Cyberkriminelle:
“Immer im strategischen Vorteil”
Philipp von Saldern (Cyber-Sicherheitsrat Deutschland e. V.) erklärt im Cybercheck-Interview unter anderem, welche Maßnahmen im Fall eines Cyberangriffs zu ergreifen sind.
Cybercheck: Viele Cyberattacken bleiben längere Zeit, wenn nicht ganz und gar unentdeckt. Woran liegt das?
Philipp v. Saldern: Ob ein Cyberangriff über einen längeren Zeitraum nicht entdeckt wird, hängt neben den IT-Sicherheitskompetenzen eines Unternehmens primär von den Motiven und dem Vorgehen der Cyberkriminellen ab. Wenn schnell Geld fließen soll, etwa als Lösegeldzahlung infolge eines Ransomware-Angriffs, werden Daten der betroffenen Systeme sofort, ohne „Inkubationszeit“ verschlüsselt. Der Cyberangriff fällt daher unverzüglich auf. Falls die Täter es auf ganz spezielle Informationen abgesehen haben, kann es durchaus vorkommen, dass der Angriff für längere Zeit unentdeckt bleibt. Mehrere Studien sprechen von durchschnittlich mehr als 100 Tagen, bis ein solcher Advanced Persistent Threat (APT) wahrgenommen wird. Die Cyberkriminellen gehen bei diesen hochprofessionellen Angriffen – zumeist um (Wirtschafts-)Spionage zu betreiben – sehr behutsam und zielgerichtet vor und dringen vorsichtig immer weiter in die Systeme ein, um die anvisierten Daten abzugreifen, Backdoors zu installieren oder um für Erste nur den Datenverkehr zu beobachten. Wegen der Professionalität eines solchen Angriffs bindet dessen Abwehr viele Ressourcen, was die frühzeitige Entdeckung des Schadprogramms weiter erschwert.
Cybercheck: Was sollte ein Unternehmen im Falle eines Cyberangriffs tun?
v. Saldern: Je schneller reagiert wird, desto geringer kann der Schaden gehalten werden. Vor allem sollte schon vor einem erfolgreichen Cyberangriff ein Notfallplan vorliegen und im Betrieb bekannt sein, um schnell und zielgerichtet agieren zu können. Darin sollte aufgezeigt sein, wer die entsprechenden Ansprechpartner und welche Maßnahmen einzuleiten sind. Auf IT-Ebene ist es wichtig, den Angriffszeitpunkt zu bestimmen, um die Systeme sicher wiederherstellen zu können. Auch die interne und externe Kommunikation sind bei einem Cyberangriff wichtig. Zum einen müssen sämtliche Mitarbeiter über die Lage und die eingeleiteten Maßnahmen unterrichtet werden. Zum anderen sollten vor allem kleine und mittlere Unternehmen, die personell und finanziell über geringere IT-Sicherheits-Ressourcen als Großkonzerne verfügen, den Kontakt zu den Behörden für Wirtschaftsschutz – primär zum jeweiligen Landes- beziehungsweise Bundesverfassungsschutz – und unterstützenden Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) suchen. Dort ist nicht nur Hilfestellung erhältlich, ein solcher Informationsaustausch zu IT-Sicherheitsvorfällen nutzt der gesamten deutschen Wirtschaft, da durch die Analyse von Angriffsvektoren passgenaue Cyber-Abwehrtechniken entwickelt und mit anderen Unternehmen geteilt werden können. Begrüßenswert sind zudem Projekte wie die Cyberwehr des Landes Baden-Württemberg, die als zentrale KMU-Anlaufstelle bei IT-Sicherheitsvorfällen fungieren soll.
