Cybersecurity IT-Sicherheit: Jeder Mitarbeiter zählt

Mehr Vernetzung birgt ein potenziell höheres Risiko, Opfer einer Cyberattacke zu werden. Um das zu vermeiden, kann jeder einzelne Mitarbeiter helfen, die industriellen Netzwerke seines Unternehmens zu schützen – das ist vielen aber nicht bewusst.

„Bitte öffnen Sie keine Anhänge von Ihnen unbekannten Absendern und klicken Sie nicht unüberlegt auf Links in E-Mails!“ Diese dringliche Aufforderung der IT-Abteilung hat wohl jeder Arbeitnehmer schon gehört, der täglich am Computer arbeitet. Dabei kann die Warnung nicht deutlich genug ausfallen, denn die Qualität der Schadsoftware hat sich in den vergangenen Jahren verbessert.

Soll heißen: Die Programme können inzwischen Schäden anrichten, die je nach betroffenem Unternehmen in die Millionen Euro gehen können. So geschehen im März 2019 bei dem norwegischen Aluminiumproduzenten Norsk Hydro, der gleichzeitig einer der drei größten Stromerzeuger Norwegens ist. Mittels der Ransomware „LockerGoga“ gelang es Hackern, Administrator-Passworte zu ersetzen, aktive Nutzer abzumelden und Netzwerkgeräte zu deaktivieren. Die Folge: In der ersten Woche nach dem Angriff stand die Produktion in den am stärksten betroffenen Bereichen nahezu still. Der laut Unternehmen entstandene Schaden: zwischen 35 und 43 Millionen Euro – allein in der ersten Woche!

Angriffe nehmen zu

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt dieses Beispiel in seinem „Lagebericht zur IT-Sicherheit in Deutschland 2019“ auf und berichtet, dass noch vier Wochen nach der Attacke einzelne Bereiche des Unternehmens manuell betrieben wurden. Der Auslöser für den Angriff: Lösegeldforderungen. Norsk Hydro ging auf diese nicht ein und stellte seine Systeme mittels vorhandener Backups wieder her.

Das Beispiel ist kein Einzelfall. Im Jahr 2019 erwischte es noch drei weitere Unternehmen mit der gleichen Ransomware, darunter das französische Beratungsunternehmen Altran. Aktuelles Beispiel einer Lösegeldforderung ist das Automatisierungsunternehmen Pilz, dessen Systeme Mitte Oktober vergangenen Jahres betroffen waren. Auch hier war das Ziel, an Lösegeld zu kommen.

Derartige Angriffe auf Industrieunternehmen nehmen stark zu. Das liegt auch an der Digitalisierung: Waren im Jahr 1990 rund 25 Prozent eines Produktionswerkes automatisiert, sind es heute 75 Prozent. Die Automobilhersteller rechnen damit, dass bis zum Jahr 2022 24 Prozent ihrer Werke sogenannte smarte Fabriken sein werden, 49 Prozent der Hersteller haben dafür bereits über 250 Millionen Dollar investiert.

Die Angriffsmethoden

Das geht aus der Studie „Threats to the Automotive Industry in Germany“ hervor, die das finnische Unternehmen F-Secure, Spezialist für Informationssicherheit, aufgelegt hat. Sie zeigt ebenfalls die am häufigsten verwendeten Angriffsmethoden: Pishing, Water-Holing und Ransomware.

• Pishing beschreibt den Versuch, sich persönliche Daten mittels gefälschter E-Mails, Webseiten oder Kurznachrichten zu beschaffen.

• Water-Holing ist ein Ansatz, bei dem das Nutzungsverhalten der Zielgruppe über einen bestimmten Zeitpunkt beobachtet oder vermutet wird, um dann gezielt Webseiten mit Malware zu infizieren.

• Ransomware beschreibt Schadsoftware, mittels derer der Datenzugriff auf fremden Computern eingeschränkt werden kann; gebräuchliche Begriffe sind zum Beispiel Verschlüsselungstrojaner oder Erpressungssoftware.

Laut dem IT-Sicherheitsunternehmen AV-Test, das mit dem BSI zusammenarbeitet, gab es im vergangenen Jahr 114 Millionen neue Schadprogramm-Varianten. Rund 65 Millionen entfallen dabei auf das Betriebssystem Windows, etwa 3,4 Millionen auf Android, circa 0,09 Millionen auf MacOS. Über 39 Millionen listet das Unternehmen unter „Sonstiges“, das sind zum Beispiel betriebssystemunabhängige Skripte oder Java-Malware. Bis zu 110.000 Botinfektionen täglich ließen sich in deutschen Systemen im vergangenen Jahr feststellen. „Bot“ beschreibt dabei ein Programm, das ferngesteuert auf fremden Computern arbeitet – zum Beispiel um mehrere Computer für bestimmte Aktionen zusammenzuschließen.

Cybersecurity

F-Secure: „Hacker haben ein Budget und Vorgesetzte“

Einfallstor E-Mail

Wie aber fand die Ransomware den Weg in das Firmennetzwerk? Das wahrscheinlichste Einfallstor sind E-Mail-Anhänge. Laut BSI wurden alleine in deutschen Regierungsnetzen im vergangenen Jahr rund 770.000 E-Mails mit schadhaften Anhängen abgefangen. Bemerkenswerte 11,5 Millionen Meldungen zu Schadprogramm-Infektionen übermittelte das BSI nach eigenen Angaben 2019 an deutsche Netzbetreiber.

