Wie können Unternehmen sich besser gegen Hacker wappnen?
„Jede Wirtschaftsorganisation hat Daten, an denen Cyber-Kriminelle interessiert sein können.“
Quelle: Adobe Stock
Würzburg. Angriffe auf die deutsche Wirtschaft finden zunehmend digital statt. Laut einer aktuellen Bitkom-Studie entstehen deutschen Unternehmen inzwischen jährlich mehr als 206 Milliarden Euro Schaden durch Datendiebstahl, Industriespionage oder Sabotage. Allein drei Viertel davon entfallen auf Cyberattacken. Dabei sind sowohl Konzerne, als auch der Mittelstand und die Kleinunternehmen betroffen.
„Jede Wirtschaftsorganisation hat Daten, an denen Cyber-Kriminelle interessiert sein können“, sagt Joachim Wagner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik, der die Lage als besorgniserregend einschätzt. „Für Kriminelle ist die Abzocke ein lukratives Geschäftsmodell. Einerseits haben sich die Angreifer in den letzten Jahren immer mehr professionalisiert, andererseits gibt es zunehmend digitale und vernetzte Angriffsflächen.“ Wagner warnt: „Es ist nicht die Frage, ob man als Unternehmen von Cyber-Kriminellen angegriffen wird, sondern wann.“
Laut Bundeskriminalamt (BKA) steigt die Quantität und Qualität der Cyber-Angriffe, vor allem durch Ransomware, seit Jahren an. Als Ransomware wird Software bezeichnet, die beispielsweise Daten verschlüsselt, um so Lösegeld zu erpressen. Dahinter steckt eine immer perfekter organisierte Kriminalität, die arbeitsteilig vorgeht, so das BKA: Es gebe Menschen, die die Schadsoftware schreiben, Menschen, die die Zugänge zu bestimmten Unternehmen bereitstellen, und dann noch Menschen, die Software und Zugang kaufen und damit dann Geld erpressen.
Wie können sich Unternehmen schützen? Als Einstieg für kleinere Betriebe bietet das BSI einen Cyber-Risiko-Check, der dabei hilft, für ein Mindestmaß an Sicherheit zu sorgen. „Dabei werden sie von IT-Dienstleistern unterstützt, die durch das BSI dafür qualifiziert wurden“, erklärt Wagner. „Doch je größer ein Unternehmen ist, desto komplexer ist in der Regel auch sein IT-Netzwerk: Es reicht beispielsweise von Kundendateien über Auftragslage und Rechnungswesen bis hin zur Fertigungsstraße“, sagt der Fachmann, der das Problem nicht nur in der Wirtschaft sieht. „Auch öffentliche Einrichtungen und Kommunen sind immer häufig Ziel von Cyber-Attacken.“
Praxisnahe Anleitung für Unternehmen
Das BSI setzt zunehmend auf das sogenannte Information Security Management System (ISMS). „Das ISMS bildet Standards ab, welche technischen und organisatorischen IT-Sicherheitsmaßnahmen notwendig sind, wie sie sich umsetzen lassen und wie Verantwortliche den Erfolg der Sicherheitsmaßnahmen kontrollieren und überwachen“, erklärt Wagner. „Damit haben die Unternehmen und Organisationen eine praxisnahe Anleitung an der Hand, um ein eigenes digitales Sicherheitssystem aufzubauen und zu etablieren.“
Und was ist mit den Mitarbeiterinnen und Mitarbeitern? „Regelmäßige Schulungen und interne Kommunikationskampagnen können einen großen Beitrag für einen sicheren Umgang mit Unternehmens-IT und -daten leisten“, sagt Wagner. Eine Befragung des Bundesamtes für Sicherheit in der Informationstechnik hat ergeben, dass der Mensch ein Schlüsselfaktor bei der Cyber-Sicherheit ist. Denn E-Mails oder manipulierte Webseiten stellen nach wie vor die mit Abstand häufigsten Infektionswege mit Schadsoftware dar.
