, die das Firmengelände zeigt, das smarte Zuhause, mit dem sich Lichter und Temperatur steuern lassen. All diese Geräte werden von uns freiwillig in unsere Netzwerke integriert. Wie lange und ob wir überhaupt Sicherheitsupdates für diese Geräte bekommen, beschäftigt die wenigsten. Viele solcher Geräte beinhalten veraltete Standards mit schwachen Verschlüsselungen oder Sicherheitslücken, die jahrelang bekannt sind, die aber aufgrund von fehlenden Updates (aufgrund von Sparmaßnahmen durch den Preisdruck der Hersteller) nie gestopft werden. Ein Angreifer selbst muss nicht mal mehr manuell eingreifen: Ist die Schadsoftware erst entwickelt, so läuft alles automatisch ab – vom Auffinden des Gerätes bis zur Übernahme des Gerätes – merken wird es ohnehin keiner. Eines ist klar: Ein IoT-Gerät wird hoffentlich keine sensiblen Kundendaten beinhalten – aber es kann als Einfallstor in Ihr Netzwerk dienen.
Wir bei comit können Sie nicht aktiv vor Cyberattacken schützen, aber wir befassen uns intensiv mit dem Thema Cybercrime und haben Lösungen, die Ihnen im Ernstfall professionelle Hilfe durch 24-Stunden-Hotlines und anerkannte IT-Forensiker anbieten. Weitere Module beinhalten Leistungen bei Betriebsunterbrechung (hervorgerufen durch Cybervorfälle) und die professionelle Hilfeleistung bei DSGVO-Verstößen.
Wie schätzten Sie das Gefahrenpotential in der Onlinewelt für Ihren Betrieb ein?
