Cybercrime: Wie sich Unternehmen vor Angreifern schützen können

In der Coronakrise haben die Internetkriminalität und die Zahl der Online-Betrugsfälle dramatisch zugenommen. Cyberkriminalität ist ein lukratives Geschäft. Der Schaden geht mitunter in die Millionen, die Aufklärung ist schwierig.

Cybercrime: Wie sich Unternehmen vor Angreifern schützen können

Hundertprozentige Sicherheit gibt es in der Onlinewelt nicht, durch Vorsicht und Aufmerksamkeit lassen sich aber viele Risiken vermeiden.

Warnrufe gab es im vergangenen Jahr zuhauf, doch nun zeigt sich, dass diese zum einen berechtigt waren und zum anderen wohl oft ungehört verhallt sind. Die Rede ist von Warnungen vor Cybercrime-Attacken und betrügerischen Online-Angriffen auf Unternehmen. Die nun vorgelegte Kriminalstatistik für das Jahr 2020 belegt, dass die Internetkriminalität in der Corona-Pandemie massiv zugenommen hat.

Konkret ist die Zahl der angezeigten Fälle um 28 Prozent auf knapp 14.000 (13.942) gestiegen, eine noch deutlichere Zunahme gab es bei Cybercrime-Angriffen im engeren Sinn. Diese sind um 62 Prozent auf knapp 7.500 (7.478) Fälle gestiegen.

Im Rahmen einer Veranstaltung des Information Security Netzwerks im IT-Cluster der oö. Standortagentur Business Upper Austria legten die Experten von PwC und des österreichischen Bundesheeres erschreckende Zahlen und Fakten auf den Tisch.

Cyberkriminalität ist sehr lukrativ, die Einnahmen übersteigen mittlerweile den des Drogenhandels um das Dreifache. Während letzterer pro Jahr etwa 400 bis 500 Milliarden US-Dollar umsetzt, lassen sich durch Cyberkriminalität 1.500 Milliarden US-Dollar ergaunern. Cybercrime ist zu einem echten Businessmodell geworden und somit ein Garant für eine weitere Zunahme der Angriffe. Eine Umfrage von PwC unter 5.000 CEOs weltweit hat ergeben, dass 47 Prozent der Befragten Cyberangriffe als das Top-Risiko sehen. Betrachtet man die Einschätzung der österreichischen CEOs, sehen lediglich 26 Prozent der Befragten darin eine ernsthafte Bedrohung.

Massive Bedrohung

Spektakuläre Fälle wie die Ransomware-Attacke auf den Kranhersteller Palfinger zu Beginn des Jahres sind dabei für Unternehmen besonders kritisch, glücklicherweise aber zumindest noch in der Unterzahl - wenngleich sich das Cybercrime-Geschehen zusehends in Richtung dieser für die Gauner besonders lukrativen Aktivitäten verschiebt.

Oberst Walter Unger, Leiter der Abteilung für Informations- und Kommunikationstechnik-Sicherheit und Cyber-Verteidigung im Abwehramt des österreichischen Bundesheeres: „Die Infektionslage ist erschreckend hoch. Niemand ist sicher, die Bedrohung nimmt weiter zu. Wir sind beim Absichern zu langsam. Die Angreifer haben keinen Genierer und greifen selbst in Pandemiezeiten Gesundheitseinrichtungen an."

Für Unger wiegen sich die Österreicher in falscher Sicherheit: „Österreich ist ein reiches Land, ein Hochtechnologieland. Wir sind innovativ, bringen neue Produkte auf den Markt und leben zu großen Teilen vom Export. Es gibt also viel zu holen und wir sind genauso gefährdet wie der Rest der Welt. Sicherheit gibt es im Cyberraum nicht. Jeder ist übers Netz erreichbar und kann attackiert werden. Man kann sich nicht verstecken.“ Marcell Nedelko, Cybersecurity-Experte bei PwC, bestätigt: „Es handelt sich um ein weltweites Problem. Wir müssen uns gemeinsam den Herausforderungen stellen.“

Schwierige Aufklärung

Mit der Aufklärung verhält es sich schwierig, denn die Angreifer können sich bereits mit einfachen Mitteln der Verfolgung entziehen. Da sich außerdem kein „Einbrecher“ physisch vor Ort Zugriff verschaffen muss, ist die Hemmschwelle nicht besonders groß. Die schlechten Aufklärungsquoten gepaart mit hohen Summen, die erpresst werden, lassen die Hemmschwelle weiter sinken. Oberst Unger ist überzeugt: „Wir müssen unsere digitale Heimat schützen, wie wir es bei Grund und Boden tun. Im virtuellen Raum ist das gar nicht so einfach. Man sollte kein Geld für nicht schützenswerte Daten ausgeben und sich auf das konzentrieren, was wichtig ist. Der Staat versucht natürlich, die digitale Heimat zu schützen, aber man muss sich auch selbst ermächtigen. Wenn man attackiert wird, ist der erste Schritt, das Bundeskriminalamt zu verständigen. Vor Hackback, also selbst die Angreifer anzugreifen, sollte man sich hüten, denn das ist strafbar.“

