Leichtsinn kam vor dem Fall

Das Bundeslagebild Cybercrime 2020 des Bundeskriminalamts (BKA) weist einen deutlichen Anstieg der registrierten Delikte um 7,9 Prozent gegenüber dem Vorjahr aus. Der Bedarf für ein umfassendes Sicherheitskonzept im Unternehmen steigt. Auf der einen Seite wird er von der fortschreitenden Digitalisierung getrieben. Auch kleine Unternehmen interagieren inzwischen mit ihren Kundinnen und Kunden routiniert über digitale Reservierungs-, Bestell- und Zahlungssysteme und nutzen verschiedene Software-as-a-Service-Lösungen. Elektronische Schnittstellen zu Lieferanten und Kunden führen zu einer effizienten Wertschöpfungskette, erhöhen aber auch die Menge der Angriffspunkte. Auf der anderen Seite haben sich auch seitens der Cyberkriminalität hochprofessionelle und arbeitsteilige Strukturen herausgebildet, die auf das Ziel der Profitmaximierung ausgerichtet sind. Ein Opfer ist dann interessant, wenn sich mit einer der vielen kriminellen Techniken Profit aus einem Angriff schlagen lässt. Damit kann praktisch jedes Unternehmen in den Fokus von Cyberkriminellen rücken.

Die Täter sind gut organisiert

Nicht nur das Volumen elektronischer Geschäftstransaktionen steigt rapide an, sondern auch die Erlöse, die Cyberkriminelle erzielen können. Cybercrime hat weltweit ein signifikantes Volumen erreicht und wird in der Dimension inzwischen mit dem Drogenhandel verglichen. Gleich mehrere Aspekte machen Cybercrime gegenüber klassischer Kriminalität attraktiv: Die Einstiegshürden sind relativ niedrig – oft reicht ein PC, der Angreifer kann sich physisch weit entfernt von seinem Opfer befinden und die Wahrscheinlichkeit, entdeckt zu werden, ist eher gering. Cyberkriminelle sind heute meist keine Einzeltäter mehr und nur selten handelt es sich um politisch oder ideologisch motivierte Gruppierungen. Vielmehr handelt es sich um eine arbeitsteilig organisierte Wirtschaft, in der die gesamte Angriffskette auf verschiedene Spezialisten(-teams) aufgeteilt ist. So gibt es Spezialisten für die Identifikation von Angriffszielen sowie die Informationsbeschaffung, Experten für die Erstellung und Optimierung von technischen Angriffswerkzeugen, Ausführende für die konkrete Durchführung der Angriffe und Profis für die Sammlung, Verschleierung und Auszahlung der Gewinne. Die Beteiligten müssen dabei nicht notwendigerweise einer Organisation angehören, sondern organisieren sich über illegale Marktplätze. Die Werkzeuge sind hochprofessionell und umfassen sogenannte Zero Day Exploits zum Einbruch in IT-Systeme ebenso wie Tools zur Imitation von Stimmen für Betrugsanrufe. Wie in anderen Bereichen auch gibt es im Cybercrime Aufgaben, die hohe Gewinne bei eher niedrigem Entdeckungsrisiko versprechen und Hilfstätigkeiten, die bescheidene Erlöse bei hohem Entdeckungsrisiko erwarten lassen. Ziele werden sorgfältig ausgespäht und Angriffe umfassend geplant. Damit soll einerseits die Wahrscheinlichkeit der Enttarnung oder der Verlust teurer Angriffswerkzeuge reduziert werden, andererseits sollen auch die Erlöse maximiert werden, etwa indem sorgfältig recherchiert wird, welches Lösegeld ein Unternehmen tatsächlich bezahlen könnte.

