Unternehmen unterschätzen Cybercrime

Hacker arbeiten von 09 bis 18 Uhr

31.07.2014
Die NSA-Affäre hat die Hacker-Attacken auf Großkonzerne aus den Schlagzeilen verdrängt. Dabei nimmt die Zahl der kriminellen Angriffe auf Unternehmen nicht ab - im Gegenteil.
Das Bewusstsein für Angriffe sei in den Unternehmen inzwischen höher, heißt es beim IT-Branchenverband Bitkom.
Foto: Shutterstock.com / Photosani

Die Geschichte klingt nach einem Spionage-Film: Mit Hilfe von infizierten E-Mails und Webseiten wurden in Europa und den USA spätestens seit 2011 Energie-Unternehmen angegriffen und ausgespäht. Das Ziel war Software, mit deren Hilfe unter anderem Windturbinen oder Biogas-Anlagen gesteuert werden. Schäden wurden nicht bekannt.

Es hätte schlimmer ausgehen können. Denn Sabotage-Akte wären durchaus möglich gewesen, sagt Candid Wüest, Virenjäger beim weltgrößten Anbieter von Sicherheitssoftware Symantec. 20 Angriffe identifizierte Symantec allein in Deutschland. Dragonfly (engl: Libelle) tauften die Virenjäger die dahinter stehenden Hacker, bei anderen Anbietern wurde die Gruppe "Energetic Bear" genannt. Die Attacke trage Zeichen einer staatlich unterstützten Operation mit großen Ressourcen und hohen technischen Fähigkeiten.

Der Vorfall passt ins Bild: Die flächendeckende Internet-Überwachung durch US-Geheimdienste ist ein Jahr nach den ersten Enthüllungen immer noch ein Thema. "Die IT-Gefährdungslage für Unternehmen hat sich jedoch im Grundsatz nur wenig geändert", sagt Isabel Münch, Referatsleiterin Allianz für Cyber-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.

Die 8 schlimmsten Hackerangriffe
Security-Experten Faronics erklärt die größten Hackerskandale der vergangenen zehn Jahre. Die unmitttelbaren Schäden gingen dabei in Millionenhöhe.
134 Millionen Kundendaten ...
... stahlen Cyberkriminelle 2009 mithilfe einer Spionagesoftware. Sie lasen die Kreditkartendaten von 134 Millionen Kunden des amerikanischen Unternehmens Heartland Payment Systems.
860.000 Benutzernamen und E-Mail Adressen ...
... haben Hacker während eines Angriffs auf die US-Sicherheitsberater von Stratfor gestohlen und die Kundendaten anschließend im Netz veröffentlicht. Ein Link enthielt 75.000 Namen, E-Mail-Adressen, Kreditkartennummern sowie Passwörter von Stratfor-Kunden. Zusätzliche 860.000 Daten waren Benutzernamen und E-Mail-Adressen von registrierten Nutzern auf der Stratfor-Website.

Auch wenn in der öffentlichen Wahrnehmung die größere Bedrohung von Spionage-Attacken ausländischer Staaten ausgeht, sind es kriminelle Hacker, die den Sicherheitsexperten die meisten Sorgen machen. "Nach wie vor stellen Online-Kriminelle eine wesentliche Bedrohung für die Unternehmen da", sagt Münch. Prominentes und jüngstes Beispiel ist die EZB: Hacker nutzten eine Lücke auf einer Internetseite, um sich Zugang zu einer Datenbank mit 20000 E-Mail-Adressen sowie Telefonnummern oder Post-Anschriften zu verschaffen.

Das größte Risiko gehe immer noch von gezielten Angriffen aus, sagt Münch. Dabei gehen die Hacker vor wie Einbrecher, die ihre Opfer erst ausspähen, Einfallstore suchen und sich dann Zugang verschaffen. Sie verschicken Inhalte mit auf den Empfänger zugeschnittenen Inhalten, diese sind mit Schadsoftware oder Trojanern gespickt.

Dabei hat die Debatte rund um den US-Geheimdienst NSA nicht unbedingt geholfen, sagt Sebastian Schreiber, Chef der Sicherheitsfirma Syss mit Sitz in Tübingen. "Einige resignieren und sagen, sie können sich ohnehin nicht schützen", sagt Schreiber. Nachdem bekannt wurde, in welchem Ausmaß die NSA es auf Verschlüsselungsmechanismen abgesehen hat, ließen Unternehmen ihre Absicherungsmechanismen schleifen, statt weiter zu investieren. "Das ist falsch", sagt Schreiber.

Die Syss-Mitarbeiter greifen Unternehmen selbst mit den Methoden von Hackern an, um so Sicherheitslücken aufzudecken. Was sie dort finden, klingt alarmierend. "Viele Unternehmen sind regelrecht bewohnt", sagt Schreiber und spricht von Großkonzernen, die seit fünf Jahren von ausländischen Hackern heimgesucht werden.

