ONLINE-SPECIAL: Cybercrime und Marktdynamik

Was Unternehmen falsch machen und wie genau sie Hackern in die Arme spielen
Der Cyber-Untergrund ist aktiver denn je, das zeigt nicht nur die Attacke auf Thyssen Krupp. Über den Markt für Cybercrime und worauf Entscheider achten sollten: Im Gespräch mit Thorsten Jüngling, der bei British Telecom den Sicherheitsbereich leitet – und das Krypto-Handy für Angela Merkel (quasi) entwickelt hat.
TEXT: Eva Rossner

IT-Sicherheit in Unternehmen: Wo liegen die größten Sicherheitslücken?

Potentiell gefährdet sind alle Systeme, die einen Netzzugriff haben oder die mit dem Internet verbunden sind – von mobilen Geräten und Abteilungsdruckern über interne und externe Netzwerke sowie internetbasierte Anwendungen bis hin zu komplexen ERP-Systemen und Datenbanken. Die größte Gefahr geht von nicht aktualisierten Geräten und Systemen aus – sei es, dass der IT-Administrator diese Systeme gar nicht kennt, da sie offiziell nicht existieren, oder sei es, dass er sie nicht aktualisieren kann, wie beispielsweise Produktionsanlagen. Eine nicht zu unterschätzende Schwachstelle ist zudem der Faktor Mensch: Mitarbeiter, die aus Unwissenheit Mail-Anhänge von unbekannten Absendern öffnen oder anderweitig gegen die Sicherheitsrichtlinien des Unternehmens verstoßen, indem sie zum Beispiel USB-Sticks ungeprüft migrieren.

Info

72 Prozent der Threat-Ziele werden spontan ausgewählt, weil sie als leichte Beute scheinen.

Wer sind die größten Gefährder der IT-Sicherheit eines Unternehmens?

Cyberkriminelle mit Verbindungen zum organisierten Verbrechen, die über ein hohes Maß an Know-how und eine umfassende Technikausstattung verfügen, risikobereit sind und zielgerichtete Angriffe durchführen können. Die Angreifer gehen dabei mittlerweile mit höchster Professionalität und gut organisiert vor. Man kann sagen, dass die industrielle Arbeitsteilung bei den Cyberdieben angekommen ist. Zum Beispiel suchen hochspezialisierte Experten nach neuen Angriffsstrategien, Methoden und Schwachstellen – zum Beispiel Zero-Day-Exploits, also Sicherheitslücken, die noch unbekannt sind –, während andere die Tools entwickeln und verkaufen, die nötig sind, um diese in großem Stil auszunutzen. Unterstützt werden die Angreifer zudem durch einen hochentwickelten Schwarzmarkt, auf dem sich jeder erdenkliche Hackerservice kaufen lässt. Ein Botnetz gibt es da schon für 7.500 US-Dollar. 

Was sind die größten Fehler, die Unternehmen in Sachen IT-Sicherheit machen?

Oft sparen die Unternehmen an der IT-Sicherheit oder adressieren das Thema IT-Sicherheit spät oder gar nicht in ihren Projekten. Auch bleibt das Thema IT-Sicherheit oft auf die IT-Abteilungen beschränkt. IT-Sicherheit muss jedoch Chefsache werden und ein strategisches Unternehmensziel sein. Wenn ich zum Beispiel bei einem Projekt die IT-Sicherheit nicht berücksichtige, dann könnten Daten und Informationen abfließen, ohne dass dies sofort bemerkt wird. Auch handeln Unternehmen zu spät oder unzureichend. Sie nehmen zum Beispiel erst dann externe Hilfe in Anspruch, wenn sie die Eindringlinge nicht selbst aus dem Netzwerk entfernen konnten. Oder sie lassen nur ein paar potentielle Schwachstellen überprüfen. Angreifer können dadurch in der IT-Umgebung bleiben und erneute Attacken fahren. Ich halte es zudem für einen großen Fehler, wenn Unternehmen aus Angst vor einem Imageschaden Stillschweigen über einen erfolgten Angriff bewahren. Es ist keine Schande, zuzugeben, Opfer einer Attacke geworden zu sein. Wir brauchen Plattformen, auf denen sich die Unternehmen über Bedrohungen austauschen können.

Info

60 Prozent der Angriffe werden vom Angreifer selbst abgebrochen, wenn sie länger als 40 Stunden dauern.

147 Stunden dauert ein durchschnittlicher Angriff auf ein gut geschütztes Unternehmen.

70 Stunden dauert ein Angriff auf ein mittelmäßig geschütztes Unternehmen.

Was sind die teuersten Fehler?

