Angriff als Verteidigung

Strategien für den Kampf gegen Cybercrime

| Autor / Redakteur: Martin Stemplinger* / Peter Schmitz

Das Risiko, als Unternehmen Angriff zum Ziel einer Cyberattacke zu werden, hat sich mit dem steigenden Maß der digitalen Transformation erhöht.
Das Risiko, als Unternehmen Angriff zum Ziel einer Cyberattacke zu werden, hat sich mit dem steigenden Maß der digitalen Transformation erhöht. (Bild: geralt - Pixabay / CC0)

Unternehmen weltweit müssen sich gegen eine neue Dimension der Internetkriminalität wappnen: Der moderne Cyberkriminelle ist ein effizienter Unternehmer mit arbeitsteiligem Geschäftsmodell, der von einem hochentwickelten Schwarzmarkt unterstützt wird.

Man muss es leider sagen: Cybercrime ist ein boomendes Geschäft. Allein die Gesamtsumme der polizeilich erfassten Schäden für Fälle, in denen konkrete Anhaltspunkte für eine Tathandlung innerhalb Deutschlands vorliegen, ist nach Angaben des Bundeskriminalamts im vergangenen Jahr um 2,8 Prozent auf 40,5 Millionen Euro gestiegen. Und laut der aktuellen Studie „Taking the Offensive – Working together to disrupt digital crime“ von BT und KPMG beläuft sich der durch Cybercrime angerichtete Schaden weltweit jährlich auf rund 400 Milliarden Dollar.

Das Risiko, als Unternehmen Angriff zum Ziel einer Cyberattacke zu werden, hat sich mit dem steigenden Maß der digitalen Transformation erhöht. Mit der fortschreitenden Vernetzung der Geschäftswelt hat sich die Angriffsfläche vergrößert, weshalb sich nicht nur besonders exponierte Unternehmen wie Finanzdienstleister, sondern Firmen aller Branchen vor Hackerangriffen schützen müssen.

Kommerzialisierung von digitaler Erpressung und Geiselnahme

Die Angreifer, in kriminellen Gruppen organisiert, gehen dabei mittlerweile mit höchster Professionalität vor. Die industrielle Arbeitsteilung ist bei den Cyber-Dieben angekommen. Während hochspezialisierte Experten nach neuen Angriffsstrategien, Methoden und Schwachstellen – zum Beispiel Zero-Day-Exploits, also Sicherheitslücken, die noch unbekannt sind – suchen, programmieren andere spezielle Tools, um diese im großen Stil auszunutzen.

Unterstützt werden die Angreifer durch einen hochentwickelten Schwarzmarkt, auf dem sich jeder erdenkliche Hacker-Service kaufen lässt. So kostet beispielsweise eine Distributed Denial of Service (DDoS)-Attacke auf dem digitalen Schwarzmarkt durchschnittlich etwa fünf Dollar pro Stunde, während die Abwehr auf Unternehmensseite schnell mit bis zu 40.000 Dollar pro Stunde zu Buche schlagen kann.

Die professionelle Dimension, die das Geschäft mit den sensiblen Daten angenommen hat, verdeutlicht ein Blick auf den jüngsten Malware-Trend der Szene. Ransomware wie beispielsweise Locky, die vor allem zu Jahresbeginn auch in Deutschland die Runde gemacht hat, ist ein derzeit besonders lukrativer Geschäftszweig der Cyberkriminalität. Nicht zuletzt deshalb, weil die betroffenen Unternehmen immer häufiger nach Prüfung all ihrer Optionen das Bezahlen des digitalen „Lösegeldes“ für die schnellste und effizienteste Maßnahme halten, wieder an ihre Daten zu kommen. Hier zeigt sich deutlich: Cyberkriminelle gehen in der Regel den Weg des geringsten Widerstands. Welche Methode in der Hackerszene gerade besonders populär ist, hängt maßgeblich davon ab, wie schnell sich mit ihr Geld verdienen lässt.

Ironischerweise legen die Kriminellen dabei großen Wert auf Servicegedanken und „Kunden“-Zufriedenheit; sie bieten teilweise Support-FAQs, Webseiten und Kontaktmöglichkeiten in verschiedenen Sprachen an und je nachdem, in welchem Land die Angreifer ansässig sind, findet eine Abwicklung auch zu den jeweils landesüblichen Geschäftszeiten statt.

Schutz vor den Daten-Piraten

Auch vor handfesteren Methoden schrecken die Cyberkriminellen nicht zurück, wie in der Studie deutlich wird. So sind sich 94 Prozent aller IT-Entscheidungsträger der Tatsache bewusst, dass kriminelle Organisationen versuchen, ihre Mitarbeiter zu erpressen oder zu bestechen, um Zugriff auf sensible Daten zu erhalten. Fast die Hälfte (47 Prozent) von ihnen räumt dabei ein, dass sie nicht über eine Strategie verfügen, um dies zu verhindern.