Die Mehrheit der Angriffe geht gezielt gegen Online-Händler, und auch hier hatten die Kriminellen aufgrund vieler im Vorjahr gestarteter neuer und mangelhaft abgesicherter Shops oft ein leichtes Spiel. Vor allem KMU-Händler zählen zu den beliebtesten Angriffszielen. Jedoch ist kein Unternehmen und auch keine andere Einrichtung oder Organisation vor einem Hack gefeit.

"Cybercrime zählt mittlerweile zu den zentralen Bedrohungen für den österreichischen Handel. Jedes zweite heimische Handelsunternehmen war bereits Opfer von Betrug im Netz", sagt Rainer Will, Geschäftsführer des Handelsverbands. Er mahnt die Händler im eigenen Interesse zur Vorsicht: "Die Schäden gehen teilweise in die Millionen." Da auch für viele Online-Shopper gilt Sicherheit mittlerweile als wichtigstes Kaufkriterium gilt sei es auch im Normalfall im Eigeninteresse der Unternehmer, ihre Shops und Transaktionen entsprechend zu schützen.

Schutz vor Angreifern

Wie die Angreifer vorgehen, skizziert PwC-Cybersecurity-Experte Nedelko: „Im ersten Schritt wird das Ziel identifiziert. Der Angreifer sammelt Informationen über das potenzielle Opfer und sucht den wahrscheinlichsten Eintrittsvektor. Das kann zum Beispiel eine mit Schadsoftware infizierte E-Mail sein. Sobald die erste Hürde genommen wurde, versucht der Angreifer, an die Berechtigungen zu kommen und in alle Bereiche des Netzwerks einzudringen. Erst wenn er ein klares Bild von der Infrastruktur hat, bringt er beispielsweise eine Verschlüsselung zum Einsatz und schickt eine Erpressungsnachricht. Das passiert in den meisten Fällen über E-Mails. Das ‚Lösegeld‘ wird sehr häufig in Form von Zahlungen in Kryptowährungen wie Bitcoin verlangt.“

Kryptoexperte Florian Wimmer, Gründer und Geschäftsführer von blockpit.io, erklärte, man sollte zunächst versuchen, die Forderung nach unten zu verhandeln. Warum etwa auf Bitcoin gesetzt wird, erklärte Wimmer so: „Die Abwicklung ist sicher und kann im Gegensatz zu den üblichen Bankgeschäften nicht mehr rückgängig gemacht werden. Der Angreifer hat die volle Kontrolle. Allerdings ist es ein Mythos, dass die Transaktionen anonym ablaufen, denn über die Blockchain lässt sich lückenlos rückverfolgen, welche Adresse Bitcoin an eine andere schickt. Natürlich gilt es dann aufzuklären, wer hinter den Adressen steckt. Das gelingt nicht immer. Spätestens beim ‚Auscashen‘, also der Umwandlung von Bitcoin in Fiatgeld, legt man jedoch eine Spur, die die Behörden verfolgen können.“

Zahlen oder nicht?

Lösegeldzahlungen sollten immer der letztmögliche Schritt sein und erst dann passieren, wenn es keine Alternativen gibt. Niemand kann garantieren, dass sich der Erpresser an die Abmachung hält und die Daten entschlüsselt oder ob nicht die nächsten Forderungen ins Haus flattern. PwC-Experte Nedelko: „Wenn man seinem Business nicht mehr nachkommen kann, führt das oft zur Entscheidung, dass man doch zahlt. Das Problem dabei ist zusätzlich, dass man auf Target Lists landen kann, auf die keiner will, denn damit wird man für weitere Angreifer zur Zielscheibe.“

Nedelko rät daher zu einer Einstiegszahlung, denn der Angreifer muss beweisen, dass er die Daten auch wieder entschlüsseln kann. Angreifer haben grundsätzlich auch einen zeitlichen Vorteil. Die Hacker sind meist monatelang unbemerkt in der Infrastruktur ihrer Opfer, bis sie zuschlagen und zielgerichtet am Tag X Schaden anrichten.

Viele Unternehmen wiegen sich in Sicherheit, da sie eine Cyberversicherung abgeschlossen haben. Dies ist jedoch nur bedingt hilfreich. Wenn der Schutz nicht ausreichend ist, zahlt auch die Versicherung nicht. Als Unternehmen muss man sich überlegen: Was sind meine Kronjuwelen? Für diese gilt es, adäquate Schutzmaßnahmen zu treffen. „Erst wenn alle Hausaufgaben gemacht sind, macht auch eine Cyberversicherung Sinn, um das Restrisiko abzudecken. Hilfreich ist es auch, das Szenario eines Angriffs zu üben, intern oder mit einem externen Partner. Es müssen alle Maßnahmen und Verantwortlichkeiten festgelegt werden“, empfiehlt Nedelko.

