Virus Alert, Bild: © Olivier Le Moal - Fotolia
Schad- und Spionagesoftware können nicht nur als Email-Anhänge ins Unternehmen kommen, sondern auch von Mitarbeitern per USB-Stick unwissentlich eingeschleust werden. Bild: © Olivier Le Moal - Fotolia

Die Chefs verstehen das mit der Sicherheit nicht, der Einkauf prüft die Software nicht und die Administratoren scheinen auch keine Ansätze in diese Richtung zu machen – und dabei sind sie diejenigen, die die eingekaufte Software in die bereits vorhandene IT-Landschaft des Unternehmens einbauen und pflegen. „Wenn Systemadministratoren die Wahl zwischen höherer IT-Sicherheit und höherer Netzwerkperformance haben, entscheiden sie sich häufig für die Performance und erleichtern Hackern und anderen Cyberkriminellen damit ihr Treiben“, schreibt das Unternehmen Easy Software auf ihrer Internetseite unter Verweis auf eine Studie des Virenjägers McAfee.

Hinzu kommt, dass das IT-Personal nicht immer überwacht wird und keiner externen Kontrolle unterliegt. Dies führe zu Sicherheitsproblemen, behauptet Hewlett-Packard (HP). 86 Prozent aller Internetdienste sollen über suboptimale Passwortregeln verfügen. Nachdem im Sommer 2014 über eine Milliarde digitale Identitäten mit Namen und Passwörtern im Internet aufgetaucht waren, forderte auch das BSI die Anbieter auf, mehr in die Sicherheit ihrer Systeme zu investieren.

Schließlich gibt es dafür Anwender in den Unternehmen: Ihre „umfassenden Zugriffsrechte [...] bringen sensible Daten in Gefahr“, so der Sicherheitsdienstleister Varonis. Nicht nur, weil dadurch Zugänge zu Daten geschaffen werden, die diese Mitarbeiter für ihre Arbeit nicht benötigen, sondern auch, weil sie sich nicht sicher im Umgang mit den zur Verfügung gestellten Geräten fühlen. Das wäre aber wichtig, denn zu 60 Prozent nutzen Angreifer allem Anschein nach die Schwächen der Anwender aus und spannen so auch noch das Personal im Zielunternehmen für ihre Attacken ein. Daraus zieht aber offenbar nicht einmal ein Drittel der kleinen und mittelständischen Unternehmen in Deutschland die Konsequenz, die Mitarbeiter entsprechend zu schulen, so die Feststellung im „DsiN-Sicherheitsmonitor Mittelstand“ 2014.

Der Verein „Deutschland sicher im Netz“ hat weiter feststellt, dass 55 Prozent der Deutschen zu nachlässig mit dem Thema Sicherheit umgehen. Da haben wir offenbar etwas mit der übrigen Weltbevölkerung gemein: Von 626.718 Passwörtern sollen einer Studie von 2014 zufolge über die Hälfte durch einen einfachen Wörterbuch-Angriff geknackt worden sein. Weltweit scheinen „Password1“ und „Hello123“ besonders beliebt zu sein. Wer nun darauf hofft, dass der Dsin-Sicherheitsmonitor 2015 zu besseren Ergebnissen geführt hätte, sieht sich getäuscht: Zwar investiere der Mittelstand in seine Digitalisierung, aber: „Bedauerlicherweise sind die Vorkehrungen für IT-Sicherheit nicht im gleichen Maße mitgewachsen, sondern stagnieren oder waren sogar rückläufig.“

Ergebnis

Entscheider bedrohen Nutzer und umgekehrt. Jedes Mal, wenn ein Glied in der Prozesskette versagt, geraten alle anderen in Gefahr, gleichzeitig nimmt die Vernetzung auf allen Ebenen zu – in den Branchen etwa beim Auto, bei Banken, Energie, Maschinenbau, und  bei Funktionen wie beim Einkauf, Lager, Marketing, Produktion und Vertrieb. Schlechte Voraussetzung für das Internet der Dinge: 70 Prozent der vernetzten Geräte sollen nach Erkenntnis vom IT-Konzern HP dateninkontinent sein.

Die Lösung: Wir brauchen zertifizierte Produkte, Dienstleistungen und Unternehmen; und Bildung für alle. Denn Unwissen schütz nicht vor Spionage und Co. So kannte etwa das Landgericht Köln den Unterschied zwischen Streaming und peer-to-peer nicht und gab deshalb dem Antrag eines Anwalts auf Herausgabe von 40.000 Nutzerdatensätzen statt. Nachdem das Landesgericht seinen Irrtum bemerkt hatte, wurde die Entscheidung zurückgenommen. Da waren die 40.000 Datensätze aber bereits weg.

Es ist also wichtig zu klären, wie das Wissen aus den Köpfen der Sicherheitsleute in die Köpfe der Angegriffenen kommt. Diese Frage wird den Entscheidern in Politik, Wirtschaft, Verwaltung und Bildungswesen künftig zunehmend heftig vor die Füße fallen. Da stellt sich die Frage nach Verantwortung und Haftung.

