Die IT-Sicherheitslage hat sich durch den Ukraine-Krieg, Ransomware, Spionage und Sabotage weiter zugespitzt. Dabei stehen Unternehmen aufgrund ihrer fortschreitenden Digitalisierung und in Zeiten von verstärkter Remote-Arbeit ohnehin neuen Cyberrisiken gegenüber. Wir haben mit Matthias Nehls, unserem Gründer und geschäftsführenden Gesellschafter, über die derzeit größten IT-Gefahren sowie strategische Gegenmaßnahmen gesprochen:
Matthias Nehls, das Risiko für Cyberattacken war noch nie so hoch wie heute: Worin bestehen 2023 die größten Gefahren und was hat sich im Vergleich zum Vorjahr verändert?
Die gegenwärtige Sicherheitslage für Unternehmen ist, wie der BSI-Lagebericht bestätigt, äußerst angespannt: Cyberangriffe stellen eine substanzielle Bedrohung für Unternehmen jeder Branche und Größenordnung dar. Laut einer Bitkom-Studie wurden 2021 neun von zehn Unternehmen Opfer von Datendiebstahl, Spionage oder Sabotage. Als Hauptbedrohung erweist sich nach wie vor Ransomware , mithilfe derer Hackergruppen Unternehmensnetzwerke verschlüsseln. Wir beobachten, dass die Fälle in 2022 weitaus größer geworden sind. Bislang forderten dahinterstehende Gruppen vorrangig Lösegeld, um die eigene kriminelle Infrastruktur auszubauen. Inzwischen steht die Machtdemonstration im Fokus.
Wie hoch das Schadenspotenzial ist, zeigt beispielsweise der Cyberangriff auf einen börsennotierten Automobilzulieferer im vergangenen Sommer. Hierbei wurden sensible Unternehmensdaten, darunter Patente, Aufsichtsrat-Protokolle und Kundendaten, erbeutet, der Datentransfer von rund 40 TB blieb vier Wochen lang unerkannt. Ein Teil der geraubten Informationen wird für 50 Millionen Dollar im Darknet zum Verkauf angeboten – sprich zum selben Preis wie das geforderte Lösegeld. Angesichts der enormen Summe wird den Angreifenden von Anfang an klar gewesen sein, dass sich das attackierte Unternehmen kaum auf die Forderung einlassen wird. Es ging also darum, ein medienwirksames Vorzeigeopfer zu generieren und den eigenen Machteinfluss zu verdeutlichen. Diese Entwicklung wird durch die angespannte geopolitische Lage geschürt.
Auch der BKA-Präsident Holger Münch warnt vor mehr Cyberkriminalität durch den Ukraine-Krieg. Welche neuen Phänomene beobachten Sie in diesem Kontext?
Wir sehen im Zuge der hybriden Kriegsführung, die sich auf den digitalen Raum erstreckt, eine Zunahme von Ransomware-Angriffen, bei denen die Grenzen zwischen Erpresserbanden und staatlichen gesteuerten Gruppen verschwimmen. Dazu hat „Zeit online“ kürzlich einen aufwändig recherchierten Beitrag veröffentlicht. Es wird aufzeigt, dass sich Ransomware-Hintermänner hinter Tarnnamen verstecken und von russischen Geheimdiensten gedeckt werden – vermutlich, weil sie in staatliche Cybercrime und Spähaufträge eingebunden sind.
Darüber hinaus beobachten wir, sowohl auf russischer als auch auf westlicher Seite, vermehrt staatsnahe, lose Verbindungen von Personen, die als Cyber-Hacktivisten politisch motivierte Angriffe ausführen. So werden über Telegram-Gruppen Distributed Denial of Service (DDoS)-Attacken auf staatliche Institutionen geplant, die durch stark erhöhten Datenverkehr für den Zusammenbruch von IT-Infrastrukturen sorgen und die Geschäftstätigkeit von Unternehmen zum Erliegen bringen. Informationen über kriminelle Erfolge, aber auch Falschmeldungen erscheinen in diesen Chat-Gruppen im Minutentakt. Sogar professionelle Hackerangriffe auf ausgewählte Unternehmen werden dort geplant.
Mit dem anhaltenden Konflikt geht auch ein größeres Potenzial für europäische oder internationale Hacker einher, unter dem Deckmantel russischer IP-Adressen ihr Unwesen zu treiben. Westliche Strafverfolgungsbehörden stoßen hier schnell an ihre Grenzen: Sie werden von einem russischen Internetprovider keine Hintergrundinformationen zur Aufklärung eines IT-Sicherheitsvorfalls erhalten – selbst, wenn keine lokale Hackerbande darin verwickelt sein sollte. Somit ist die Ermittlung erschwert: Cyberkriminelle aus aller Welt können sich auf der einen oder anderen politischen Seite verstecken.
