Geld und Daten

Oktober 2020 | Handelsblatt | IT-Security & Cloud Management

Geld und Daten

Cybercrime-Vorfälle nehmen zu, auch Dank des Digitalisierungsbooms während der Pandemie. Was sind die neusten Tricks der Hacker? Und wie können sich Unternehmen schützen?

Illustrationen: Mario Parra
Axel Novak / Redaktion

Es war der erste Todesfall nach einem Hacker-Angriff: Weil eine lebensbedrohlich erkrankte Patientin statt ins Universitätsklinikum Düsseldorf ins weiter entfernte Krankenhaus in Wuppertal eingeliefert werden musste, konnte sie erst verspätet behandelt werden und starb kurze Zeit später. Der Grund für die Verlegung: Hacker hatten im Juli das IT-System des Klinikums blockiert, um Lösegeld zu erpressen. Patienten konnten nicht behandelt werden.


Dabei kam der Angriff nicht unvermutet: „Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. „Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen.“


Der Tod der Patientin ist das tragische Ergebnis eines Phänomens, das immer stärker um sich greift. Unternehmen werden von Cyberkriminellen erpresst. Gerade die rasant erfolgte Digitalisierung im Verlauf der Corona-Pandemie hilft Hackern, schneller und erfolgreicher anzugreifen. Veränderte Prozesse­ und Geschäftsabläufe im Homeoffice oder beim Remote Working, das Abweichen von etablierten Workflows und fehlende oder unregelmäßigere Kontrollen bieten einen idealen Nährboden für Betrug. „Bei Phishing­Mails, betrügerischen Webseiten, Fake- President­-Angriffen, Kredit­ und Subventionsbetrug sowie dem Einsatz von Finanzagenten ist seit März 2020 eine starke Zunahme zu verzeichnen“, heißt es in einem Bericht der Unternehmensberater von KPMG zur Wirtschaftskriminalität. Mit „Fake-President-Angriffen“ geben sich externe Angreifer als Vorgesetzte aus und versuchen, Überweisungen von größeren Beträgen ins Ausland zu veranlassen.

 

Enorme Kosten für die Unternehmen

 

Insgesamt wurden im vergangenen Jahr fast 770.000 Nutzer durch Verschlüsselungs-Software angegriffen, so der Security-Spezialist Kaspersky – ein Fünftel davon mit dem Trojaner WannaCry: Der führte schon vor drei Jahren zu enormen Schäden bei Nissan, Telefónica und der Deutschen Bahn. Auch heute noch ist WannaCry das meistgenutzte Erpressertool.


Im Schnitt verzeichnet jedes Unternehmen heute 145 Sicherheitsvorfälle und Datenverluste pro Jahr – das ist ein Plus von elf Prozent gegenüber dem Vorjahr. Auch die Kosten, die mit Cyberangriffen verbunden sind, steigen auf 13 Millionen US-Dollar, beziffert eine Accenture-Studie die Kosten von Cybercrime. Demnach könnten die direkten und indirekten Gesamtkosten solcher Cyberattacken weltweit bis zum Jahr 2030 auf zehn Billionen US-Dollar steigen.


Den Kriminellen geht es um zwei Dinge: Geld und Daten. Dafür tricksen sie ihre Opfer raffiniert aus. In E-Mails schleichen sie sich emotional und privat an ihre Opfer an – Love Scams heißt das – oder imitieren die Hausbank, PayPal oder Amazon, um an Zugangsdaten zu gelangen. Wer Pech hat, zahlt dann nicht nur viel Geld, sondern kompromittiert seine Bank- oder Kreditkartendaten und lädt sich gleich noch eine Malware herunter, die weitere Informationen abgreift.

 

Die Schatten-IT der Firmen wächst

 

Das bedeutet für Unternehmen ein immenses Risiko: Viele mussten in den vergangenen Monaten heftig improvisieren. Hastig zusammengefügte Softwaretools und improvisierte Zugänge ins Firmen-Intranet sorgten für eine Schatten-IT, die die IT-Abteilungen im Unternehmen nicht mehr administrieren und kontrollieren konnten. Hinzu kommt die zunehmend private Nutzung von betrieblichen und die geschäftliche Nutzung von privaten Geräten. Mitarbeiter stellen Handy, Rechner und Tablet offensichtlich auch anderen Familienmitgliedern zur Verfügung. Die Nutzung unsicherer Apps und Websites stieg im vergangenen Halbjahr um 161 Prozent, die von Websites mit nicht jugendfreien Inhalten um 600 Prozent, haben Cloud-Security-Spezialisten von Netskope festgestellt.


Für die Arbeitgeber heißt das: Sicherheitslecks in Software, die niemand richtig kontrolliert, kann niemand effektiv abdichten. Hacker können sich geradezu eingeladen fühlen, auf Server, Anlagen und Maschinen zuzugreifen

.
Hauptangriffspunkt der Hacker sind Mailserver. Das ist nachvollziehbar, denn Geschäftsverkehr und unternehmensinterne Prozesse laufen stark über E-Mails ab, auf den Servern befinden sich viele hochattraktive Informationen. Doch über die Zugangsdaten der Mitarbeiter können Hacker auch Zugriff auf die OT (Operational Technology) von Anlagen und Maschinen erlangen. Mit entsprechend hohem Risiko für Kraftwerke, Wasserversorger oder Krankenhäuser.

