Cyberkriminalität: Attacken aus dem Internet sind Gefahr für Unternehmen
Wien, ein Montagmorgen im vergangenen Sommer. Die Angestellten einer großen Versicherungsgesellschaft strömen mäßig gelaunt in das Firmengebäude. Jene, die spät dran sind, erkennt man am Laufschritt, mit dem sie sich dem Eingangsportal nähern. Dort hat an diesem Tag bereits Helmut Fidi Position bezogen, der die Vorbeieilenden aufhält: "Im Rahmen unserer EDV-Initiative darf ich Ihnen diesen USB-Stick mit den besten Grüßen der Geschäftsführung überreichen. Die meisten nehmen den Gegenstand unbeeindruckt entgegen und verlangsamen nicht einmal ihren Schritt. Einige wenige bedanken sich.
Die meisten sind schockiert
Was sie nicht wissen: Die Sticks sind präpariert. Wäre Fidi ein Hacker, würde es ihm bereits genügen, wenn nur ein einziger Mitarbeiter das Gerät an seinen Computer ansteckte. Fidi könnte dann über diesen Rechner schnell Zugriff auf das gesamte Unternehmensnetzwerk erhalten. Glücklicherweise hegt er jedoch keine bösen Absichten. Fidi arbeitet für das IT-Sicherheitsunternehmen CoreTEC und hat gerade den Auftakt zu einer umfassenden Sicherheitsschulung gemacht. Später wird er feststellen, dass 84 Prozent der Mitarbeiter, die einen infizierten USB-Stick erhielten, ihn noch am selben Arbeitstag ausprobierten. "Die meisten sind schockiert, wenn sie erfahren, welchen Schaden sie völlig ahnungslos ihrem Unternehmen hätten bescheren können, erzählt der Experte. Doch nur so könnten sie für das Thema sensibilisiert werden.
Technologisches Know-how, Qualitätsstandards, Produktionskapazitäten, Prozessabläufe, Mindestmargen, Preiskalkulationen, Lieferantenbeziehungen oder Kundenstock: Jeder Betrieb verfügt, unabhängig von seiner Größe, über Daten und Informationen, die er nur ungern mit anderen teilt. Mehr noch: Geraten diese Informationen in die Hände der Mitbewerber, kann es für ein Unternehmen schnell um das wirtschaftliche Überleben gehen. All diese Daten werden in irgendeiner Form elektronisch abgespeichert und weitergegeben. Und damit sind sie - mal mehr, mal weniger einfach - auch für Unbefugte zugänglich.
Bedrohung für Unternehmen
Die seit Monaten andauernde Aufregung um den US-amerikanischen Nachrichtendienst NSA, der Unternehmen weltweit ausspioniert und sogar das Handy von Deutschlands Kanzlerin Angela Merkel abgehört hat, hat die Bevölkerung aufgeschreckt. Doch noch immer gehen Unternehmen und Behörden viel zu lasch mit dem Thema Informationstechnologien und Sicherheit um. Und das eingangs erwähnte Beispiel zeigt deutlich: Man muss es gar nicht erst mit einem ausländischen Geheimdienst, der über einen riesigen Apparat und großzügige finanzielle Ausstattung verfügt, zu tun bekommen. Auch mit vergleichsweise bescheidenen Mitteln können Kriminelle ans begehrte Ziel kommen. Der ungewollte Abfluss von sensiblen Informationen stellt eine reale und häufig unterschätzte Bedrohung auch für österreichische Unternehmen dar.
Steigerungsraten sind enorm
Und sie wird immer massiver, wie die Zahlen aus der Kriminalstatistik zeigen. Während es vor zehn Jahren nur etwa 600 Anzeigen von Delikten im Zusammenhang mit Cyberkriminalität gab, wurden vergangenes Jahr bereits über 10.000 Fälle angezeigt. "Die Steigerungsraten sind enorm, sagt Mario Hejl, Sprecher des Bundeskriminalamts. So habe es etwa im Bereich des Hacking 2012 im Vergleich zum Jahr davor eine Zunahme von 182 Prozent gegeben. Der Einsatz von Schadsoftware (etwa Trojanern) sei sogar um 1800 Prozent gestiegen. "Die Dunkelziffer liegt aber noch deutlich höher. Denn viele Unternehmen zeigen das aus Reputationsgründen oft nicht an, so Hejl.