Versicherung als vermeintliche Sicherheit

Viele Unternehmen wiegen sich in Sicherheit, da sie eine Cyberversicherung abgeschlossen haben. Dies ist jedoch nur bedingt hilfreich. Wenn der Schutz nicht ausreichend ist, zahlt auch die Versicherung nicht. Als Unternehmen muss man sich überlegen: Was sind meine Kronjuwelen? Für diese gilt es, adäquate Schutzmaßnahmen zu treffen. „Erst wenn alle Hausaufgaben gemacht sind, macht auch eine Cyberversicherung Sinn, um das Restrisiko abzudecken. Hilfreich ist es auch, das Szenario eines Angriffs zu üben, intern oder mit einem externen Partner. Es müssen alle Maßnahmen und Verantwortlichkeiten festgelegt werden“, empfiehlt Nedelko.


Ransomware-Attacken vorbeugen: Tipps für Unternehmen

Ransomware-Attacken sind besonders heimtückisch, da dabei IT-Systeme teilweise oder komplett verschlüsselt werden und Angreifer für den Entschlüsselungs-Code hohe Lösegeldforderungen stellen.

Security-Spezialist Josef Pichlmayr, CEO der Ikarus Software GmbH, gibt Ratschläge, was Unternehmen und Organisationen tun können, um einen Totalausfall der Systeme und hohen Lösegeldforderungen nach Ransomware-Attacken vorbeugen zu können.

I. Risikoabschätzung

Wer denkt, selbst vor Angriffen gefeit zu sein, der lebt besonders gefährlich. „Es ist die Frage, welches Risiko man akzeptiert“, sagt Pichlmayr. Jedes Unternehmen, jeder verantwortliche Manager sollte sich daher folgende vier Fragen stellen:

  1. Welche Auswirkungen hat eine solche Attacke auf das eigene Business-Modell?
  2. Wie lange man überleben kann, wenn plötzlich nichts mehr geht?
  3. Was kostet es, wenn man überhaupt keinen Dienst mehr anbieten kann?
  4. Gibt es Backups, mit denen auf neuen, garantiert nicht infizierten Geräten die Systeme neu aufgesetzt und die Daten wieder eingespielt werden können?

II. Sicherheitsmaßnahmen

Doch zuvor gilt es für Unternehmen auf jeden Fall entsprechende Sicherheitsvorkehrungen zu treffen, um im Krisenfall nicht ohne Plan zu sein:

  1. Netzwerk-Architektur überdenken und entsprechend ausstatten (Back-ups, entsprechende Policy, vom Firmennetz getrennte Backups, wichtige interne Dokumente nicht ins interne Netz stellen, Evaluierung der System durch externe Sicherheitsspezialisten).
  2. Für den Krisenfall vorbereitet sein: Krisenteam bilden, regelmäßige Evaluierung der Risiken und Bedrohungen; Kommunikationsstruktur festlegen: wer soll im Fall der Attacke angerufen, informiert oder zu Hilfe geholt werden?
  3. Brandabschnitte errichten, über die sich ein Trojaner im Fall einer Attacke nicht weiter ausbreiten kann.
  4. Kommunikation im Krisenfall: Die Flucht nach vorne antreten, die Kunden informieren und soweit das möglich ist und um Geduld bitten.
  5. Als Opfer einer Ransomware-Attacke: schlicht abwägen, ob man es wirtschaftlich verkraften kann, nicht zu zahlen (Ruhe bewahren, keine voreiligen Schritte, Beratung mit Experten, Verhandlungen, Dokumentation des Verfalls u.a. auch aus Versicherungsgründen, Anzeige bei der Polizei)
  6. Ein Szenario für den Neustart planen: Wie kann und soll das Durchstarten nach der Attacke erfolgen?

EU-Rechnungshof kritisiert langsamen 5G-Ausbau

Österreich und eine Reihe weiterer EU-Staaten sind beim Ausbau der …

Benjamin Grether, Steering Lab Horváth Managementberatung

Künstliche Intelligenz: Warum wir faire Algorithmen brauchen

Immer mehr und immer tiefgreifendere Entscheidungen werden heute von …

Digitalisierungs-Initiative "Mach heute Morgen möglich"

Unter der Schirmherrschaft von Microsoft ist die Digitalinitiative "Mach …

Revolution im Labor

Der Digitalisierungs-Pionier IMMOunited hat sich österreichweit auf …