Wie sieht Ihre Cyberrisiko-Prognose für 2023 aus – wird sich der Trend fortsetzen oder die IT-Sicherheitslage wieder bessern?
Die Anzahl der Angriffe wird sich aufgrund des technologischen Fortschrittes potenzieren. Während es Hackern vor einigen Jahren kaum möglich war, im Handumdrehen eine Vielzahl von IP-Adressen zu scannen und diese Ergebnisse für Cybercrime-Zwecke zu nutzen, stehen dafür heute automatisierte Tools bereit. Daraus ergeben sich neue Skalierungsmöglichkeiten für das Angriffsvolumen sowie die Intensität von Angriffen.
Hinzu kommt, dass die Rolle der organisierten Kriminalität bei den Attacken zunimmt: Hackergruppen, wie die in dem Zeit-Artikel recherchierte und zuletzt unter dem Namen Conti bekannte, generieren Millionen-, wenn nicht Milliardenumsätze. Sie verfügen über Managementstrukturen, agieren international und mit äußerst perfiden Methoden.
Auch Support Center von Ransomware-as-a-Service-Anbietern sind erschreckend gut aufgestellt und bieten besseren Service als viele legale Unternehmen.
Nicht zuletzt motiviert der Ost-West-Konflikt internetaffine Jugendliche dazu, ihrer politischen Meinung mit hemdsärmeligen Mitteln, sprich „Hacker-Baukasten“ aus dem Dark- oder Internet, Ausdruck zu verleihen. Dadurch steigt auch die Anzahl jener Attacken, die mit einfachen Werkzeugen durchgeführt werden.
Weshalb setzen Cyberkriminelle weiterhin besonders auf Ransomware?
Angriffe mit Erpressersoftware sind für Hacker eine lukrative und ohne großen Aufwand zu generierende Einnahmequelle: Unternehmen sind aus Sorge um ihre Geschäftstätigkeit und Reputation immer wieder dazu bereit, hohe Summen für die Freigabe ihrer verschlüsselten Systeme und Daten zu zahlen.
Darüber hinaus sorgt das Geschäftsmodell Ransomware-as-a-Service durch Automatisierung und Professionalisierung für niedrigere Einstiegshürden in das Hackermilieu. Täter müssen die Schadsoftware nicht mehr selbst programmieren und aktuell halten. Über monatliche Abonnements erhalten sie ein umfassendes Servicepaket. Sollte ein derzeit genutzter Virus von Virenscannern erkannt werden, erhalten User Hinweise zum notwendigen Upgrade. Auch Zahlungsströme laufen automatisiert – inzwischen gibt es sogar organisierte Banden, die sich um die Geldwäsche von Zahlungen aus Erpressungsfällen kümmern. Insgesamt müssen Nachwuchs-Hacker heute also weitaus weniger Know-how mitbringen als früher: Mit Ransomware wird es immer einfacher, ein kriminelles Business im Netz aufzubauen.
Medien berichten vermehrt von Cyberattacken auf KRITIS-Unternehmen – woran liegt das?
Angriffe auf kritische Infrastrukturen (KRITIS), insbesondere Energieversorger, finden in der Tat verstärkt statt. Daraus lässt sich ein Wertewandel ablesen: Früher galten Cyberattacken auf Krankenhäuser, Gas- und Stromanbieter laut Hacker-Ethik als Tabu. Zwar kam es vor, dass etwa ein Uniklinikum– nach Angaben der dahinterstehenden Angreifenden – „aus Versehen“ mitverschlüsselt wurde, da es zum Netzwerk der avisierten Universität gehörte. Für die Wiederherstellung der Systeme stellten die Angreifenden in solchen Fällen einen Entschlüsselungscode zur Verfügung.
Durch den geopolitischen Konflikt hat sich dies schlagartig verändert: KRITIS-Unternehmen sind besonders beliebte Angriffsziele, weil sich hier massive Auswirkungen provozieren lassen. Betreiber müssen bestehende Schutzmechanismen daran anpassen, das gibt auch das IT-Sicherheitsgesetz 2.0 vor. Da die regulatorischen Anforderungen aber komplex sind und z.B. nach Unternehmensgröße variieren, gilt es vieles zu bedenken. Wird hierfür Beratungsexpertise eingekauft, sollten Verantwortliche ihr Augenmerk auf Fachwissen legen. Bislang wird Sicherheit oft von klassischen IT-Dienstleistern mitbedient, was angesichts steigender Risiken und der Tatsache, dass Cyber Security eine eigene, komplexe Disziplin darstellt, fahrlässig ist.
Unsere KRITIS-Experten beraten Sie zu allen Fragen rund um das IT-Sicherheitsgesetz 2.0
Was sollten Unternehmen generell beachten, um den Anforderungen an IT-Sicherheit nachzukommen und Cyberrisiken in 2023 zu senken?
