Media image full width
Cybersicherheit für Unternehmen Angriffe aus dem Netz: Und dann steht alles still
Cybercrime ist keine Science-Fiction, sondern eine reale Bedrohung für KMU. Betroffene Unternehmen sind schnell einmal mit Lösegeldforderungen, Produktionsausfällen und teuren Reparaturarbeiten konfrontiert. Cybersicherheitsexperte Paul Such weiss, wie Angriffe ablaufen – und was dagegen unternommen werden kann.
«Ich bin kein lohnendes Ziel»
Gerade KMU sind begehrte Opfer. Sie verfügen im Gegensatz zu Grossunternehmen über wenig Schutz, sind aber oft finanziell gut aufgestellt. Eine perfekte Ausgangslage für Erpressungen.
«Hacker-Angriffe bemerken wir schon»
Viele Angriffe werden nur durch Zufall entdeckt. Im Schnitt dauert es länger als 100 Tage. Umso wichtiger ist eine laufende Überwachung der Systeme.
«Cyberkriminelle sind Aussenseiter»
Viele Angriffe kommen gerade mithilfe von Insidern zustande. Nicht alle Mitarbeitenden haben Ihr Unternehmen im Guten verlassen.
«Antivirensoftware und Firewall reichen»
Der Schutz vor Cyberkriminellen funktioniert wie eine Ritterburg. Antivirensoftware und Firewalls sind nur der äusserste Schutz.
Wenn das Telefon bei Paul Such klingelt und Kunden bei ihm hektisch Hilfe suchen, ist es meistens schon zu spät. So geschah es eines Morgens einem Lebensmittelproduzenten. Alle Maschinen standen still. Das für die Produktion zuständige System wurde von aussen blockiert. Ein Erpressungsmail machte klar: Da waren Hacker am Werk. Während Wochen ging im Unternehmen nichts mehr. Die Umsatzeinbusse war so gross, dass sich sogar der Verwaltungsrat mit dem Vorfall beschäftigen musste. «Ist die Falle bereits zugeschnappt, können auch wir nur noch den Schaden begrenzen», erklärt Cybersicherheits-Experte Such. Was an Daten gestohlen oder verschlüsselt werde, könne nicht rückgängig gemacht werden. «Besser ist es, schon früh Eindringlinge im System zu erkennen», rät Such.
Cybersicherheits-Experte aus Leidenschaft
Paul Such ist Gründer von Hacknowledge, einer auf Cyber Security spezialisierten Firma. Hacknowledge hilft Unternehmen, digitale Eindringlinge zu erkennen und abzuwehren. Such ist schon seit vielen Jahren in der Szene. Früher war er selbst ein Hacker – aber ein «White Hat» (deutsch: «Weiss-Hut»), wie er selbst betont. Im Gegensatz zu den «Black Hats» («Schwarz-Hüte») drang er nicht aus krimineller Energie in fremde Systeme ein, sondern weil er dafür eigens angeheuert wurde. Unternehmen beauftragen White-Hat-Hacker, um ihre Systeme zu testen und so Lücken aufzudecken, bevor es die «Bösen» tun. Auch die Post nutzt seit 2019 das Können solcher ethischen Hacker im Rahmen ihres Bug-Bounty-Programms und lässt so ihre digitalen Dienstleistungen auf Herz und Nieren testen.
