Geringes Risiko und hohes Ertragspotenzial führen dazu, dass Cyberkriminelle kräftig aufrüsten. Gleichzeitig herrscht in vielen Firmen eine gefährliche Vogel-Strauss-Mentalität
vor. Der folgende Beitrag erläutert die aktuelle Bedrohungslage und zeigt Wege, wie KMU das Risiko von Cyber-Attacken in den Griff bekommen können.
Es ist ein Mythos, dass Herr und Frau Schweizer nicht betroffen sind. Ob man es wahrhaben will oder nicht, jeder ist von Cyberkriminalität betroffen. Je eher man sich darauf vorbereitet, desto billiger wird man davonkommen.
Angriffe, die zufällige Opfer betreffen und nur die Zerstörung von Daten zum Ziel haben, sind selten geworden. Cyberkriminalität hat sich in den letzten Jahren zum veritablen Geschäftsmodell entwickelt. Die Angreifer agieren professionell, sind gut organisiert und haben das klare Ziel, Geld zu verdienen.
Niemals bezahlen
Das Mittel zum Zweck ist dabei in der Regel Erpressung der Betroffenen. Bezahlt wird
mittels anonymer Transaktionen mit Crypto- Währungen. Polizeiliche Ermittlungen gehen aufgrund des sorgfältigen Vorgehens der Kriminellen regelmässig ins Leere.
Vorneweg: Niemals sollte eine solche Rechnung bezahlt werden! Es gibt keine Garantie, dass die Zahlung den beabsichtigten Zweck erfüllt und man als Betroffener zukünftig in Ruhe gelassen wird. Durch eine Zahlung fördert und ermöglicht man nur kriminelle Machenschaften weltweit.
Angriffe auf Webshops
Eine gern genutzte Masche ist der Denialof- Service-Angriff auf Webshops. Wenn der Betroffene einen grossen Teil seiner Erträge über einen Webshop generiert, ist er dafür besonders anfällig. Kriminelle nutzen Unmengen gehackter PCs (sogenannte Botnets), um die Webseite zu überlasten und reguläre Aufrufe unmöglich zu machen.
Ein solcher Angriff kann als Auftragsarbeit erfolgen, wenn Konkurrenten ihn aus dem Geschäft drängen wollen. Oder er erhält vor oder nach dem Angriff eine Forderung, die ihn zur Zahlung einer bestimmten Summe auffordert, damit der Shop weiterhin online bleibt.
Der Schutz gegen einen Denial-of-Service- Angriff ist aufwändig und erfolgt sinnvollerweise
so weit weg wie möglich vor den eigenen Systemen. Am effektivsten sind Massnahmen in der Netzwerkinfrastruktur des eigenen Providers. Viele Provider bieten heute einen Grundschutz als Teil der Basisdienstleistung an, der bei Bedarf ausgebaut werden kann. Um gegen Angriffe dieser Art gewappnet zu sein, sollten angemessene Massnahmen mit dem Provider besprochen werden.
Die Angemessenheit ergibt sich dabei aus dem Risiko – wie viel Umsatz generiert der Betroffene aus dem Webshop und wie hoch ist der potenzielle Schaden, wenn dieser Vertriebskanal über mehrere Tage ausfällt. Dafür sollten die Kosten für den Schutz vor einem Angriff dieser Art als Versicherung zur Absicherung der eigenen Existenz betrachtet werden.
Erpressungssoftware im Firmennetz
In den Medien recht präsent sind derzeit Angriffe durch Erpressungssoftware, auch Trojaner oder Ransomware genannt. Dabei platzieren Angreifer bösartige Software im jeweiligen Firmennetz, wo sie Daten verschlüsseln und daraufhin eine Lösegeldforderung präsentieren. In Folge des Angriffs sind die gesamten Buchhaltungsdaten nicht mehr verfügbar oder der Dateiserver enthält nur noch Datenmüll. Die Höhe der Forderung richtet sich dann nach der Grösse der Firma und dem Wert der Daten und kann schnell hohe Beträge erreichen. Selbst sechs- bis siebenstellige Summen wurden schon gefordert und bezahlt.