Die teuersten Fehler sind solche, die den Kern eines Unternehmens oder einer Institution bedrohen. Deswegen sollte sich jedes Unternehmen über den Wert seiner Daten im Klaren sein: Was sind die „Kronjuwelen“, die es in jedem Fall zu schützen gilt? Ein fataler Irrtum ist es, zu glauben, man werde IT-Angriffe ohne besonderen Aufwand schon rechtzeitig erkennen. Im Gegenteil: IT-Sicherheit kostet immer Geld und Ressourcen. Dieser Einsatz muss im angemessenen Verhältnis zum Risiko und zur Eintrittswahrscheinlichkeit eines Angriffs stehen. Und teuer wird es auf alle Fälle, wenn ich den Angriff nicht abwehren kann und hinterher den Schaden „aufräumen“ muss. Abgesehen vom Imageverlust, der bei Bekanntwerden eines Hackerangriffs auftritt, kann der Schaden aufgrund von gestohlenen Daten sogar das Unternehmen gefährden, wie die Fälle bei Yahoo (2016) oder Nortel (2012) zeigen. Die neue EU-Datenschutz-Grundverordnung sieht bei Verstößen ein Bußgeld von bis zu 4 Prozent des Jahresumsatzes vor. Auch das kann existenzbedrohend sein.

Info

39 Prozent der Hacks wären vermeidbar, wenn die betroffenen Unternehmen sich in Netzwerken über Angriffe und Muster austauschen würden.

Wie haben sich die relevanten Akteure und der Markt „Cybercrime“ verändert?

Die Gefahr, Ziel eines Cyberangriffs zu werden, ist in den vergangenen zehn Jahren dramatisch gestiegen. Das liegt zum einen an der zunehmenden Digitalisierung, Vernetzung und mobilen Nutzung: Je weiter ein Unternehmen in der Digitalen Transformation ist, desto mehr Angriffsflächen bietet es. Angesichts der fortschreitenden Vernetzung der Geschäftswelt müssen sich daher heute nicht nur besonders exponierte Unternehmen wie Finanzdienstleister, sondern alle Branchen vor Cyberangriffen schützen. Zum anderen wird es aufgrund der wachsenden Häufigkeit und Komplexität von Malware immer schwerer, Angriffe rechtzeitig zu erkennen – und immer aufwendiger, dagegen vorzugehen. Hackerangriffe sind heute wesentlich raffinierter, vielseitiger und skrupelloser als noch vor zehn Jahren. Die Szene professionalisiert sich zunehmend, vor allem weil Unternehmen zunehmend von digitalen Prozessen abhängig sind – das macht es für Erpresser interessant – und weil immer mehr zu holen ist. Daten sind nicht nur das neue Gold für die Unternehmen, sondern auch für Cyberdiebe.

Wie Hacker arbeiten und was sie suchen

Hacker verdienen nicht viel, und sie haben keine Zeit: zwei interessante Erkenntnisse, die sich aus der Studie „Flipping the Economics of Attacks“ ergeben, die das Ponemon Institute im Januar 2016 im Auftrag von Palo Alto Networks veröffentlichte. Das Institut befragte 304 Hacker in Deutschland, Großbritannien und den USA. Russland und China wurden nicht berücksichtigt, da Ponemon dort keinen Zugang zu den entsprechenden Kreisen hatte. Laut Ponemon wollen 70 Prozent der Angreifer Geld verdienen und arbeiten als Auftrags-Hacker. Doch reich werden sie damit nicht; abgesehen von einigen wenigen Black-Hat-Stars liegt das durchschnittliche Jahreseinkommen eines Hackers bei rund 30.000 US-Dollar. Deshalb ist Zeit mehr denn je Geld für die Angreifer: So gaben 72 Prozent der Befragten an, dass sie keine Zeit für einen Angriff verschwenden würden, wenn sie nicht schnell an hochwertige Daten gelangen, die sie verwerten können. Letztlich ist die Mehrheit der Befragten (73 Prozent) auf der Jagd nach einfachen, „günstigen“ Zielen. Gelingt ein Angriff auf ein Unternehmen nicht innerhalb von 40 Stunden, dann suchen die meisten Angreifer (69 Prozent) ein neues Ziel. Für die Planung und Ausführung eines Angriffs auf ein Unternehmen mit einer „sehr guten“ IT-Sicherheitsinfrastruktur braucht ein technisch versierter Cyberangreifer 147 Stunden – mehr als doppelt so lange, wie bei einem Ziel mit einem „typischen“ durchschnittlichen Sicherheitsniveau (70 Stunden).

Studie hier herunterladen media.paloaltonetworks.com/lp/ponemon/report.html

Was sind Gefahren, die Unternehmen bislang nicht auf dem Schirm hatten?

