Cyberkriminalität als Geschäftsmodell mit Zukunft

Hacker bedrohen Unternehmen weltweit immer stärker. Die Größe ihrer Ziele oder die Branche, die sie attackieren, spielen keine Rolle. Ein Großteil der Cyberkriminellen wählt den Weg der Erpressung.

Produzierende Unternehmen sind beliebte Opfer, wobei ein Produktionsstillstand massive, schmerzliche Folgen hat.

Anzeige

Bei Hackern nur an Nerds zu denken, die in dunklen Zimmern sitzen, ist ein längst überholtes Bild. Wer heute in IT-Systeme einbricht, tut dies hochprofessionell. Die Strukturen besitzen Business-Charakter. Die Motive: Schaden zufügen, an Geschäftsgeheimnisse gelangen – oder eben Geldgier. Dabei werden die Daten von Unternehmen über eingeschleuste Schadsoftware, sogenannte Ransomware, verschlüsselt und nur nach Zahlung eines Lösegelds wieder freigegeben. 70 Prozent der befragten Unternehmen waren bereits Opfer einer solchen Erpressung, wie die IDC-Studie Cybersecurity in Deutschland 2021 zeigt.

Produzierende Unternehmen im Fokus

Immer häufiger werden produzierende Unternehmen Ziel solcher Erpressungen und deren produktionsrelevante Systeme lahmgelegt. Die schmerzlichen Folgen: häufig wochenlanger Produktionsausfall mit direkten finanziellen Folgen, Abwan­derung von Kunden, Imageverlust. Erstaunlich ist daher, dass laut einer Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft 56 Prozent der befragten produzierenden Unternehmen das Risiko für Cyberkriminalität für ihre Branche zwar mindestens als hoch einschätzen, aber nur 42 Prozent eine Gefahr für ihr eigenes Unternehmen sehen. Dabei ist zu wissen: Cyberkriminelle suchen sich ihre Opfer nicht zufällig aus. Sie verfolgen konkrete Ziele. Bei Erpressung recherchieren sie die finanzielle Situation des Opfers und passen die Lösegeld-Summe entsprechend an. Bei der Auswahl spielen weder Branche und Unternehmensgröße noch die Art der Daten eine Rolle.

Professionalisierung nimmt zu

Cyberkriminelle von heute betreiben ein professionelles Business. Umso wichtiger ist es, zu wissen, wie sie dabei vorgehen, damit sich Unternehmen vor Hackerangriffen gezielt schützen können. Bei einer Erpressung versuchen die Hacker, die Ransomware möglichst breit gestreut ins Unternehmen einzupflanzen. Die Schritte der Attack Chain:

Anzeige
  • Informationsbeschaffung
  • Initialer Zugriff
  • Ausführung der ersten Schadsoftware
  • Ausbreitung im Firmennetzwerk (IT und OT)
  • Ausführung der Ransomware und Verschlüsselung der Systeme

Der erste Schritt besteht in der Beobachtung des Zielunternehmens und der Sammlung von Informationen. Meist greifen Hacker dafür nicht nur den Hauptsitz an, sondern auch die Niederlassungen im In- und Ausland. Der initiale Zugriff erfolgt zwar in der Regel über einen einzelnen Rechner. Attraktiv wird es für Cyberkriminelle aber meist erst dann, wenn sie sich in der kompletten IT-Umgebung sowie gegebenenfalls auch der Operational Technology, kurz OT, ausgebreitet haben, die für eine reibungslose Produktion unverzichtbar ist.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Viele Türen verschaffen Zugang

Den initialen Zugriff erhalten Cyberkriminelle zunächst dadurch, dass sie die nötigen Zugangsdaten ausspähen. Das funktioniert beispielsweise über die bekannten Phishing-Mails, die E-Mails von Unternehmen wie Banken, IT-Dienstleistern oder Kurierdiensten täuschend ähnlich sind. Die Links in den E-Mails führen zu gefälschten Websites, die Besucher dazu verleiten, sensible Daten anzugeben. Das Aussehen solch krimineller E-Mails ist immer professioneller geworden. Selbst geübten Personen fällt es oft schwer, sie als das zu erkennen, was sie sind. Selbst E-Mails der bekannten Karriere-Netzwerke sind mittlerweile mit Vorsicht zu genießen, auch sie können gefälscht sein.

Software sorgfältig prüfen

Eine weitere beliebte, weil einfache Methode ist die Verbreitung einer Schadsoftware, so genannter Exploits, als unverdächtiger Anhang einer E-Mail. Beim Öffnen des Anhangs beginnt die Schadsoftware zu arbeiten. Sie findet Sicherheitslücken und nutzt diese aus, womit sich die Hacker auf dem betreffenden Rechner einnisten können. Eine weitere Methode sind Fälschungen bekannter Softwareprodukte, arglistiger Weise oft von Antivirensoftware. Entweder enthält die Software die Malware direkt oder diese wird beim ersten Update heruntergeladen – schließlich ist ein Virenschutzprogramm fortlaufend zu aktualisieren. Daher sollten Firmen ihre Software immer nur aus bekannten Quellen beziehen.