Cybercheck: Und was sollte nach der akuten Krisenbewältigung passieren?
v. Saldern: Idealerweise wurden IT-Sicherheitsmaßnahmen schon vor einer Cyberattacke umgesetzt. Dazu gehören unter anderem ein funktionierendes Information Security Management System (ISMS), eine interne Risikoanalyse, um die als wertvoll identifizierten Daten besonders schützen zu können, sowie in sich stimmige Managementstrukturen, innerhalb derer die Geschäftsführung IT-Sicherheit auf allen Ebenen vorantreibt. Nach erfolgreichen Cyberangriffen sollten die IT-Sicherheitsvorkehrungen nochmals deutlich verstärkt werden. Oftmals werden Cyberangriffe von Innentätern – egal ob von fahrlässig oder vorsätzlich schädlich handelnden Mitarbeitern – ermöglicht. Es ist also unabdingbar, die eigene Belegschaft für die sich immer neu entwickelnden Cybergefahren zu sensibilisieren: Offensichtliche Spam-Mails mit dubiosem Inhalt und schlechtem Deutsch wurden mittlerweile von hochprofessionellen Phishing-Mails oder CEO-Fraud-Kampagnen ersetzt, die ein neues Bedrohungslevel darstellen. Um einen Flächenbrand im unternehmensinternen IT-Netzwerk zu verhindern, lohnt sich außerdem die Einrichtung eines konsistenten Zugriffsmanagements. Nicht jeder Mitarbeiter braucht Zugriff auf alle Dateien eines Unternehmens, und schon gar nicht Administratorenrechte. Auch der Einsatz externer Speichermedien (USB-Sticks) oder digitaler Endgeräte, die sowohl privat als auch beruflich genutzt werden, sollte reguliert werden.
Cybercheck: Für Aufsehen haben die Ransomwares WannaCry und Petya gesorgt. Waren sie nur der Anfang?
v. Saldern: Bei WannaCry und NotPetya handelte es sich um die ersten weltweiten Ransomware-Befälle, die kein bestimmtes Land ins Visier nahmen, sondern flächendeckend auftraten. Inwiefern sich Cyberangriffe dieses Ausmaßes wiederholen werden, bleibt abzuwarten. Auch der Konkurrenzkampf unter Cyberkriminellen wirkt sich auf deren Angriffstaktiken aus. Experten gehen etwa davon aus, dass sich Ransomware-Kampagnen ebenso wie Cyberkriminalität generell weiter professionalisieren und somit spezialisieren werden. Die Tendenz geht also zu gezielteren und mit höheren Lösegeldforderungen bedachten Angriffen.
Cybercheck: Was weiß man über die Täter?
v. Saldern: Die Täter sind heterogen: Einzeltäter, Täter aus dem Feld der organisierten Kriminalität, ideologisch oder aus rein finanziellen Interessen handelnde Kollektive sowie von staatlichen Stellen unterstützte Gruppierungen. Bei der Zuschreibung von Cyberangriffen muss man vorsichtig sein. Im Cyberraum gibt es eine Vielzahl an Möglichkeiten, die eigenen Spuren zu verwischen oder gar falsche Fährten zu legen. Zudem bildet der Cyberraum ein politisch angespanntes Feld. Ebenso stehen hinter Cyberangriffen auf nationale Unternehmen und Behörden nicht zwangsweise die „üblichen Verdächtigen“ Russland, China, Iran oder Nordkorea. Schließlich betreiben auch westliche Staaten Cyberspionage, und Cyberangriffe werden mittlerweile als erschwingliche Dienstleistung im Darknet angeboten. IT-Know-how ist demnach nicht mehr erforderlich, um erfolgreich IT-Systeme zu hacken.
Cybercheck: Schützen sich die Unternehmen hinreichend?
v. Saldern: Zunächst bleibt festzuhalten, dass es leider keine 100-prozentige Sicherheit gibt. Für die Angreifer bietet sich einfach eine zu große Angriffsfläche, zudem spielt bei der Abwehrfähigkeit von Systemen der Faktor Mensch eine wesentliche Rolle. Mittlerweile sind sich Unternehmen erfreulicherweise der potenziellen Gefahren im Cyberraum bewusst. Allerdings gibt es bei kleinen und mittleren Unternehmen noch ein Defizit hinsichtlich der Gefahrenwahrnehmung: viele Geschäftsführer sehen sich außerhalb des Visiers von Cyberkriminellen. Auf dieser Fehleinschätzung baut dann häufig eine Cybersicherheitsstrategie auf, die es Cyberkriminellen einfach macht: fehlende Cyberhygiene, rudimentäre IT-Sicherheits-Maßnahmen und kein ganzheitliches Sicherheitskonzept.