Es ist fast so, als wollte man mit bloßen Händen alle Löcher eines Siebs verschließen. Etwas kommt immer durch. Derart verhält es sich auch mit der IT-Sicherheit in Unternehmen. Zwar haben viele Firmen mittlerweile verstanden, wie wichtig der Schutz der eigenen Infrastruktur ist - nur die Umsetzung wird immer schwieriger.
Mit der fortschreitenden Vernetzung von firmeninternen Prozessen bieten Unternehmen deutlich mehr Angriffsfläche für Attacken. Reichte es früher aus, Designideen oder Produktionspläne in einem abgeschlossenen Raum aufzubewahren, können Mitarbeiter heute oft über ihr Mobilgerät darauf zugreifen - auch so steigt die Gefahr, dass Angreifer an strategisches Wissen gelangen.
Während die Zahl der Schwachstellen wächst, nimmt gleichzeitig die Zahl jener zu, die versuchen sie auszunutzen. "Die Liste der Angreifer aus dem Cyberspace wird länger", sagt Steve Durbin, Geschäftsführer des Information Security Forums (ISF). "Sie reicht von Amateurhackern, über organisierte Kriminelle und Hacktivisten, die auf ein Thema aufmerksam machen wollen, bis hin zu staatlichen Akteuren die von Ländern mit großen Budgets finanziert werden."
Das ISF ist eine unabhängige internationale Organisation, die sich der Lösung von IT-Sicherheitsproblemen verschrieben hat. Zu den Mitgliedern zählen zahlreiche Großkonzerne, wie IBM und Procter&Gamble.
Abhängig von Motivation oder Hintergrund unterscheiden sich auch die Vorgehensweisen der Angreifer. Einige wollen einfach nur Schaden anrichten, andere zielen auf Aufmerksamkeit oder wollen schlicht beweisen, dass Sicherheitsschranken überwindbar sind. Dann wiederum geht es darum, gestohlene Daten zu Geld zu machen, Ideen zu klauen oder Personen und Firmen zu überwachen. Auf alle Varianten müssen Unternehmen vorbereitet sein.
Erschwert wird dies aber dadurch, dass Angreifer begonnen haben zu kooperieren. "Wenn einer eine Schwachstelle gefunden hat, wird sie auch schnell von anderen genutzt", sagt David DeWalt, Chef des amerikanischen IT-Sicherheitsdienstleisters FireEye. Dies geschehe teilweise binnen Stunden und sei ein neues Phänomen. Früher hätten Hacker Schwachstellen für sich behalten, damit andere nicht dieselbe Lücke ausnutzen und bei den potenziellen Einnahmen durch den Verkauf gestohlener Daten mitprofitieren.
Inzwischen aber werde mit Informationen über Schwachstellen selbst Handel getrieben, erklärt DeWalt. "Angreifer planen schnellere, raffinierte Attacken als vorher. Sie infiltrieren gezielt und kurz ein spezielles Netzwerk und verwischen dann ihre Spuren." Solange die Schwachstelle unbemerkt bleibt, lässt sie sich in Internetforen gut verkaufen.
Besonders häufig im Visier der Angreifer steht traditionell das Bankgewerbe, da hier eine große Zahl von finanziellen Transaktionen abgewickelt wird. DeWalt und sein Team beobachten auch einen Trend in Richtung der Kapitalmärkte - zum Handel mit Insiderinformationen. Dazu verschaffen sich Cyberkriminelle Zugang zum Unternehmen und verfolgen dann live etwa E-Mail-Konversationen des Vorstands. Auch Telefongespräche können belauscht werden. Diese Informationen verkaufen sie an Aktienhändler oder sie kaufen selbst Aktien.
Hacken mit Mittagspause und geregelter Arbeitszeit
Aus anderen Motiven sind Pharmakonzerne und andere produzierende Unternehmen Ziel von Angriffen. Dort geht es meist um Industriespionage. Generell sind jedoch all jene Firmen interessant für Hacker, die Daten ihrer Kunden speichern. Denn diese können im Internet weiterverkauft werden.
Einzeltäter, die von ihrem Versteck aus in der Nacht in Firmen eindringen - das Klischeebild vom Hacker verkehrt sich in der Realität ins Gegenteil. IT-Sicherheitsexperten berichten, dass sie den Ursprung zahlreicher Angriffe schon zu einzelnen Gebäude zurückverfolgen konnten. Dort wurde dann zu arbeitnehmerfreundlichen Zeiten zwischen neun und 17 Uhr versucht, in fremde Netze einzudringen.
Zur Mittagszeit ließ die Zahl der Attacken merklich nach - man gönnte sich offenbar wie in jedem anderen Betrieb eine Pause. Einige dieser Hackerbüros sollen sich auf bestimmte Angriffsweisen spezialisiert haben, die sie als Dienstleistung anbieten.
Passgenau auf die Art der Attacke abgestimmt sind zunehmend auch Hacker-Werkzeuge und Schadsoftware. Diese lassen sich auf eigenen Marktplätzen erwerben. Die Vorgehensweise der Cyberkriminellen hängt eng mit ihrer Motivation zusammen. So nutzen Spione - seien es staatliche oder von Konkurrenten beauftragte - häufig Social Engineering. Dabei suchen sie gezielt nach einer Person im Unternehmen, die entweder über die gesuchten Informationen verfügt, oder dank umfangreicher Rechte an sie gelangen könnte. Über Tricks wird sie dazu verleitet, einen Link zu klicken, der Schadsoftware enthält und so das Netzwerk des Opfers infiltriert.
Geht es dagegen darum, generell das Netzwerk von Unternehmen zu infizieren, verteilen einige Kriminelle USB-Sticks auf Messen oder verschicken CDs, auf denen hinter der vermeintlichen Produktinformation Schadprogramme versteckt sind. Oder es werden schlicht Internetseiten infiziert, auf denen spezielle Berufsgruppen häufiger Informationen suchen. Diese Art des Angriffs nennt sich "Attacke am Wasserloch" - selbst Entwickler des US-Konzerns Apple gingen schon in die Falle.
Angesichts der Vielzahl von Angreifern und Methoden sei es für Unternehmen immer wichtiger, Abwehrmechanismen zu entwickeln, sagt ISF Geschäftsführer Durbin. Fundamental sei eine Basis-Sicherheits-Hygiene: Firewalls auf den Geräten, regelmäßige Updates der Software und kontinuierliche Aufmerksamkeit der Mitarbeiter. Es müsse auch einen Plan dafür geben, wie sich der Betrieb von einem unerwarteten Angriff rasch erholen könne und wie die nötige Spurensuche ablaufe. "Damit Firmen ähnliche Angriffe in Zukunft vermeiden können", so Durbin.
Damit ein solcher Plan funktioniert, sei es nötig, ihn regelmäßig durchzuspielen. Denn: "Die Unternehmen müssen begreifen, dass es keine hundertprozentige Sicherheit gibt."
(Quelle: Handelsblatt)