 

Unsichere Cloud-Dienste

 

Hacker setzen eine ganze Palette an Werkzeugen ein. Im Darknet boomt derzeit Malware aller Art: Programme, die geeignet sind, Facebook- oder Google-Chrome-Dienste zu knacken, sind derzeit besonders günstig, berichtet der US-amerikanische Cybersicherheitsanbieter Check Point. Weil die Kontaktbeschränkungen zum Boom von Videokonferenzen und anderen digitalen Kollaborationstools geführt haben, legten Hacker viele neue „Domains“ von Videokonferenzen an, um unvorsichtige Mitarbeiter von Unternehmen einen mit Schadsoftware gespickten Download anzubieten. Oder Cloud-Services: Viele Nutzer laden auch sensible Unternehmensdaten in persönliche Instanzen von Cloud-Anwendungen hoch. Im ersten Halbjahr 2020 wurden 63 Prozent der Malware über Cloud-Anwendungen verbreitet, so die Netskope-Analysten.


Fast schon klassisch sind Phishing-Mails, um in die Systemlandschaft eines Unternehmens einzudringen. Neuester Trend ist das Smishing  – eine Kombination aus SMS und Phishing. Dabei werden Textnachrichten versandt, die auf betrügerische Links verweisen oder bösartige Anhänge enthalten. Besonders ausgeklügelt ist Spear-Smishing: Dank Internetprofilen und sozialer Netzwerke des Opfers können Cyberkriminelle das Smishing präzise auf eine Person zuschneiden. So entsteht ein trügerisches Gefühl von Vertrauen und Glaubwürdigkeit. Klicken die Empfänger auf die Anhänge, starten sie bösartige Dateien, die weitere Schadprogramme laden und den Computer mit Malware infizieren. Häufig sind dies Ransomware-Trojaner, die eine Zahlung fordern, damit Änderungen rückgängig gemacht werden können, die der Trojaner auf dem Computer des Opfers vorgenommen hat. Im Zweifel ist das ganze System blockiert, wie im Falle des Düsseldorfer Klinikums.

 

VPN-Tunnel im privaten Umfeld

 

Viele Unternehmen haben reagiert und beispielsweise Virtual Private Networks (VPN) mit hohen Sicherheitsstandards für den Zugang aus dem Homeoffice eingerichtet. Doch das reicht nicht: Fachleute warnen davor, dass Kriminelle über smarte, vernetzte Geräte wie digitale Assistenten, Thermostate, Entertainmentsysteme oder andere private mobile Endgeräte ins Heimnetzwerk gelangen. Dabei kommt den Hackern entgegen, dass das Thema IT-Sicherheit in einigen Unternehmen lange Zeit nicht ernst genommen wurde.


Überhaupt sind die IT-Abteilungen in vielen Unternehmen schon seit langem überlastet. In den Anfängen der Corona-Pandemie wurden viele Sicherheitsvorschriften stillschweigend aufgeweicht, beispielsweise bei Zugangskontrollen von IT- und Cloud-Systemen. Zwar wissen IT-Fachleute, dass starke Authentifizierungs- und Zugriffsmanagementlösungen wichtig und schlechte Passwörter für die Mehrzahl der Datenschutzverletzungen verantwortlich sind. Doch mangels rasch realisierbarer Alternativen ist das gute alte Passwort nicht nur immer noch da, sondern wird wieder häufiger eingesetzt.

 

Ahnungslose Millennials

Sicher, einen hundertprozentigen Schutz gegen Cyberangriffe gibt es nicht. Allerdings können Unternehmen Risiken verringern, zum Beispiel durch IT-Sicherheitsschulungen für Mitarbeiter. Weil viele Menschen zum ersten Mal ohne den gewohnten Schutz interner Netzwerke arbeiten müssen, sind sie oft ein leichtes Opfer für Cyberkriminelle. Hinzu kommt: Die größten Sicherheitsrisiken für Unternehmen sind nicht Hacker, sondern sogenannte Insider Threats, die von ehemaligen oder aktuellen Mitarbeitern ausgehen. Die handeln meist ohne kriminelle Absicht, sondern einfach fahrlässig und mit mangelndem Problembewusstsein.


Dabei trägt auch die Hoffnung auf die technikaffine Generation Y, die sogenannten Millennials, nicht weit. Der schwedische Security-Anbieter Specops hat die IT-Sicherheitskompetenz der Generation einmal genauer unter die Lupe genommen – mit erschütterndem Ergebnis: Zwei Drittel der befragten Millennials wurden schon einmal gehackt, 73 Prozent der gehackten Nutzer haben ihr persönliches Surfverhalten dennoch unverändert beibehalten. Folgende Begriffe waren ihnen meist unbekannt: Firewall, Malware, Phishing und Spam.