«Niemand ist mehr sicher»
Die Computerisierung hat längst in allen Bereichen Einzug gehalten. Egal ob Abrechnungssysteme eines Coiffeursalons oder Produktionssteuerungen eines Maschinenbauers, heute gibt es kein Unternehmen mehr, das nicht anfällig wäre für Cyberangriffe. Längst hat die digitale Transformation auch die organisierte Kriminalität erreicht. Hacking ist zu einem lukrativen Geschäftsfeld der Mafia und anderer Banden geworden. Sie stehlen oder verschlüsseln Daten und erpressen damit Unternehmen. Wer nicht bezahlt, muss damit rechnen, dass vertrauliche E-Mails, Kundendaten, Offerten, Verträge und andere Dateien im Netz veröffentlich werden. Im schlimmsten Fall kann das Unternehmen nicht mehr auf die eigenen Systeme zugreifen. Dann stehen im wahrsten Sinn des Wortes alle Räder still – und eine Lösegeldforderung flattert ins Haus. Ist es so weit gekommen, rät das Nationale Zentrum für Cybersicherheit (NCSC) des Bundes dringend von Zahlungen ab. Weder gäbe es Garantien dafür, dass die Verbrecherinnen und Verbrecher nach der Zahlung die Daten nicht doch noch illegal verkaufen, noch sei gesichert, dass die verschlüsselten Daten alle wieder hergestellt werden könnten. Ausserdem ermuntere ein gelungener Erpressungsversuch dazu, weiterzumachen.
Fatale Fehleinschätzung
Viele nehmen an, nur grosse Unternehmen seien lohnende Ziele. Eine fatale Fehleinschätzung. Denn gerade KMU lassen oft das Thema schleifen, obwohl sie bis in jede Faser durchdigitalisiert sind. So werden mittelständische Betriebe zu begehrten Opfern. Die Neue Zürcher Zeitung berichtete von einer Bande, die sogar ein Kloster hackte. Marktplätze, auf denen gestohlene Daten gehandelt werden, gibt es im Darknet zuhauf. Dort lassen sich auch ohne Erpressung Geschäftsdetails zu Geld machen. Das Darknet ist ein versteckter Teil des Webs, der für gängige Browser nicht zugänglich ist und gerne für illegale Aktivitäten genutzt wird.
Vorausschauend unterwegs sein
Viele wiegeln das Risiko ab, weil sie noch nicht angegriffen wurden. So erachten gemäss einer Studie der Markt- und Meinungsforscherin GfS nur 56 Prozent der Geschäftsführenden von Schweizer KMU das Thema Cybercrime als wichtig. Dabei ist rund ein Drittel aller Schweizer KMU bereits angegriffen worden. Also sollte die Einstellung auf digitalen Highways gleich sein wie auf asphaltierten Strassen. Denn wer ein Auto steuert, ist sich der Risiken im Verkehr sehr wohl bewusst – auch wenn sie oder er bis dahin unfallfrei gefahren ist.
Nadel im Heuhaufen
Zurück zum Lebensmittelproduzenten: Der «D-Day» mit dem Erpressungsmail war nur das infernale Ende einer langen Aktion. Das Drama hatte schon Monate im Voraus seinen Lauf genommen. «Durchschnittlich dauert es 100 Tage vom Eindringen bis zum Angriff», erklärt Such. «Sind Hacker erst einmal im System, schauen sie sich um und kompromittieren weitere Systeme.» In dieser Zeit hinterlassen sie Spuren. Die Eindringlinge sind jedoch darauf bedacht, «unter dem Radar zu fliegen». Sie achten penibelst darauf, dass sich ihre Bewegungen nicht von «normalen» Vorgängen unterscheiden. «Aufgabe von Hacknowledge», so Experte Such, «ist es, die sprichwörtliche Nadel im Heuhaufen zu finden und aus der Vielzahl an Meldungen die relevanten Anomalien zu identifizieren.»
Mit dem Anschluss von Maschinen ans Internet (Internet of Things) nimmt nicht nur die Angriffsfläche von Unternehmen weiter zu, sondern auch die Anzahl digitaler Heuhaufen. Umso wichtiger ist es, dass sich Unternehmen ihrer Risiken bewusstwerden. Wie gross die potenzielle Gefahr ist, können KMU mit einem Onlinetest des Nationalen Zentrums für Cybersicherheit (NCSC) des Bundes schnell und unkompliziert selbst herausfinden: https://cybero.ch
Unternehmen können die Cybersicherheit an externe Dienstleister auslagern. Partner wie die Post-Tochter Hacknowledge können auch Ihr Unternehmen innerhalb kürzester Zeit auf ein hohes Sicherheitsniveau bringen. Informieren Sie sich noch heute unverbindlich über die Möglichkeiten für mehr Cybersicherheit:
Hacknowledge SA
Rue de Lausanne 35A, 1100 Morges
+41 21 519 05 01
info@hacknowledge.ch
Starten morgens die Systeme nicht oder sind Daten verändert, ist dies nur die Spitze des Eisbergs. Eine ¬Cyberattacke beginnt Wochen bis Monate früher. Das sind die vier Phasen eines digitalen Angriffs.