Mensch als Teil der Lösung
Kristin Weber, Professorin an der Technischen Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt, sieht das differenzierter: „Es stimmt, dass der Mensch das typische Einfallstor für Cyber-Angriffe ist, aber er sollte nicht nur als Problem gesehen werden, sondern auch als Teil der Lösung“, sagt die Fachfrau für den Faktor Mensch in der Informationssicherheit. „Die Technik erkennt und verhindert bekannte Arten von Angriffen. Der Mensch aber kann auch in unbekannten Situationen durch besonnenes Handeln Schlimmeres verhindern.“
Es gehe also nicht um Schuldzuweisungen, sondern darum, „den Menschen zu motivieren, den sicheren Umgang mit digitalen Daten zu begreifen“. Dafür müsste man aufklären, wie die Cyber-Kriminellen andere Menschen manipulieren und wie ihre Angriffe ablaufen. „Angreifende entscheiden sich häufig bewusst dafür, nicht die technische Infrastruktur ins Visier zu nehmen, sondern Sicherheitsbarrieren zu umgehen, indem sie die Menschen manipulieren“, erklärt Weber.
„Die meisten Methoden, mit denen man geschickt an sicherheitstechnisch relevante Daten gelangen kann, nennt man Social Engineering.“ Typische Beispiele dafür: Phishing-Mails und manipulierte USB-Sticks. Die Wirtschaftsinformatikerin beschreibt in ihrem Buch „Mensch und Informationssicherheit“ den Cyber-Angriff in vier Schritten.
1. Schritt: Informationen abgreifen
„Das Sammeln von Informationen über das potenzielle Opfer und seine Umgebung ist wahrscheinlich die wichtigste Phase von Social Engineering. Denn je mehr die Human Hacker über ihr Opfer wissen, desto besser können Sie ihren Angriff planen und durchführen“, sagt Weber. Zunächst gehe es dabei meist um öffentlich verfügbare Informationen – sowohl über das Unternehmen, dass sie angreifen wollen als auch über die darin arbeitenden Personen. Relevante Informationen können beispielsweise sein: Welche Social Media Konten werden von der Person genutzt? Welche Hobbys hat sie und wohin fährt sie in den Urlaub? Mit welchen Partnern und Dienstleistern arbeitet das Unternehmen zusammen? Wie nimmt das Unternehmen Zahlungen entgegen und bezahlt Rechnungen? „Social-Media-Kanäle liefern den Cyber-Kriminellen in der Regel zahlreiche verwertbare Daten. Aber auch das Dumpster Diving – das Herumwühlen im Müll – kann wichtige Informationen preisgeben“, erklärt die Fachfrau. So könne eine alte Rechnung Briefkopf, Logo und Kontoverbindungen liefern. Was passiert mit den gesammelten Informationen? „Damit bereiten die Social Engineers in der Regel einen sogenannten Pretext vor, also einen Vorwand, um mit erlogenen Geschichten ihre Ziele zu erreichen“, sagt die Expertin und nennt Beispiele, mit welchen fingierten Personen sich das Vertrauen erschlichen werden kann: ein netter IT-Admin, ein hilfloser Praktikant, ein verzweifelter Inspektor, eine drängelnde Chefin oder eine geistesabwesende Putzkraft. „Je besser die gesammelten Informationen, desto besser passt der Pretext. Wenn der authentisch und plausibel ist, wird das Opfer wahrscheinlich darauf reinfallen.“
2. Schritt: Beziehung aufbauen
Weber: „Die Social Engineers versuchen dann, getarnt mit einem Vorwand, eine Verbindung zu ihrem Opfer herzustellen.“ Dabei würden Hilfsbereitschaft, Neugier und Vertrauen ihnen, mitunter im wahrsten Wortsinne, die Türen öffnen. „Ein freundliches Lächeln, ein Augenkontakt – und schon hält die Zielperson die Tür auf...“ Auch am Telefon könne eine persönliche Beziehung aufgebaut werden, wenn über angeblich gemeinsame Hobbys, das letzte Urlaubsziel oder vermeintliche Bekanntschaften gesprochen werde. „Es kann auch soweit gehen, dass eine Onlinebeziehung mit der Zielperson über ein gefälschtes Profil auf einer Dating-Seite oder Social-Media-Plattform aufgebaut wird“, sagt Weber.