Erpressung

Spätestens seitdem 2017 die Schadsoftware WannaCry die Rechnernetze großer Konzerne weltweit lahmgelegt hat, ist sogenannte Ransomware einer breiten Öffentlichkeit bekannt. Das Prinzip dabei ist Erpressung. Dateien auf den Systemen der Opfer werden mit nur dem Täter bekannten Schlüsseln chiffriert. Die Täter fordern für die Herausgabe des passenden Schlüssels ein Lösegeld (Ransom) vom Opfer, welches in der Regel in Form einer schwer nachverfolgbaren Transaktion mithilfe von Kryptowährung wie Bitcoin zu bezahlen ist. Die zur Verschlüsselung eingesetzten Algorithmen sind dieselben, die auch für legitime Zwecke eingesetzt werden können und daher – soweit die Täter keine Fehler machen – nicht ohne Kenntnis des Schlüssels zu dechiffrieren. Da inzwischen viele betroffene Unternehmen die Empfehlung beherzigen, Back-ups vorzuhalten und im Falle eines Befalls nicht zu bezahlen, wurden die Erpressungskampagnen in letzter Zeit ergänzt. Moderne Ransomware verschlüsselt nicht nur die Daten im Unternehmensnetz, sondern leitet auch eine Kopie der Daten an die Angreifer. Damit wird die mögliche Veröffentlichung sensibler Daten zum zweiten Druckmittel für die Bezahlung des Lösegelds. Aus Sicht des Bundeskriminalamts ist Ransomware aktuell die zentrale Bedrohung für öffentliche Einrichtungen und Wirtschaftsunternehmen. Auch Unternehmen, die selbst keinen Online-Shop betreiben oder andere digitale Services anbieten, können Opfer solcher Angriffe werden. Die Schadsoftware gelangt in der Regel über Phishing-Mails, infizierte USB-Sticks oder über den Besuch infizierter Websites auf den ersten Rechner im Unternehmensnetz, breitet sich von dort weiter aus (Lateral Movement) und führt die Verschlüsselung der Daten aus. Eine andere Form von Angriffen, die sich ebenfalls das Prinzip der Erpressung zunutze machen, sind inzwischen sogenannte Distributed-Denial-of-Service-Angriffe, bei denen Angreifer insbesondere Online-Plattformen durch Überlastung lahmlegen. Eine Einstellung der Angriffe wird gegen Zahlung eines Lösegelds angeboten.

Betrug

Auch viele kleinere Unternehmen wickeln einen signifikanten Teil ihrer Einkäufe und Verkäufe über E-Commerce ab. Im Online-Handel treten Cyberkriminelle sowohl als Nachfrager als auch als Anbieter von Gütern oder Dienstleistungen auf:

• Über sogenannte Fake-Shops bieten Betrüger Waren an, häufig zu besonders günstigen Konditionen. Nach Eingang der Zahlung, die oft über Vorkasse abgewickelt wird, erfolgt dann aber keine Lieferung. Das Geld wird schnell über ein verzweigtes internationales Netzwerk auf andere Konten umgeleitet. Um diese Shops seriös aussehen zu lassen, werden glaubwürdig klingende Domain-Namen gewählt, Optik und Funktion bekannter Shops kopiert und zum Teil sogar im Impressum Angaben realer Unternehmen verwendet, die selbst keinen entsprechenden Shop haben, aber in ähnlichen Branchen tätig sind.
• Betrüger versuchen auch, teure Waren unter Angabe falscher Empfänger auf Rechnung zu bestellen oder unter Angabe falscher Zahlungsdaten zu bestellen. Um die Lieferungen in Empfang zu nehmen, werden häufig Dritte beauftragt, welche die Sendungen beispielsweise in leerstehenden Häusern entgegennehmen oder den Lieferdienst auf dem Weg zu einer legitimen Adresse abpassen – das Online-Tracking der Sendung erleichtert das Timing.
• Besonders im B2B-Handel mehren sich die Fälle, in denen es Kriminellen gelingt, sich in die Korrespondenz zu einer realen geschäftlichen Transaktion einzuklinken. Dazu genügt es, Kenntnis zumindest eines Teils der E-Mail-Korrespondenz zu einem Geschäft zu erlangen. Dies gelingt zum Beispiel durch Kompromittierung des E-Mail-Postfachs von einem der Kommunikationsbeteiligten. Von besonderem Interesse sind dabei Nachrichten, die Rechnungen, Lieferscheine oder Zahlungsaufforderungen enthalten. Die Betrüger registrieren dann eine der ursprünglichen Domain ähnliche, etwa durch Hinzufügen von „-international“ oder durch Wahl einer anderen Top-Level-Domain, also „.io“ statt „.com“. Von dieser senden sie E-Mails mit der Aufforderung, Zahlungen an eine neue Bankverbindung zu überweisen. Der ursprüngliche Rechnungssteller bekommt davon nichts mit. • Daneben ist auch der sogenannte CEO-Fraud immer wieder erfolgreich. Bei dieser Betrugsmasche schaffen es die Täter dank umfangreichen Hintergrundwissens zu den Unternehmensstrukturen, Social-Engineering-Techniken und technischer Werkzeuge zur Stimmenimitation, die Opfer dazu zu bringen, Geld auf Konten der Betrüger zu überweisen. Die Opfer werden dabei in den Glauben versetzt, im Auftrag einer hochrangigen Person im Unternehmen zu handeln.