Angriffe dieser Art erfolgen in der Regel durch eine Kombination verschiedener Schwachstellen. Gerne senden die Kriminellen im ersten Schritt ein Mail mit einem unverdächtig aussehenden Anhang und bringen einen unvorsichtigen Empfänger dazu, diesen zu öffnen. Die entsprechenden Mails sind heute sehr gut gemacht, haben gerne einen bekannten Absender und sind kaum von echten Geschäfts-Mails zu unterscheiden.
Durch verschiedene Tarnmechanismen kann sich die Schadsoftware auch gut vor Virenscannern verbergen. In einem zweiten Schritt werden durch die so aktivierte Schadsoftware weitere Sicherheitslücken im Netzwerk ausfindig gemacht und darüber
zusätzliche Arbeitsstationen und Server infiziert. Ist der Angriff einmal so weit gediehen,
bleibt als einzige Gegenmassnahme häufig nur noch der Lock down, also das vollständige Abtrennen betroffener Systeme und Netzwerke. Anschliessend müssen die Systeme komplett neu aufgesetzt werden.
Einfache Schutzmassnahmen
Auch gegen eine solche Art ausgefeilte Angriffe kann man Vorkehrungen treffen. Die folgenden Massnahmen sollten zuerst implementiert werden:
1. Alle Systeme sollten mit den aktuellsten Sicherheits-Patches ausgestattet sein. Das Ausnutzen bekannter Sicherheitslücken spielt häufig eine grosse Rolle bei der Verbreitung von Schadsoftware. Durch das regelmässige Einspielen aller Patches wird die Angriffsfläche
beträchtlich reduziert und die Kosten dafür sind gering. Vertrauen auf eine Firewall ist ebenfalls tückisch, denn es bedeutet mitnichten, dass die wichtigsten Server damit geschützt sind. Sicherheit heisst heute, dass alle Systeme für sich genommen sicher sein müssen (Defense in Depth).
2. Für alle Konten sind sichere Passwörter sehr wichtig. Alle Konten sollten mit Passwörtern geschützt werden. Sicher sind Passwörter dann, wenn sie lang sind. Länge schlägt Kompliziertheit!
3. Alle privilegierten Zugänge, insbesondere Administrator-Konten, sollten mittels eines zweiten Faktors gesichert werden. Wenn es einem Angreifer gelingt, Passwörter abzugreifen, ist der zweite Faktor ein wirkungsvolles und preiswertes Mittel, den Missbrauch dieser Passwörter zu verhindern.
4. Auf allen Rechnern sollte eine Antiviren- Software mit jederzeit aktuellen Signaturen installiert sein. Eine solche Software kann zwar nicht jede Schadsoftware erkennen, aber
zumindest einen grossen Teil davon.
5. Eine regelmässige Sensibilisierung der Mitarbeiter zu den Themen sicherer Umgang mit Mails und Downloads reduziert das Risiko, Opfer von Cyberkriminalität zu werden.
6. Und zu guter Letzt: Backups sollten nach der 3-2-1-Regel implementiert werden. Das bedeutet: Drei Kopien aller Daten auf zwei unterschiedlichen Medien erstellen und eins davon sollte an einem unabhängigen Standort gelagert werden. Wird das Netzwerk infiziert und die Daten auf den Online- Systemen gehen verloren, so gibt es zumindest die Möglichkeit, die wertvollen Daten wiederherzustellen.
Verteidigung ist möglich
Die genannten sechs Massnahmen reduzieren das Risiko beträchtlich, zum Opfer einer Erpressungssoftware zu werden. Und wenn doch, so bleibt das Backup als letzte Rettung. Betroffene ziehen Incident-Response- Spezialisten hinzu, um die Schäden einzudämmen und angemessen zu reagieren. Eine Anzeige bei der Polizei sowie bei der Meldestelle des Bundes MELANI hilft den staatlichen Stellen bei der korrekten Einschätzung der aktuellen Bedrohungslage.