Rechtevergabe als Einfallstor

Oft attackieren Cyberkriminelle auch Firewalls, Systeme zur Erkennung von Eindringlingen (Intrusion Detection Systems) sowie Intrusion-Prevention-Systeme direkt, um diese zu kompromittieren und Zugang zu Computersystemen hinter diesen Schutzmechanismen zu erhalten. Dank all der so erbeuteten Informationen und Daten können sich Cyberkriminelle wiederum Zugriff auf weitere Systeme im Unternehmen verschaffen. Zumeist versuchen sie dabei, sich weitere Rechte zu erschleichen, um beispielsweise als vermeintlicher Administrator auftreten zu können. Dafür gibt es spezielle Software, sogenannte Root Kits. Dann stehen Tür und Tor offen, die eigentliche Ransomware zu verbreiten und auszuführen – meist unbemerkt von den Mitarbeitenden. Sobald eine kritische Zahl von Geräten damit befallen ist, baut sich eine Druckkulisse auf – entweder über die Androhung der Veröffentlichung sensibler Daten oder durch deren Verschlüsselung – was das Unternehmen lahmlegt. Um sicherzugehen, beschreiten Hacker oftmals beide Wege.

Schwachstellen systematisch aufdecken

In Kenntnis der Methoden von Cyberkriminellen stehen Unternehmen eine Reihe von Schutzmaßnahmen zur Verfügung. Zunächst gilt es, die bestehenden Sicherheitslücken konsequent zu identifizieren und zu schließen, bevor Hacker sie erkennen und für eine Cyberattacke ausnutzen können. Dieses Management der Schwachstellen (Vulnerability Management) darf keine einmalige Angelegenheit, sondern muss ein kontinuierlicher Businessprozess sein. Nur dann ist es möglich, auf Basis der Ergebnisse der regelmäßigen Sicherheits-Audits der IT- und OT-Systeme notwendige Maßnahmen zu entwickeln, umzusetzen und zu kontrollieren.

Security Roadmap schafft Sicherheit

Wichtige Aspekte sind die Sicherstellung der Qualität und Aktualität der eingesetzten Softwarelösungen, das profunde Management von Zugriffsrechten und die Implementierung einer Sicherheitslösung, die auf dem neuesten Stand der Technik ist. Als Grundlage empfiehlt sich die Definition einer langfristigen Security Roadmap. Nützliche Handlungs­empfehlungen hierzu bieten die weltweit anerkannten „CIS Controls“. Dieses Set von derzeit 18 priorisierten Handlungsschritten pflegt das Center for Internet Security (www.cisecurity.org) und beschreibt, wie sich Unternehmen in Bezug auf Cyber Security aufstellen sollten.

Bewusstsein bei Mitarbeitern schaffen

Von höchster Bedeutung in diesem Zusammenhang sind auch die Schaffung und Förderung des Bewusstseins der Mitarbeitenden für Fragen der IT-Sicherheit. Diese Aufmerksamkeit und die Definition der Prozesse für den Schutz vor Cyberangriffen und – im Ernstfall – die Verteidigung der Systeme sind meist wichtiger als die Technologie, die dafür zum Einsatz kommt. Unbedingt zu vermeiden ist die sogenannte Alert Fatique: Angesichts der enormen Zahl sicherheitsrelevanter Meldungen und Warnungen drohen wirkliche Bedrohungen schlicht unterzugehen. Sehr empfehlenswert ist die Schaffung oder Beauftragung eines Security Operations Center, kurz SOC. Hier fließen alle sicherheitsrelevanten Informationen aller IT- und OT-Systeme zentral zusammen. Das SOC-Team besteht aus Sicherheitsexperten, die rund um die Uhr alle Aktivitäten auf Servern, Websites, in Datenbanken und Netzwerken überwachen – mit dem Ziel, mögliche Angriffe so früh wie möglich zu erkennen und abzuwehren.

Fazit: Unrentable Cyberkriminalität ist der beste Schutz

Wichtig für das Verständnis: Cyberkriminelle arbeiten pausenlos daran, ihre Methoden weiter zu perfektionieren – die Bedrohungslage ändert sich ständig. Darum sollten Unternehmen Cybersicherheit als Businessprozess betrachten, der wie jeder andere Geschäftsablauf im Unternehmen fortlaufend zu überprüfen und an neue Gegebenheiten anzupassen ist. Es ist nicht die Frage, ob ein Cyberangriff erfolgt, sondern wann. Technisch gesehen werden Hacker immer in der Lage sein, in das System einzudringen. Das Ziel aller Maßnahmen sollte daher sein, dass es für Cyberkriminelle aufgrund des zu betreibenden Aufwands schlichtweg unrentabel wird, die Systeme zu hacken.

Oliver

Becker

Vice President IMC

Arvato Systems

Dr. Oliver Becker ist Vice Preisident IMC bei Arvato Systems. In dieser Funktion verantwortet er die Betreuung von Kunden aus der Fertigungsindustrie.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.