Informations- und Identitätsdiebstahl

Informations- und Identitätsdiebstahl sind häufig die Vorstufe zu weiteren kriminellen Handlungen. Gestohlene Zugangsdaten (zum Beispiel Benutzername und Passwort) können einerseits direkt verwendet werden, um damit Aktionen mit der Identität des Betroffenen durchzuführen, wie etwa Überweisungen oder Bestellungen auf einer Online-Plattform. Andererseits können solche Daten aber auch dazu genutzt werden, authentische Phishing-Nachrichten zu generieren. So können E-Mails direkt unter dem Account und im Namen eines Betroffenen versendet werden, was die Glaubwürdigkeit gegenüber technischen Systemen und menschlichen Empfängern erhöht, oder die gestohlenen Identitäten werden über einen Marktplatz angeboten und an andere Kriminelle für weitere Angriffe verkauft. Eine einzelne gestohlene Information muss also nicht immer einen direkten Angriff ermöglichen, um für Angreifer von Nutzen zu sein.

Vorsorgen

Auch wenn ein 100-prozentiger Schutz nie möglich sein wird, gilt es, Kriminellen die Arbeit so schwer wie möglich zu machen. Angemessene Präventionsmaßnahmen gegen Cybercrime sind Pflichtaufgabe für große Konzerne wie auch für KMU. Ein gutes Schutzkonzept adressiert dazu die drei Säulen Technik, Organisation und Mensch.

• Technik: IT-Systeme und Software ohne Ausnahme permanent auf aktuellem Stand, Maßnahmen zum Schutz vor Malware und Phishing ergreifen, umfassendes Back-up-Konzept mit vom übrigen Netz getrennter Speicherung, sichere Anmeldeverfahren für kritische Systeme
• Organisation: Systeme und Daten kennen und inventarisieren, Vier-Augen-Prinzip für Geldtransaktionen, internen Notfallplan erstellen und mit IT-Anbieter abstimmen, ITSysteme und Dienstleister sorgfältig auswählen
• Mensch: Gefahren allen Mitarbeitern bewusst machen, klare Verhaltensanweisungen zum Umgang mit ungewöhnlichen Anfragen, Anrufen oder E-Mails

Zur Umsetzung dieser und weiterer Maßnahmen stellen Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Verbände wie der Verband Deutscher Maschinen- und Anlagenbau (VDMA) gute Leitfäden bereit. Dass die Sensibilisierung dafür auch ungezwungen erfolgen kann, zeigt beispielsweise das Zentrum Digitalisierung.Bayern (ZD.B) mit seinem Spiel Spaceburgers. Auch der Austausch mit anderen Unternehmen auf entsprechenden Themenplattformen, in Arbeitskreisen oder mit der Allianz für Cybersicherheit kann wertvolle Anregungen liefern.

Im Ernstfall

Die erste Herausforderung im Ernstfall besteht darin, diesen zu erkennen. Daher ist die Sensibilisierung der Mitarbeiter und die Kenntnis der eigenen Systeme und Netzwerke von besonderer Bedeutung. Für alle Betrugsvarianten gilt ein guter Rat: lieber rückfragen. Beim Verdacht auf Ransomware-Infektionen, etwa wegen veränderter Dateinamen oder Dateiendungen, gilt: Netzwerkverbindungen des Rechners (auch WLAN) sofort trennen. Die Handlungsmöglichkeiten im Ernstfall hängen stark von den getroffenen Vorbereitungen ab. Daher ist es unbedingt empfehlenswert, den Ernstfall durchzuspielen und entsprechende Vorkehrungen zu treffen. Auf der technischen Ebene sind hier insbesondere die oben genannten Präventivmaßnahmen relevant, allen voran ein gutes Back-up-Konzept, das im Falle eines Ransomware-Befalls eine schnelle Wiederherstellung der Systeme erlaubt. Neben technischen Vorkehrungen gilt es aber vor allem, die organisatorischen Abläufe vorzubereiten. Um keine Zeit zu verlieren, sollte von vorneherein geklärt sein, wo mögliche Sicherheitsvorfälle zu melden sind, welche Sofortmaßnahmen in welchem Fall zu ergreifen sind, welche internen und externen Ansprechpartner kontaktiert werden und wer die Entscheidungen in einer Notfallsituation übernimmt. Auch ein alternativer Kommunikationskanal, etwa über einen sicheren Messaging-Dienst, hat sich bewährt, wenn die eigenen IT-Systeme gestört sind. Da viele Unternehmen ihre IT nicht allein betreuen, sollten all diese Punkte auch im Vorfeld mit den relevanten IT-Dienstleistern abgestimmt werden. Auch ein versierter Incident-Response- Spezialist benötigt Informationen über die vorhandenen Systeme und Anwendungen sowie deren Abhängigkeiten. Wie in allen anderen Fällen, in denen Unternehmen Opfer von Kriminalität werden, gilt: Holen Sie sich externe Hilfe und wenden Sie sich an die Polizei.