„Phishing per E-Mail ist immer noch der beliebteste Angriffsvektor, da es relativ günstig ist, eine hohe Erfolgschance hat und die Angreifer sich hinter ihren Rechnern und temporären Internetzugängen verstecken können, sei es physisch oder beispielsweise durch Tor-Knoten“, erklärt Tom Van de Wiele, leitender Sicherheitsberater bei F-Secure.

Das sogenannte Tor-Netzwerk dient dazu, Verbindungsdaten zu anonymisieren. „Die Angreifer sitzen vorzugsweise in einem Land, das sogenanntes ‚Bullet Proof Hosting‘ anbietet oder zumindest seine Beschuldigten nicht ausliefert“, so Van de Wiele weiter. „Je nachdem, was die Angreifer im Sinn haben und wie hoch ihr Budget ist, werden sie eine Branche der anderen vorziehen. Geldinstitute erscheinen auf dem ersten Blick lukrativ, da hier Möglichkeiten bestehen, sich direkt monetär zu bereichern. Aber dieser Sektor ist auch eher auf Angriffe vorbereitet und wird über eine ausgefeilte Verteidigung verfügen. Wir beobachten dennoch derartige Angriffe, sie sind aber sehr teuer, verglichen etwa mit dem öffentlichen Sektor: Dort sind in der Regel die Budgets niedriger – und daher oft die Verteidigungsmechanismen veralteter oder begrenzter. Die Angreifer hätten zwar einfacheres Spiel. Die Daten oder Zugänge sind dann aber entweder schwieriger oder weniger lukrativ zu verkaufen – oder uninteressant für Käufer oder Händler.“

Häufig ist bis heute vielen Mitarbeitern die Gefahr nicht bewusst, die von E-Mail-Anhängen ausgehen kann. Entsprechend nachlässig gehen sie mit dem Thema um. Zitat aus dem E-Mailverkehr mit einem Teamleiter Clientmanagement und Support der IT-Services eines Unternehmens: „Als wir das Intranet noch nicht hatten, haben wir bei so etwas Rundmails geschickt. Das wird nicht gelesen … . Davor hatten wir es sogar so eingerichtet, dass sich ein Textfenster mit Infos nach der Windows-Anmeldung öffnet. Das wird nicht gelesen … . Selbst Mitarbeiter, deren Computer schon einmal infiziert waren, klicken wieder auf unbekannte Anhänge.“

Mitarbeiter sensibilisieren

Was also tun? „Die Herausforderung, vor der die meisten Unternehmen stehen, besteht darin, ihre Mitarbeiter zu unterstützen. Die meisten Mitarbeiter sind Fachexperten auf ihrem Gebiet, haben aber mit Cyber-Sicherheit fast keine Berührungspunkte“, sagt Van de Wiele.

„Es ist wichtig, den Mitarbeitern zu zeigen, welche Auswirkungen ihre Handlungen und ihr Verhalten haben, dass jeder eine gewisse Verantwortung dafür hat, das Risiko für alle so gering wie möglich zu halten. Gleichzeitig sollten Führungskräfte aber die Grenzen des Menschen unter Druck kennen und verstehen. Sie wissen, dass allein die Technologie, allein das Sicherheitsbewusstsein und die Ausbildung oder nur die Prozesse nicht den Tag retten werden. Es muss eine gesunde Kombination sein, die für das Unternehmen funktioniert, aber gleichzeitig die Unternehmenskultur nicht aushöhlt oder mit übertriebenen Belohnungs- oder Bedrohungsmodellen untergräbt. Hier muss ein empfindliches Gleichgewicht aufrechterhalten werden – und das in einer Welt, in der technische Angriffe verglichen mit den Verteidigungsmechanismen oder -prozessen der Unternehmen besser und immer schneller ablaufen.“

Vernetzung

Blackberry gründet Entwicklungsteam für Cybersicherheit

Mehr Informationen erwünscht

Immerhin: Das Interesse ist grundsätzlich vorhanden. Im Vorfeld einer gemeinsamen Informationskampagne vom Bundesministerium des Innern, für Bau und Heimat (BMI) und des BSI befragte das BSI in einer Online-Umfrage rund 20.000 Bürger. Das Ergebnis: Über 70 Prozent wünschen sich mehr Informationen über die Risiken im Netz, außerdem mehr Unterstützung beim Thema digitale Sicherheit.

Am meisten interessierte die Umfrageteilnehmer „Online- und Mobile Banking“, gefolgt vom „Schutz von Geräten wie Notebook und Smartphone“. Bezeichnend: Die „Kommunikation per E-Mail“ landete auf dem letzten Platz.

Ab Herbst 2020 wollen BMI und BSI „eine gemeinsame bundesweite Informations- und Sensibilisierungskampagne“ starten, um den Wünschen nach Information und Unterstützung nachzukommen. Dafür ergänzen die beiden Ministerien die Online-Umfrage in einem nächsten Schritt um eine offene Umfrage im Netz. Das Ziel: weitere Themenwünsche abfragen, die in der ersten Umfrage nicht identifiziert wurden.

Eine gute Gelegenheit, seine Mitarbeiter zu ermutigen, sich an der Umfrage zu beteiligen – und künftig nicht mehr ausschließlich darauf zu bauen, „dass es die IT schon richten wird“.

(ID:46340640)