Von einem verlorenen Jahr will Isabel Münch dagegen nicht sprechen: "Die Nachfrage nach Sicherheitsmaßnahmen steigt." Das Bewusstsein für Angriffe sei inzwischen höher, heißt es beim Bitkom. Der Allianz für Cybersicherheit haben sich seit der Computermesse Cebit im März 124 weitere Firmen angeschlossen - 843 sind es inzwischen.

Schutz ist möglich
Unternehmen können ihre Industrie-Anlagen durchaus schützen. Falls möglichen, sollten sie die Systeme vom Internet trennen, rät Wilhoit. Pflicht sei der Einsatz einer Firewall. Zudem sollten innerhalb der Industrie-Anlage strenge Sicherheitsmaßnahmen eingeführt werden.
Fazit: Angriffe kaum zu vermeiden
Das Fazit von Trend-Micro-Forscher Kyle Wilhoit ist alarmierend: Es sei eine "überraschende Anzahl" von Angriffen zu beobachten gewesen. "Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen", bilanziert er daher nach dem Experiment.
Genaue Motive unbekannt
Wo die Rechner der Angreifer vermutlich standen, konnten die Forscher zwar nachvollziehen, über deren Motive wissen sie dagegen wenig. Ihr Eindruck: Einige Attacken hatten das Ziel, Informationen zu sammeln, andere wollten die Anlage tatsächlich lahmlegen.
Angreifer aus aller Welt
Die Angriffe gingen von 14 verschiedenen Ländern aus. Gut ein Drittel der Attacken (35 Prozent) war auf China zurückzuführen, ein Fünftel (19 Prozent) auf die USA, immerhin 12 Prozent auf den südostasiatischen Staat Laos.
Erster gezielter Angriff nach 18 Stunden
Eine Attacke stellten die Forscher bereits nach 18 Stunden fest. Im Testzeitraum von 28 Tagen verzeichneten sie insgesamt 39 Angriffe. Einige Angreifer versuchten es offenbar mehrfach und überarbeiteten dabei ihre Strategie.
Optimiert für Suchmaschinen
Damit die Angreifer die Systeme finden konnten, gestalteten die Forscher sie außerdem so, dass Google sie finden konnte, aber auch die Suchmaschine Shodan, die mit dem Internet verbundene Geräte aufspürt.
Schwachstellen als Einfallstor
Die Systeme enthielten typische Schwachstellen – damit sei die Testumgebung nah an der Realität gewesen, betonen die Forscher: Denn viele Industrie-Anlagen, die mit dem Internet verbunden sind, sind nicht ausreichend geschützt.
Zwei Honigtöpfe als Köder
Die Sicherheitsexperten stellten zwei sogenannte Honeypots auf. Dabei handelt es sich um Computersysteme, die Angreifer anlocken sollen – so wie Honigtöpfe, die eine große Anziehung auf Bären ausüben. Die Testumgebung war einer Pumpstation samt Steuerung und technischer Dokumentation nachgebildet. Eine Pumpe gab es allerdings nicht.
Erfahrungen sammeln
Bislang ist wenig über Attacken auf industrielle Steuerungssysteme bekannt. Um mehr darüber zu lernen, hat das IT-Sicherheitsunternehmen Trend Micro ein Experiment gemacht, über das es in einem Forschungspapier ausführlich berichtet.

Trotzdem gibt es Nachholbedarf: "Es tut sich eine Schere auf", stellt Marc Fliehe, IT-Sicherheitsexperte beim Branchenverband Bitkom fest. "Die, die ohnehin viel investiert haben, haben ihre Anstrengungen noch erhöht und den Schutz vor Wirtschaftsspionage ausgebaut." Kleine- und mittelständische Unternehmen, die nicht die finanziellen Mittel haben, hätten dagegen häufig noch erhebliche Defizite.

"Den größten Nachholbedarf sehen wir in produzierenden Unternehmen", sagt Isabel Münch. Angriffe auf Steuerungssysteme nach dem Muster des Computerwurms Stuxnet wie im Falle von "Dragonfly" haben zugenommen. Stuxnet griff Software zur Steuern von Zentrifugen in iranischen Urananreicherungsanlagen an. Die drehten sich so schnell, dass die Anlagen am Ende kaputt gingen. Inzwischen wird vermutet, dass der israelische Geheimdienst den Computerwurm entwickelte. "Wir hatten den Fall eines kommunalen Schwimmbads, das quasi aus dem Internet gesteuert werden konnte", berichtet Münch.

Die Täter zu fangen, ist nach wie vor die größte Herausforderung: Wer hinter der "Dragonfly"-Attacke steckt, ist noch nicht ausgemacht. Die Hacker, so fanden die Symantec-Experten heraus, arbeiteten üblicherweise irgendwo in Osteuropa in der Zeit von 09.00 Uhr bis 18.00 Uhr. Ob sie allerdings nur Server dort gekapert haben oder tatsächlich von Russland aus aktiv waren, sei aus dieser Tatsache nicht abzuleiten, sagt Symantec-Virenjäger Wüest. (dpa/rs)