Phase 1: Ziel identifizieren
Cyberkriminelle beginnen mit ihrer Arbeit, lange bevor Sie etwas davon merken. Sie recherchieren Kontaktdaten (zum Beispiel aus sozialen Netzwerken) oder auch Details über die IT-Infrastruktur.
Das können Sie tun: Hinterfragen Sie, wie viele Ihrer Unternehmensdaten im Internet wirklich öffentlich zugänglich sein müssen. Lassen Sie sich von Cybersicherheits-Experten auch zu möglichen Angriffsmethoden beraten.
Phase 2: Methode wählen
Weiss die Täterschaft, mit wem sie es zu tun hat, wählt sie ihre Angriffsmethode. Ist es ein Ransomeware-Angriff? Mit welchem Trojaner soll das Schadprogramm eingeschleust werden? Wie soll der Trojaner ins Unternehmen gelangen? Durch einen Link in einem E-Mail oder doch lieber via Nachricht auf Instagram? Eine infizierte Website? Oder mittels USB-Stick?
Das können Sie tun: Welche Sicherheitslücken gibt es in Ihrem Unternehmen? Finden Sie diese heraus, z. B. mit Penetrationstests. Cybersicherheits-Experten helfen ihnen dabei. Schulen Sie Ihr Personal, etwa im Umgang mit Fake-E-Mails, und blockieren Sie potenziell gefährliche Webseiten.
Phase 3: Eindringen
Hat eine Täterschaft alle Vorbereitungen getroffen, legt sie still und leise den Zugang. Dazu wird ein Programm hin¬terlegt, das einen Zugriff von aussen ermöglicht, dies über eine sogenannte «Backdoor». Ein Backdoor (Hintertür) ist Teil einer Software und ermöglicht, die bestehenden Zugriffssicherungen zu umgehen.
Das können Sie tun: Hier kommt ein externes Security Operations Center (SOC) wie Hacknowledge ins Spiel. SOCs überwachen Vorgänge in Ihren Systemen, filtern Incidents heraus und schlagen rechtzeitig Alarm.
Phase 4: Ausspionieren
Sind Kriminelle erst einmal in Ihr System eingedrungen, legen sie selten gleich los mit der Erpressung. Erst dringen sie in weitere Systeme und Accounts ein. Unbemerkt werden Fileserver durchsucht und Passwortdateien sowie weitere sensible Daten gestohlen oder sabotiert.
Das können Sie tun: Nun gilt es, die Absichten der Hacker herauszufinden und ihre Fähigkeiten im
Hacking in Erfahrung zu bringen. Unter anderem werden mit sogenannten «Honeypots» («Honigtöpfe») Fallen gelegt. So lassen sich Angriffsmethoden studieren und es lenkt Hacker von anderen, wichtigeren Systemen ab.
Phase 5: Falle zuschnappen lassen
Sind alle Fallen ausgelegt, blasen Krimi¬nelle zum Angriff. Jetzt können Sie nicht mehr auf Ihre Daten zugreifen. Ein Erpressungsmail erreicht Sie und Sie erkennen den Ernst der Lage. Die Kosten für die Problemlösung steigen expo¬nentiell. Nicht nur muss das Leck gefunden und gestopft, sondern auch der entstandene Schaden behoben werden.
Das können Sie tun: Wurde der Angriff nicht spätestens in Phase 4 abgewendet, bleibt jetzt nur noch Schadensbegrenzung. Ist die Falle einmal zugeschnappt, stecken Sie drin. Daran kann auch das beste SOC nichts mehr ändern.
