Das Geschäft der kriminellen Krisengewinner
IT-Sicherheitsexperte Ulrich Kallausch über die Vorgehensweisen und Methoden von Hackern, was Unternehmen gegen Angriffe tun können und warum es einer neuen IT-Sichtweise bedarf.
Inmitten der Pandemie nimmt die Häufigkeit von Cyber-Angriffen zu, die Hackerszene professionalisiert sich. Doch wie können Unternehmen vorbeugen? Wir haben mit Ulrich Kallausch, dem geschäftsführenden Gesellschafter von Certitude Consulting, gesprochen. Die Firma berät Kunden in Fragen der IT-Sicherheit und wird zu Einsätzen gerufen, nachdem Unternehmen von Hackern verschlüsselt wurden.
Welche Methoden wenden Cyber-Kriminelle derzeit an?
Ulrich Kallausch: „Am relevantesten sind nach wie vor Phishing-Mails. Ganz aktuell ist dabei die Einbeziehung der sozialen Medien: Die Angreifer haben den Vorteil, dass sie heutzutage sehr leicht die Vorlieben einer Person in Erfahrung bringen können. Spielt jemand zum Beispiel gerne Golf, findet man das über Facebook und Co. rasch heraus. Die Person erhält eine E-Mail, die sich scheinbar auf das neueste Golf-Equipment bezieht, klickt hinein und schon werden Makros aktiviert.“
Was passiert dann?
„Nach außen hin zunächst einmal gar nichts. Doch die Hacker haben sich nun Zutritt verschafft. Sie sind bestens organisiert und finden Wege, um innerhalb des Unternehmens ,weiterzukommen´. Irgendwann wird die betroffene Firma informiert, dass nun zum Beispiel Systeme verschlüsselt sind. Es folgt die Erpressung.“
Worin bestehen die größten Sicherheitslücken?
„Die IT-Strategie der KMU in Österreich der letzten 50 Jahre, nämlich der Schutz nach außen – zum Beispiel durch eine Firewall – funktioniert nicht mehr. Jedes Unternehmen ist alleine schon in Sachen Bestellungen oder Rechnungen mit dem Internet verbunden. Die Maschinen in Produktionsbetrieben sind mit dem Netz verbunden.
Seit Corona ist das Arbeiten im Homeoffice Standard geworden, die Benutzer befinden sich nicht mehr im ,geschützten´ Bereich. Es reicht nicht mehr aus, sich darauf zu konzentrieren, dass niemand eindringen kann.“
Was kann und sollte man stattdessen tun?
„Wenn man verhindern will, dass großer Schaden entsteht, muss man das Firmennetzwerk segmentieren, es in kleinere Zonen aufteilen. Die Titanic ging unter, weil die Schotten nicht dicht gemacht wurden. Man glaubte einfach nicht, dass ein Schiff dieser Größe so schnell volllaufen würde. Durch eine Segmentierung des Firmennetzwerks wird das ,Leck’ auf einen Bereich begrenzt und das Boot kann nicht so schnell sinken.
Man bezeichnet das auch als Zero-Trust-Ansatz: Interne Netzwerke werden aufgegliedert und die Verbreitung von Schadsoftware wird erschwert. Zu diesem Ansatz gehören auch Regeln, wie man digital im Unternehmen kommuniziert, wer welche Berechtigungen hat und vieles mehr.
Wenn man zum Ziel eines Angreifers wird, dann wird sich dieser auch irgendwie Zutritt verschaffen. Die Frage aber lautet: Wie verhindert man, dass sich weiterer Schaden ausbreitet? Viele Unternehmen reagieren leider erst, wenn ihnen das Wasser bereits bis zum Hals steht. Es bedarf einer grundlegend neuen IT-Sichtweise.“
Was können Unternehmen noch machen?
„Ausführliche Schulungen der Mitarbeiter sind sehr wichtig, egal in welcher Branche. In diesen sollte es unter anderem darum gehen, wie man auf Firmenhardware in den sozialen Netzwerken agiert und auf welchen Geräten man überhaupt einsteigen darf. Viele Angriffsvektoren sind überhaupt nicht bekannt. Hacker können zum Beispiel auch Computermäuse oder Tastaturen manipulieren, sodass sie Schaden anrichten. Wir schulen sogar Programmierer zum Thema ,sicheres Programmieren’, denn auch da gibt es vieles zu beachten. Wir alle leben in einem digitalen Umfeld und dieses Wissen ist wichtig.“
Wie wählen Hacker die Firmen aus?
„Targets sind zum Beispiel bekannte Marken und Unternehmen, die komplex und international aufgestellt sind oder zur kritischen Infrastruktur gehören. Es gibt aber auch sogenannte Supply Chain Attacks, bei denen mehrere Opfer gleichzeitig, durch Kompromittierung ihrer Provider oder Software-Lieferanten, angegriffen werden.
Das Hacking-Geschäft läuft mittlerweile extrem professionell ab. Über Clouds, die riesige Datenmengen günstig verarbeiten können, werden Passwörter geknackt, die dann im Darknet an Organisationen verkauft werden. In diesen befinden sich Analysten, die sich die Unternehmen hinsichtlich Branche, Umsatz und Gewinn ansehen und entscheiden, ob sich ein Angriff lohnt.“
Wie sollte man sich im Fall einer Lösegeldforderung verhalten?
„Optimalerweise sollte das Unternehmen auf die Möglichkeit eines Angriffs eingestellt sein und ein Cyber-Response-Team aufgestellt haben. Ansonsten muss auf jeden Fall eine IT-Security-Firma angeheuert werden, die umgehend tätig wird. Auch die Polizei sollte informiert werden – dies zählt häufig zu den Bedingungen entsprechender Versicherungen.“
Wie kostenintensiv kann ein Hackerangriff sein?
„Meist steht die geforderte Summe im Einklang mit Umsatz und Gewinnsituation des Unternehmens. Die Hacker wollen ja schließlich, dass das Opfer zahlt. Doch die Lösegeldzahlungen sind ohnehin der geringste Teil des Schadens. Die größten Kosten entstehen durch die Betriebsunterbrechung, welche meist nur für wenige Tage von der Versicherung gedeckt ist, und durch den Wiederaufbau der IT-Infrastruktur.“