Als eine der massivsten Bedrohungen zeichnet sich derzeit das Internet der Dinge (IoT) ab: Trotz vielversprechender Marktaussichten sind viele dieser Geräte sicherheitstechnisch unzureichend geschützt und oft auch implementiert. Auch ist vielen Akteuren nicht klar, wie sie mit der Masse an Daten umgehen sollen, die von den Geräten erzeugt werden. Zudem mangelt es an rechtlichen Regelungen und anerkannten Standards. Die Bedrohung mobiler Endgeräte wird in Unternehmen noch stark unterschätzt genauso wie der Fachkräftemangel: Der sogenannte Skill-Gap ist nicht nur für Unternehmen, sondern für ganze Länder ein Problem. 

Welche Player, welche Taktiken sind neu?

Besonders kritisch sind in jedem Fall die Advanced Persistent Threats, bei denen die Angreifer möglichst lange unentdeckt bleiben wollen und langfristigen Schaden anrichten können. Auch erfährt das Thema Ransomware in Kombination mit Botnetzen und „Distributed Denial of Service“(DDoS)-Angriffen eine Renaissance. Die Wucht und professionelle Angriffsmethodik hat die Unternehmen 2016 überrascht. In den vergangenen Jahren sind aber auch immer mehr staatliche oder halbstaatliche Akteure auf den Markt getreten. Ein Unternehmen kann eine wichtige Funktion in der Versorgungswirtschaft oder für die allgemeine Wirtschaftskraft eines Landes einnehmen und somit in das Visier staatlicher Akteure rücken.

Wer sollte die IT-Sicherheit strategisch führen? Ist die IT-Abteilung/der IT-Chef angesichts der Herausforderungen der richtige Ansprechpartner?

Cyberangriffe und Wirtschaftsspionage können unabsehbare Folgen für ein Unternehmen haben – von Geschäftsausfällen aufgrund einer DDoS-Attacke über Imageschäden durch den Verlust von Kundendaten bis hin zur persönlichen Haftung des Managements. In die strategische Seite der IT-Sicherheit sollte daher auf jeden Fall das Management bzw. der Vorstand eingebunden sein. Die IT-Sicherheit ist gerade im Zuge der zunehmenden Digitalisierung ein strategisches Unternehmensziel und muss Chefsache sein.

Was sind die wichtigsten Stellhebel, die ein Unternehmen nutzen kann, um die IT-Sicherheit bestmöglich aufzustellen?

Mit präventiven Basismaßnahmen wie dem Management von Software-Updates allein ist es nicht getan. Entscheidend ist ein ganzheitlicher und dauerhafter Ansatz zur Abwehr von Hackerangriffen. Am Anfang steht eine umfassende Analyse dessen, was die schützenswerten Daten sind, wo sie liegen und wie man sie am besten vor unautorisiertem Zugriff sichert. Und ähnlich wie eine Impfung, die nur schützt, wenn sie regelmäßig aufgefrischt wird, müssen alle vorhandenen Sicherheitsmaßnahmen regelmäßig darauf überprüft werden, ob sie noch einen adäquaten Schutz vor aktuellen Bedrohungen bieten – etwa durch ein permanentes Monitoring aller relevanten Systeme sowie potentieller Gefahren, die auf das Unternehmen zukommen könnten. Ein weiterer Hebel sind automatisierte Big-Data-Analysen, mit denen sich beispielsweise Unregelmäßigkeiten in Netzwerken aufdecken lassen. Neben diesen automatisierten Analysen, auf die Sicherheitsexperten in Echtzeit reagieren, ist es zunehmend wichtig, kontinuierlich in den vorhandenen Daten nach neuen Erkenntnissen zu suchen. Allerdings muss man auch sagen: Selbst bei allergrößter Sorgfalt lassen sich nicht alle Angriffe verhindern. Deshalb ist es unerlässlich, Prozesse zu definieren und einzuüben, um Angriffe schnellstmöglich zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.