Das bestätigt auch eine repräsentative Studie des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung (BVT) aus dem Jahr 2010. Damals gaben 31 Prozent der Unternehmen an, bereits einmal Opfer von Wirtschafts- und Industriespionage geworden zu sein. Aber lediglich 13 Prozent wandten sich an die Sicherheitsbehörden.
Für Berufsparanoiker wie Wieland Alge, General Manager des Security-Anbieters Barracuda Networks, ist es um Österreichs IT-Sicherheit und das Bewusstsein um die Problematik traurig bestellt: "Da gehören wir europaweit zu den Schlusslichtern. Das untermauert auch die BVT-Studie. Dieser zufolge schätzt die Hälfte der Unternehmen das Risiko, Opfer ungewollten Informationsabflusses zu werden, als gering ein. Weitere zehn Prozent meinen sogar, es bestehe für sie gar kein Risiko.
Alge erinnert sich mit Schaudern an einen Beratungstermin bei einer österreichischen Großbank. Dort erzählte man ihm, dass es erst kürzlich einen Einbruch in das Netzwerk gegeben habe. Mit Verbesserungen für das Sicherungssystem eile es aber nicht. Denn, so die Argumentation, es habe ohnehin niemand etwas davon mitbekommen. Dabei werden Banken ständig attackiert - so häufig, dass sie kaum damit nachkommen, sich zu schützen. Schließlich stellen sie mit der Vielzahl von Konto- und Kreditkartendaten, die sie verwalten und mit denen sich, einmal in falsche Hände gelangt, jede Menge Unfug anstellen lässt, ein höchst attraktives Ziel dar. Öffentlich publik wird davon kaum etwas. Als die UniCredit Bank Austria vor einigen Monaten eingestand, Opfer eines Hackerangriffs geworden zu sein, und dies auch zur Anzeige brachte, war das die sprichwörtliche Ausnahme der Regel. "Ich bin froh, dass es eine staatlich garantierte Einlagensicherung gibt. Andernfalls würde ich mein Geld keiner einzigen Bank anvertrauen, meint Alge.
In einigen Unternehmen, vor allem den großen, macht Alge aber durchaus ein Umdenken aus. Beim Baukonzern Strabag etwa. "2005 hatte ich ein Gespräch mit dem damaligen IT-Leiter. Er beschwerte sich, dass im Unternehmen drei Firewalls im Einsatz seien. Er wollte nur eine. Ich habe ihm gesagt, er würde 100 benötigen, so der Sicherheitsexperte. Die beiden kamen naturgemäß nicht ins Geschäft. Erst nach einem Personalwechsel erkannte die Strabag die Notwendigkeit. Heute seien dort über 200 solcher Sicherungssysteme installiert.
1000 Risikoanalysen
Richtig viel Aufwand betreibt auch die OMV. Aktuell laufen rund 40 Projekte, die der Risikominimierung im Öl- und Gaskonzern dienen sollen. Diese reichen vom physischen Zutrittsschutz über die Bewusstseinsbildung bei den Mitarbeitern bis hin zur permanenten Verbesserung der eingesetzten Technik. Im Zusammenspiel mit den einzelnen Geschäftsbereichen und den darunter liegenden IT-Services werden pro Jahr etwa 1000 Risikoanalysen durchgeführt. Regelmäßig lässt sich die OMV auch absichtlich von Hackern angreifen, um die Resistenz ihrer Systeme zu prüfen. "Das Thema Informationssicherheit nehmen wir sehr ernst und haben es bereits vor mehr als sechs Jahren organisatorisch im Konzern etabliert, erzählt Marcus Frantz, Vorstand für Informationstechnologie.
Mit der eigenen Internetseite bieten Unternehmen ein Einfallstor für Angreifer. "Jede noch so kleine Sicherheitslücke kann genutzt werden, erklärt Alge: "Ist sie einmal ausfindig gemacht, kann man sich immer tiefer in das System hineinarbeiten - um dort nach Belieben alle verfügbaren Daten abzusaugen, von Geschäftsgeheimnissen bis hin zu Kundendaten. Laut Schätzungen der Wirtschaftskammer belaufen sich die Schäden durch Wirtschaftsspionage und Cyberkriminalität auf mindestens drei bis fünf Milliarden Euro jährlich.
