Viele Unternehmen in Deutschland sind aus Sicht von Fachleuten noch immer zu wenig auf kriminelle Attacken über das Internet vorbereitet. Dabei nehme die Bedrohung zu - nicht nur die Zahl der Angriffe steige, auch der Schaden wachse, zudem betreffe das Thema inzwischen eigentlich jeden Bereich. "Grundsätzlich muss man davon ausgehen, dass heute mehr oder weniger alle Branchen im Fokus stehen", sagt der IT-Experte der Unternehmensberatung Oliver Wyman, Claus Herbolzheimer. Neben Industriespionage geht es dabei etwa um Zugriff auf Geld, Betrug, Datendiebstahl oder Sabotage (PDF-Link).
Anzeichen für einen Cyber-Angriff
Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.
Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.
Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.
Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.
Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.
Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.
Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.
Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.
Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.
Die Beratungsfirma KPMG geht nach einer Umfrage davon aus (PDF-Link), dass inzwischen 40 Prozent aller Unternehmen bereits Ziel von Attacken waren. 2013 habe der Anteil bei 26 Prozent gelegen. Ein typisches Delikt gebe es nicht. "Unternehmen müssen sich deshalb buchstäblich gegen alle möglichen Risiken wappnen", teilte KPMG-Experte Alexander Geschonneck jüngst mit. "Besorgniserregend ist die Tatsache, dass vor allem Unternehmen, die bisher noch kein Opfer von Computerkriminalität wurden, sich in trügerischer Sicherheit wiegen." Und die Schäden können rasch bedrohliche Ausmaße annehmen.
Dabei ist es gar nicht so einfach, die Folgen zu beziffern, oder die genaue Entwicklung der Angriffe einzuschätzen. Einig sind sich die Experten, dass es mehr wird. Das Bundeskriminalamt (BKA) schätzt in seinem Lagebild Cybercrime für 2013 die Schäden durch Cyber-Kriminelle in Deutschland allein aus den Delikten Computerbetrug und dem "Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten" auf knapp 43 Millionen Euro. Andere Schäden erfasst die polizeiliche Statistik nicht - vor allem aber ist die Dunkelziffer enorm. Nach Schätzungen der Ermittler erfasst die Statistik nur etwa neun Prozent der Taten.
Security-Spezialisten gefragt wie nie
Christian Frei, usd:
"Als Sicherheitsfachmann müssen Sie die ganze Breite der Informatik beherrschen."
Günther Ennen, BSI:
"Man braucht ein Gespür für Unsicherheit in Prozessen und Systemen."
Rene Paegelow, BSI:
"Viele Unternehmen setzen zumindest auf den IT-Grundschutz."
Stephan Pfisterer, Bitkom:
"Wir brauchen mehr berufsbegleitende Qualifizierungsmöglichkeiten."
Als IT-Sicherheitsexperte bei usd dringt <strong>Rainer Thome</strong> im Auftrag von Firmen in deren Computersysteme ein."
Das Center for Strategic and International Studies (CSIS) aus den USA schätzt die jährlichen Verluste durch Cyber-Kriminalität in Deutschland sogar auf 43 Milliarden Euro (PDF-Link). Die Zahl der Cyber-Attacken wächst laut CSIS weltweit pro Jahr um 20 Prozent. Die Angreifer würden immer professioneller - und sie verdienen auch mit ihrem Fachwissen Geld. "Die Täter begehen heute nicht mehr nur die Straftaten im eigentlichen Sinne, sondern bieten auch die zur Begehung von Straftaten erforderliche Schadsoftware oder gar komplette kriminelle Infrastruktur", heißt es beim BKA.
Viele Opfer bemerken gar nicht, dass sie Ziel eines Angriffs wurden. Ein weiterer Grund für die geringe Erfassung der Taten sei, dass "der Geschädigte (häufig ein Unternehmen) die erkannte Straftat nicht anzeigt, um beispielsweise im Kundenkreis die Reputation als sicherer und zuverlässiger Partner nicht zu verlieren", betont das BKA. Und tatsächlich sind sogenannte Reputationsschäden, also die Folgen eines Angriffs für das Image einer Firma äußerst unangenehm. "Die Schäden können enorm sein. Firmen drohen nicht nur Umsatzeinbußen, es können auch weitere Kosten entstehen", sagt IT-Experte Herbolzheimer.