Fälle aus dem Industriealltag

  • Fall 1: Erpressungsversuch
    Sachverhalt: Ein Unternehmen erhielt ein Erpresserschreiben per E-Mail, in dem die Zahlung von zwei Bitcoins mit einer Frist von 24 Stunden gefordert wurde. Falls das Unternehmen nicht auf die Forderung einginge, drohe die Veröffentlichung der zuvor über die Kompromittierung der Webseite des Unternehmens ausgespähten Kundendaten. Als Beleg für die Kompromittierung wurden dem Erpresseranschreiben die Datenbankstruktur der Webanwendung sowie Screenshots beigefügt.
    Auslöser: Die Kompromittierung der Webseite des Unternehmens war durch die Ausnutzung einer bekannten Schwachstelle in dem eingesetzten Content-Management-System (CMS) möglich. Nach Eingang des Erpresseranschreibens wurde ein bereits verfügbares Sicherheitsupdate für das CMS installiert.
    Schadenswirkung: Dem Unternehmen entstand durch den Cyber-Angriff zunächst ein Reputationsverlust durch die Offenlegung der vertraulichen Kundendaten. Des Weiteren erzeugte die sichere Wiederherstellung der Webseite personelle und finanzielle Aufwände. Die Verwendung der ausgespähten Informationen für weitere Cyber-Angriffe – etwa gegen die Kunden des Unternehmens – ist denkbar, sie wurde allerdings im konkreten Fall nicht beobachtet. Kompromittierungen von Webseiten können generell verschiedene Schäden auslösen. Neben dem dargestellten Ausspähen von sensiblen Informationen und deren Verwendung für ein Erpressungsszenario können die Angreifer auch Schadprogramme über die Webseite verteilen oder den Webserver unter anderem für DoS-Angriffe oder den Spam-Versand missbrauchen.
  • Fall 2: Ransomware
    Sachverhalt: Unter Einsatz der Schadsoftware Cryptowall (Ransomware/Cryptoware) infizieren Kriminelle Rechner und verschlüsseln darauf liegende Daten. Daraufhin erpressen die Angreifer vom Opfer Lösegeld, bei dessen Zahlung die Verschlüsselung rückgängig gemacht werden soll. Im April 2015 war ein System eines Klinikkonsortiums von der Ransomware betroffen, die dort Gesundheitsdaten wie Arztbriefe und Abrechnungen verschlüsselte.
    Auslöser: Die Infektion mit der Schadsoftware ist vermutlich auf Anwendungssoftware zurückzuführen, die nicht auf dem aktuellen Stand in Bezug auf Sicherheitsupdates war.
    Schadenswirkung: Nach der Detektion konnte ein Backup eingespielt werden, wodurch sich der Datenverlust auf eine Zeitspanne von zwölf Stunden begrenzen ließ. Ein weiterer finanzieller Schaden ist jedoch nicht ausgeschlossen, da Abrechnungen gegebenenfalls nicht mehr nachvollzogen werden können und die erneute Erstellung von Arztbriefen und die Aktualisierung der medizinischen Dokumentation zusätzlichen Aufwand generiert.
  • Fall 3: Social Engineering
    Sachverhalt: Wie im Vorjahr gab es auch im aktuellen Berichtszeitraum des BSI immer wieder Wellen von Social-Engineering-Angriffen, bei denen sich Kriminelle am Telefon als Support-Mitarbeiter der Firma Microsoft ausgaben und versuchten, unter Vorspiegelung angeblicher Lizenzprobleme oder Schadsoftware-Infektionen die Angerufenen dazu zu bewegen, persönliche Daten preiszugeben oder dem Anrufer einen Zugang zu ihrem Rechner zu ermöglichen.
    Auslöser: Die Täter geben sich bei ihren Anrufen als Microsoft-Support-Mitarbeiter aus, die ein angebliches Problem mit der Betriebssystemlizenz des Opfers oder eine Schadsoftware-Infektion festgestellt haben und dies in Zusammenarbeit mit dem Kunden beheben wollen. Im Verlauf des Gespräches werden die Opfer überzeugt, eine Fernwartungssoftware zu installieren, damit der vorgebliche Support-Mitarbeiter Zugriff auf das System erhält, um das angebliche Problem direkt zu lösen. Mithilfe dieser Software hat der Angreifer vollständigen Zugriff auf das System und alle darauf gespeicherten Daten. In manchen Fällen werden am Telefon auch die Kreditkartendaten des Kunden erfragt, um damit den angeblich geleisteten Support zu bezahlen.
    Schadenswirkung: Der Fernzugriff auf die Systeme und die Daten der Opfer erlaubt es den Angreifern, beliebige Schadprogramme auf den Computern auszuführen oder direkt nach Informationen zu suchen, die sich für kriminelle Zwecke verwerten lassen. Ein solcher Eingriff stellt eine Verletzung der Privatsphäre dar. Schafft es der Angreifer, dem Opfer Konto- oder Kreditkartendaten zu entlocken, so entstehen Letzterem durch Abbuchungen unmittelbare finanzielle Schäden. (Quelle: BSI Lagebericht 2015)