3. Schritt: Kontakt ausnutzen
„Schließlich wird die aufgebaute Beziehung ausgenutzt. Ziel ist es, ausgesuchte Personen zu manipulieren und Sicherheitsmechanismen zu unterwandern, ohne dass es bemerkt wird“, beschreibt Weber die dritte Phase. Das könne auf unterschiedliche Weise erfolgen: „Der oder die Ahnungslose verrät Passwort und Login am Telefon, öffnet einen infizierten E-Mail-Anhang, steckt einen manipulierten USB-Stick in einen Firmencomputer oder gewährt Zugang zu einem abgeschlossenen Bereich.“ Nicht zuletzt würden die Social Engineers auch häufig anderen Mitarbeitenden im Unternehmen vorgestellt.
4. Schritt: Ausführung – am Ziel
„Je nachdem wie erfolgreich die Cyber-Kriminellen gewesen sind, haben sie Zugang zu Teilen oder dem gesamten Unternehmensnetzwerk“, weiß die Fachfrau. Beispielsweise zu Datenbanken, mit Kundendaten sowie zu vertraulichen Informationen über das geistige Eigentum des Unternehmens. „Sie können die Firma über Webcams ausspionieren, Daten verschlüsseln und Lösegeld fürs Entschlüsseln verlangen oder Versandpläne, Finanzaktionen und Transaktionen manipulieren.“
Bewusstsein schaffen, skeptisch sein
Information Security Awareness – so heißt der Schlüssel, mit dem die Unternehmen für Sicherheit sorgen können. „Dabei geht es darum, das Bewusstsein für Cyber-Sicherheit zu schärfen, die Mitarbeitenden darüber aufzuklären, wie sie ihr Unternehmen besser schützen können, und schließlich eine stärkere Cyber-Sicherheitskultur zu schaffen“, sagt Weber. Das ultimative System gebe es allerdings nicht. „Jedes Unternehmen muss selbst abwägen, was besonders geschützt werden muss.“
Die Wissenschaftlerin rät, die Mitarbeitenden gezielt zu schulen. „Dazu gehört, dass man über mögliche Gefahren und deren Konsequenzen aufklärt, aber auch, wie man einen Cyber-Angriff erkennt und wie man sich verhalten sollte.“ Generell sei Skepsis wichtig, „zum Beispiel, wenn eine E-Mail einen schnellen Gewinn oder seltenen Tickets verspricht – und man dazu nur auf einen Button klicken muss...“
Captchas: Wie beweisen wir in Zukunft, dass wir „keine Roboter“ sind?
Beliebt sind sie nicht, aber oft noch notwendig: Captchas, mit denen Menschen im Internet unter Beweis stellen, dass sie ebensolche sind. Doch neue Technologien machen diese Tests unwirksam - und barrierefrei sind sie oft auch nicht. Gibt es Alternativen?
Schulungen spielerisch gestalten
„Menschen mit einer hohen Awareness sind nicht nur in der Lage, sich sicher zu verhalten, sie sind auch in unbekannten Situationen achtsam und können sichere Entscheidungen fällen“, weiß Weber. Sie empfiehlt deshalb, die Schulungen spielerisch zu gestalten. Das Lernen mit Spaß sei eingängiger, argumentiert sie. „Es gibt verschiedene Online-, Brett – und Kartenspiele, die dabei hilfreich sein können.“
Sehr beliebt sei beispielsweise Security Escape Room. Dabei müssen Teams von bis zu vier Personen innerhalb von 20 bis 30 Minuten verschiedene Aufgaben lösen. Dabei werden alle Teilnehmenden für Sicherheitslücken und Tücken der digitalen Welt sensibilisiert. Unter anderem wird dabei vermittelt, wie einfach Hacker an persönliche Nutzerdaten gelangen und diese für sich nutzen.
Informationen zum Security Escape Room-Sicherheitsspiel gibt es auch beim Bundesamt für Sicherheit in der Informationstechnik. Ebenso wie eine Anleitung für den Notfall. BSI-Sprecher Wagner: „Einen Plan B sollte jedes Unternehmen in der Schublade haben.“