Hacker aus der IT-Geschichte
Der Vater des Blackholing
Der auch als „Paunch“ bekannte Dmitry Fedotov ist weniger als Hacker, denn als Entwickler des Hacker-Tools Blackhole berühmt. Bei Blackhole handelt es sich um eine Art Webanwendung für die Verbreitung von Malware- und Spyware, die Hacker gegen eine Abo-Gebühr von 1500 US-Dollar pro Jahre mieten können - und bis zur Festnahme laufend mit Updates über neue Schwachstellen von Java, Flash oder des Internet Explorer aktualisiert wurde. Der im Oktober 2012 von den russischen Behörden verhaftete Programmierer aus Togliatti soll auch Autor des Cool Exploit-Kits und von Crypt.AM sein.
Der Herrscher der Kreditkarten
Der Juni 2012 in den Niederlanden zusammen mit Vladimir Drinkman verhaftete russische Hacker soll laut Anklageschrift von August 2005 bis Juli 2012 als Mitglied einer Gruppe von fünf Cyberkriminellen im Laufe der Jahre riesige Mengen an Kreditkartendaten gestohlen haben. Zusammen mit Aleksandr Kalinin, Roman Kotov, Mikhail Rytikov und Vladimir Drinkman soll Smilianets vor allem durch SQL Injection Hacks Firmen wie Nasdaq, 7-Eleven Carrefour und J.C. Penny gehackt haben. Insgesamt 160 Millionen Kreditkarten- und Guthabendaten wurden gestohlen und für Finanzbetrug benutzt. Der Schaden für die Firmen soll bei 300 Millionen US-Dollar liegen. Der Prozess in den USA ist noch nicht abgeschlossen.
FBI's most wanted
Evgniy Mikhailovich Bogachev, auch bekannt als lucky12345 und slavik schaffte es 2014 auf den ersten Platz der so genannte „Cyber Most Wanted“-Liste des FBI. Die amerikanischen Behören sehen in ihm den Hintermann des Botnetzes „Gameover Zeus“. Mit Hilfe der gleichnamigen Malware soll er für ein Botnetz von bis zu einer Million Computern verantwortlich sein, das zum Ausspähen von Bank-Passwörtern und Verbreiten von Malware benutzt wurde. Der Schaden betrage etwa hundert Millionen US-Dollar betragen. Bogachev hält sich nach Vermutungen der amerikanischen Behörden in Russland auf.
Der Phishing-Experte
Der Lette Alexey Belan soll zwischen Januar 2012 und April 2013 die Nutzerdaten von einigen Millionen Kunden dreier US-Unternehmen gestohlen haben. Er ist auf der Liste der meistgesuchten Hacker des FBI, der Name der geschädigten Unternehmen ist aber ebenso wenig bekannt, wie die Höhe des Schadens. Es soll sich um drei nicht genannte E-Commerce-Unternehmen aus Nevada und Kalifornien handeln. Da die Belohnung 100.000 US-Dollar beträgt, sollte der Schaden beträchtlich sein.
Für Firmen gebe es viel zu tun. Zwar wachse das Bewusstsein in vielen Firmen, dass die sogenannte Cyber-Kriminalität eine ernstzunehmende Bedrohung ist und schlimmstenfalls einen Betrieb in Existenznöte bringen kann, heißt es bei Oliver Wyman. Doch gerade in kleineren Firmen finde das Thema häufig noch zu wenig Beachtung. "Im Prinzip gilt schon: Je größer das Unternehmen, desto besser ist die Vorsorge." Gerade in sensiblen Branchen wie der Rüstungsindustrie gehören Attacken aus dem Netz seit Jahren zum Alltag. Doch es gibt auch Sparten, die nicht jeder auf der Rechnung hat.
"Eine Branche, bei der man es vielleicht nicht gleich denkt, ist die Hotellerie", sagt Herbolzheimer. "Da geht es gar nicht primär um die Unternehmen, aber etwa um Zugriff auf Funknetzwerke, um Gäste auszuspähen." Der mögliche Schaden für eine Hotelkette, sollte eine Abhöraktion in einem Hotel offenbar werden, ist immens. Unternehmen müssten vor allem erkennen, welche Bereiche wichtig und schützenswert sind, um Maßnahmen ergreifen zu können. "100-prozentigen Schutz können sie nicht erreichen. Es ist aber wichtig, dass die Firmen wissen, worauf sie sich konzentrieren müssen." (dpa/tc)