Was bedeutet das für Unternehmen und für die IT-Verantwortlichen? Es muss ein Umdenken stattfinden. Abstrakt über digitale Risiken zu sprechen, liefert keine Erkenntnisse. Die Verantwortlichen müssen sich Gedanken über wahrscheinliche Angriffsszenarien gegen Unternehmen machen und dabei abwägen, inwiefern Cybersicherheit, Betrugsbekämpfung und Notfallplanung ineinandergreifen können, um sich auf diese Bedrohungen einzustellen und mit ihnen fertigzuwerden. Cybersicherheit darf nicht länger nur als reaktive Verteidigung verstanden werden, sondern sollte eine aktive, kontinuierliche Anstrengung der Unternehmen im Zeichen der eigenen Sicherheit sein. Unternehmen müssen in die Offensive gehen.

Neben einem umfassenden Grundschutz erfordert jedes Schutzkonzept eine Analyse, welches die wirklich schützenswerten Daten, die ‚Kronjuwelen‘ sind, wo diese liegen und wie man diese effektiv vor unautorisiertem Zugriff schützt. Nur auf dieser Grundlage lassen sich effiziente Maßnahmen für den Schutz der jeweils relevanten Daten ableiten. Diese Maßnahmen müssen regelmäßig auf ihre Wirksamkeit gegen aktuelle Bedrohungen überprüft werden.

Eine Möglichkeit für Unternehmen, ein Bewusstsein für ihr Sicherheitsniveau zu entwickeln, bietet dabei der Einsatz von Ethical Hackern (auch „Penetration Tester“ genannt), die im Auftrag des Kunden Hackerangriffe simulieren, um Sicherheitslücken aufzudecken. Ethical Hacker von BT sind beispielsweise bereits seit mehr als 20 Jahren u.a. für die Finanzbranche im Einsatz und haben in dieser Zeit zahlreiche Schwachstellen aufgedeckt – und geholfen, sie zu schließen.

Innerhalb der Unternehmen wird künftig die Rolle des so genannten Chief Digital Risk Officers (CDRO), der digitale Fachkompetenz und hochrangige Führungsqualitäten in sich vereint, immer wichtiger werden. CDROs nehmen strategisch wichtige Rollen in der Prävention und im Notfallmanagement von Hackerangriffen ein und können dazu beitragen, die Reaktionszeiten im Ernstfall zu verkürzen und den Schaden zu begrenzen. Anders als beim traditionellen Chief Information Security Officer (CISO) werden auch rechtliche Fragen, der Schutz der Privatsphäre, Compliance und Risiken, die mit digitalem Marketing, Vertrieb oder Unternehmensabläufen zusammenhängen, in den Verantwortungsbereich des CDROs fallen.

Verbessert werden muss zudem nicht nur die Zusammenarbeit mit den Strafverfolgungsbehörden und den Partnern auf dem Markt für Internetsicherheit, sondern auch die Abstimmung der Unternehmen untereinander. Auch wenn das momentan noch etwas unpopulär ist – wer gibt schon gerne zu, dass er Ziel einer Attacke wurde –, muss die Bekämpfung der Cyberkriminalität im gemeinsamen Interesse von Unternehmen aller Branchen liegen. Nur indem sie Informationen über Schwachstellen austauschen, digitale Innovation vereinfachen, gemeinsame „Best Practices“ erarbeiten und so effektive Sicherheitsstrategien entwickeln und etablieren, kann den Kriminellen das Leben so schwer gemacht werden, das sich ihr Geschäft nicht mehr lohnt.

Dazu beitragen müssen schließlich natürlich auch alle Mitarbeiter. Viele Angriffsstrategien setzen nach wie vor auf die Unachtsamkeit und Nachlässigkeit der Mitarbeiter im Unternehmen. Wer unbedarft einen Anhang aus unbekannter Quelle öffnet, kann sich unbeabsichtigt zum Helfer der Angreifer machen. Die Sensibilisierung und kontinuierliche Schulung der Mitarbeiter im Hinblick auf Sicherheit und relevante Gefahren gehört daher unabdingbar zu jedem Security-Konzept.

* Martin Stemplinger arbeitet als Senior Security Consultant beim Netzwerk- und IT-Dienstleister BT. Zuvor war der promovierte Mathematiker als IT-Sicherheitsexperte bei einem Bankhaus tätig.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44352801 / Markt & Trends)