Online-Markenschutz: Wo Unternehmen Cyberkriminellen auf die Schliche kommen

Cyberkriminelle verkaufen im Darknet nicht nur Passwörter, sondern nutzen den verborgenen Bereich auch, um auf Kosten etablierter Marken gefälschte Produkte zu vermarkten. „Wir raten Entscheidern nicht dazu, sich ausschließlich auf Darknet und Deepweb zu fokussieren. Allerdings sollten sie wissen, welche Angriffsszenarien dort vorbereitet werden. Sie sollten sich zumindest ein Bild darüber machen, aus welchen unterschiedlichen Bereichen die Angriffe kommen“, erklärt Stefan Moritz, Regionaldirektor DACH bei Markmonitor, einem internationalen Anbieter für Onlinemarkenschutz und Cybersicherheit. Die Masse der Nutzer bewege sich im sogenannten Surface-Web, dem sichtbaren Teil des Internets, der von Suchmaschinen gelistet werde. Das seien aber nur 4 Prozent des Internets, so Moritz. Deepweb und Darknet machten die restlichen 96 Prozent aus. Dabei bezeichnet Deepweb den Teil des Internets, der nicht über Suchmaschinen oder Browser erreichbar ist; beim Darknet handelt es sich um eine Teilmenge des Deepweb, wobei ein Teil der Webseiten und Inhalte aber tatsächlich abgeschirmt ist. Diese Darknet-Seiten sieht nur, wer eine bestimmte Software wie den Tor-Browser verwendet. Sobald ein Unternehmen einen Markenrechtsverstoß im Surface-Web ausfindig gemacht hat, kommt Stefan Moritz ins Spiel. Er kann die kriminellen Netzwerke bis ins Deepweb verfolgen. Dort beobachtet er unterschiedliche Cluster und das jeweilige Vorgehen. „Wir liefern einen Überblick und erstellen beispielsweise eine Gefahrenlandkarte und priorisieren die dort aufgelisteten Gefahren. So ermitteln wir die gefährlichsten Spieler in den einzelnen Bereichen oder auch ganze Marktplätze.“ Dabei handelt es sich um eine sogenannte Landscape-Analyse, die sich nach der Anwenderbranche oder der jeweiligen Priorisierung im Unternehmen richtet. Diese beginnt im Normalfall mit einer Erhebung des Ist-Zustandes (also: Wo sind meine Haupt-Gefahrenherde?), gefolgt von einem kontinuierlichen Monitoring. Doch die Gefahrenlandkarte allein hilft Unternehmen nicht. „Um reagieren zu können, müssen Unternehmen interne Strukturen schaffen“, sagt Moritz.

Sonderfall: Wie baut man eine Cyberabwehr auf?

Ein Unternehmen sollte sich fragen, ob es die geeigneten Mitarbeiter, Schulungen und Technik selbst bereitstellen möchte. In vielen Fällen kann es sinnvoll sein, zumindest Teile der IT-Sicherheit an Spezialisten auszulagern. Das Unternehmen wird dadurch aber nicht von seinen Sicherheitspflichten entbunden und sollte immer eine Kontrollkompetenz behalten. Die Analyse von Anomalien, um einen Datenklau zu bemerken, kann nur von Spezialisten und den entsprechenden Werkzeugen vorgenommen werden. Darüber hinaus verfügen diese Spezialisten über genügend Know-how und Erfahrung. Zusätzlich sollten andere Datenquellen und ggf. eigene Forschung zur Verfügung stehen. Eine Cyberabwehr muss rund um die Uhr in Betrieb sein, und es muss eine permanente Weiterentwicklung der Systeme und Werkzeuge geben. Die Basis für eine Cyberabwehr bildet ein „Security Operation Center“ (SOC). Dieses solle entsprechend ausgestattet, ausgerüstet und mit einer Zertifizierung nach ISO 27000 versehen sein.

Sind interne oder externe Cyberabwehrteams sinnvoll?

Der Aufbau und Betrieb eines SOC mit einem CERT (Computer Emergency Response Team) kostet viel Zeit und Geld. Der angesprochene Fachkräftemangel macht sich hier besonders bemerkbar – auch muss dafür gesorgt werden, dass die erfahrenen Fachkräfte langfristig im Unternehmen bleiben. Deswegen sind ein SOC und/oder ein CERT erst ab einer gewissen globalen Unternehmensgröße sinnvoll. Trotzdem müssen Unternehmen auf das rechtzeitige Erkennen und die Abwehr nicht verzichten. Ein externer Betreiber oder ein Hybridbetrieb ist schon für kleine Unternehmen eine sehr sinnvolle Investition. Der externe Betreiber stellt die Technik, das Know-how und das Personal zur Verfügung – bei Bedarf weltweit. Es kann Dauerbetrieb oder ein Betrieb nach Bedarf vereinbart werden.

Torsten Jüngling

British Telecom

Torsten Jüngling leitet bei British Telecom den Bereich Security für Deutschland, Österreich, Schweiz, Nord- und Osteuropa. Seit Oktober 2016 ist der Diplom-Ingenieur für Nachrichtentechnik für die deutsche Tochter des weltweit agierenden britischen Telekommunikationskonzerns tätig. Jüngling war zuvor bei Intel Security für den Vertrieb Mittelstandskunden in Deutschland und Österreich zuständig. Davor führte er beim finnischen Unternehmen Stonesoft drei Jahre lang als Country Manager für DACH die Geschäfte, bis Stonesoft dann von der Intel-Tochter McAfee übernommen wurde. Jüngling ist außerdem Mitbegründer des von Blackberry übernommenen Unternehmens Secusmart, das vor allem als Hersteller des Krypto-Smartphones für Bundeskanzlerin Angela Merkel bekannt wurde.

Bildquelle: BT