Viele Unternehmen haben sich auf die unsichere Lage eingestellt und umfangreiche Möglichkeiten zur Detektion von Cyberangriffen geschaffen. Dies ist sicherlich ein Schritt in die richtige Richtung. Jedoch braucht es für die Einordnung von IT-Sicherheitsvorfällen sowie die richtige Reaktion darauf Erfahrung und Expertise.
Derzeit häufen sich in Unternehmen die „False positive“-Angriffsmeldungen, weil durch die neuen Tools schlichtweg mehr Cyberattacken gesehen werden. Das hat auch damit zu tun, dass PCs verstärkt automatisiert gehackt werden. Ein ungeschützter Rechner gerät bereits nach zwei Minuten über Automatismen, die das Internet kontinuierlich scannen, in feindliche Hände. Damit zusammenhängende Angriffe zählen aber eher zum Grundrauschen im Internet und sind weniger kritisch zu bewerten als Attacken von professionellen Hackern. Letztere tauchen kaum in den Statistiken der Unternehmen auf: Sie dringen schnell und gezielt in Systeme vor, um Daten zu stehlen, und nutzen dafür legale, etwa durch Phishing Mails ermittelte, Anmeldedaten von Mitarbeitenden. Da der Zugriff und Datenklau unbemerkt erfolgen, richten diese Angreifenden meist den größten Schaden an.
Um Cyberattacken richtig zu deuten und angemessen darauf zu reagieren, empfiehlt sich die Zusammenarbeit mit einem IT-Sicherheitspartner wie der DGC . Mit unserem Cyber Defense Operation Center (CDOC) und dem IT-Security Tool cyberscan.io® gelingt eine effektive Angriffsüberwachung und -abwehr. Zudem unterstützen wir mit Penetrationstests sowie präventiven Security Awareness Trainings bei der Etablierung angemessener IT-Sicherheitsstandards.
Welche konkreten Maßnahmen sind für die Erhöhung der Cyber-Resilienz wichtig?
Unternehmen sollten ihre IT-Infrastruktur stets auf dem aktuellen Technikstand halten, über neue Angriffswege und Bedrohungsszenarien informiert sein sowie auf einen etablierten Cyber Security-Dienstleister setzen, der interne Sicherheitsverantwortliche mit zusätzlichem Know-how zu unterstützt.
Generell gilt es Bestehendes zu hinterfragen: Beispielsweise sollten von der Maschinen – und Heizungssteuerung bis zur Brandmelder-Anlage sämtliche Legacy Devices im Systemumfeld auf Sicherheitslücken überprüft werden. Auch empfiehlt es sich, bei dem Virenscanner auf neueste Technologiestandards zu setzen.
Im Hinblick auf Ransomware ist ein Backup-Konzept essenziell: Systemkopien sollten physisch getrennt gespeichert werden, etwa auf externen Festplatten in Schließfächern. So kommen Unternehmen bei einer Datenverschlüsselung nicht in Bedrängnis, hohe Lösegeldsummen zahlen zu müssen, sondern können ihre Daten selbst wiederherstellen. Die Gefahr der öffentlichen Bloßstellung sowie der Veröffentlichung sensibler Daten im Darknet, bleibt jedoch weiterhin bestehen.
Angesichts der Unwägbarkeiten sind Verantwortliche gut beraten, einen IT-Rundumschutz zu etablieren: Sämtliche Maßnahmen von A wie Awareness bis Z wie Zero Trust-Zugriff sollten in einem durchdachten Gesamtkonzept zusammenlaufen. Ein solches IT-Security-Konzept ist so individuell wie ein Unternehmen und seine Risiken: Das Ziel sollte der angemessene Umgang mit Gefahren sein, um stets handlungsfähig und gut geschützt zu sein. Um Unternehmen spezifisch und vollumfänglich zu unterstützen, hat die DGC ein modulares Partnerschaftsmodell entwickelt: Lösungen und Leistungen lassen sich nach Bedarf und Anforderung zu einem maßgeschneiderten Cyber Security Paket zusammenstellen – das Ergebnis ist 360-Grad-Sicherheit.
Was droht bei unzureichender Absicherung?
Strategisch mit Risiken umzugehen, hat für die Führungsetage und den künftigen Unternehmenserfolg höchste Dringlichkeit. Wird ein Unternehmen Opfer einer Cyberattacke, können die Entscheider bei unzureichender Absicherung mit ihrem Privatvermögen zur Verantwortung gezogen werden . Auch ist Insolvenz nach einer Cyberattacke keine Seltenheit mehr – hohe finanzielle Belastungen bei der Systemwiederherstellung, Lieferengpässe und Entschädigungsforderungen von Kunden sowie der enorme Imageverlust treiben Unternehmen in den Ruin.
Die gute Nachricht ist: Mit passenden Maßnahmen sowie Prävention lassen sich Angriffe abwehren oder zumindest der Schaden eingrenzen.
Vielen Dank für das Interview.