Je bekannter ein Unternehmen beziehungsweise dessen Internetseite ist, desto öfter wird es attackiert. Nicht immer werden diese Seiten gezielt angegriffen, sondern von automatisierten Programmen auf unsichere Stellen abgeklopft. Diese docken fast sekündlich an und versuchen, sich Zutritt zu den Systemen zu verschaffen. Die Firewalls registrieren diese Angriffe zwar, doch die Hacker lassen sich so gut wie nie ausfindig machen. Ihre Spuren verlieren sich in einer Vielzahl von infizierten Servern rund um die Welt.
Auch Klein- und Mittelbetriebe betroffen
Wer allerdings meint, nur Großunternehmen stünden im Fokus, irrt gewaltig. Vor allem die Homepages und Systeme von Klein- und Mittelbetrieben sind dankbare Ziele, wie Gilbert Wondracek, Leiter der IT-Securityabteilung bei Deloitte, erklärt. Die von kleinen Unternehmen häufig verwendeten, äußerst preisgünstig bis kostenlos erhältlichen vorkonfigurierten Internetseiten, die jeder Laie nach seinen Bedürfnissen gestalten kann, weisen oft erhebliche Sicherheitslecks auf. Wird ein solches bekannt, können automatisierte Programme sofort sämtliche Webseiten auflisten, die mit eben dieser Software betrieben werden. Betreiber kleiner Web-shops etwa, die im Besitz von Kreditkartendaten ihrer Kunden sind, sind sich darüber meist nicht im Klaren, welch lohnendes Ziel sie darstellen. Aber auch andere Branchen können für Hacker attraktiv sein. Selbst wenn sich beispielsweise hinter dem Webauftritt einer Yoga-Lehrerin nicht unbedingt lukrative Daten verbergen - für Kriminelle kann er durchaus von Nutzen sein. "Sie können sich die Infrastruktur zu eigen machen und zum Beispiel Viren oder Schadsoftware über die gehackte Webseite verbreiten, sagt Wondracek: "Die Eigentümer merken davon nichts. Bis die Polizei vor der Türe steht und sie den Beweis erbringen müssen, dass diese Daten nicht von ihnen stammen. Das kann sehr unangenehm werden, so der Experte.
Auch wenn zig Millionen Euro für den Aufbau von Infrastrukturen aufgewendet werden und die Technik noch so ausgeklügelt ist - eine Kette ist nur so stark wie ihr schwächstes Glied. Und das ist der Mensch. Bei der Fokussierung auf technische Aspekte wird die soziale Komponente häufig übersehen.
Das sogenannte Social Engineering spielt bei gezielten Attacken eine immer größere Rolle. Gemeint ist damit das Manipulieren und Ausspionieren von Mitarbeitern. CoreTEC-Mann Fidi: "Bei unseren Penetrationstests schicken wir auch immer jemanden in das Unternehmen, der sich etwa als Servicemitarbeiter eines Telekommunikationsunternehmens ausgibt, der dringend eine Reparatur am Telefonsystem durchführen muss. In 95 Prozent der Fälle seien diese Versuche erfolgreich. "Die Empfangsdamen gewähren oft nicht nur Eintritt, sondern servieren sogar noch Kaffee, erzählt der Experte.
Zudem erleichtern soziale Netzwerke wie Facebook Spionen die Arbeit enorm. Sie suchen dort gezielt nach Hobbys der Mitarbeiter. Ist der betroffene Angestellte etwa passionierter Angler, bekommt er auf seine berufliche E-Mail-Adresse eine Nachricht über die besten Köder gesandt. Mit dem Öffnen der E-Mail wird dann eine Schadsoftware installiert, die Angreifern Tür und Tor öffnen kann.
Vor menschlichen Schwachstellen ist niemand gefeit. Nicht einmal die NSA. Das hat der Fall Edward Snowden eindrucksvoll gezeigt.