Cyber-Gefahr für Wirtschaft weiterhin auf hohem Niveau

„Chefbetrug“, Spionage und Erpressung sind die größten Cyber-Gefahren für die deutsche Wirtschaft. Aber auch der Otto-Normal-Verbraucher wird immer öfter Opfer von Cybercrime, warnt das BSI in seinem Jahresbericht.


Die Hacker hatten sich in den IT-Systemen von Thyssen-Krupp längst ausgebreitet, als der Industriekonzern zwei Monate nach der Infektion auf den Angriff aufmerksam wurde. Es folgte eine wochenlange Abwehrschlacht, um die Informationstechnik (IT) von der Schad- und Spionagesoftware Winnti zu befreien. Der Fall ist nur ein Beispiel aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland, den Bundesinnenminister Thomas de Maizière (CDU) und der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, am Mittwoch in Berlin vorstellen.

Der Angriff auf den Industriekonzern zeigt eindrücklich, wie Schadsoftwares vorgehen. Die Hacker hinter Winnti werden im asiatischen Raum vermutet, weil mit der Software dort zuletzt Online-Spiele attackiert wurden. Im vergangenen Jahr registrierte das BSI dann plötzlich mehrere Angriffe auf deutsche Unternehmen. Dabei ist das Ausmaß des Spionageschadens bei Thyssen-Krupp nicht überschaubar. „Betroffen waren Daten, die den Tätern oder ihren Auftraggebern einen technologischen Vorteil hätten verschaffen können“, heißt es im Bericht des BSI unter Bezug auf das Unternehmen. Es sei aber unklar, ob ein Schaden etwa am geistigen Eigentum entstanden sei.

Drei Arten von Cyberangriffen machen dem Bericht zufolge der deutschen Wirtschaft gegenwärtig besonders zu schaffen. Neben Spionagefällen wie bei Thyssen-Krupp drohen Unternehmen finanzielle Verluste in Millionenhöhe durch Angriffe mit Ransomware oder der Chefbetrugs-Masche, einer Art digitalem Enkeltrick für Buchhalter.


Unter Ransomware versteht man Schadcode, der den Zugriff auf Daten oder Anwendungen von Geräten einschränkt, etwa durch Verschlüsselung einer Festplatte. Die Freigabe erfolgt dann erst nach Zahlung eines Lösegelds. Der Begriff ist eine Kombination aus den englischen Worten für „ransom“ (Lösegeld) und „malware“ (Schadprogramm). Cyber-Kriminelle haben so eine lukrative Möglichkeit gefunden, in großem Umfang Geld zu erpressen, warnt BSI-Präsident Schönbohm. Für Firmen kann das besonders teuer werden. Die Lösegelder werden oft in digitalen Währungen wie Bitcoins gefordert.

In den Berichtszeitraum von Juli 2016 bis Juni 2017 fallen auch die internationalen Ransomware-Wellen Petya und WannaCry, die viele Schlagzeilen gemacht haben. WannaCry ließ Anzeigetafeln der Deutschen Bahn ausfallen und zeigte Erpressermeldungen an. In Großbritannien waren 60 Krankenhäuser betroffen, was auch Auswirkungen auf die Behandlung von Patienten hatte. Besonders perfide war ein Ableger von Petya, der im Dezember an Personalabteilungen deutscher Unternehmen geschickt wurde. Es handelt sich um gefälschte und infizierte E-Mail-Bewerbungen. Das Anschreiben als PDF-Datei sah völlig normal aus, doch beim Klick auf eine beigefügte Excel-Tabelle verschlüsselten die Personalmitarbeiter ungewollt und unumkehrbar ihre Festplatte. Die folgende Lösegeldforderung hat laut BSI 1000 Euro betragen.

Um größere Summen geht es, wenn Cyberkrimelle die Chefmasche versuchen. Das Vorgehen hat viele Namen, im englischen Raum hat sich „CEO-Fraud“ durchgesetzt. Das Prinzip basiert auf dem Enkeltrick. Nur werden nicht ältere Damen am Telefon beschwatzt, sondern Buchhalter mit manipulativen E-Mails zur Überweisung großer Summen bewegt.

So unwahrscheinlich das klingt, die Masche ist ausgesprochen erfolgreich. Bei mehreren Unternehmen in Deutschland und Österreich kam es zu Abflüssen von rund 40 Millionen Euro. Die Zentral- und Ansprechstelle Cybercrime, kurz ZAC, bei der Staatsanwaltschaft Köln, ermittelt inzwischen in fast 160 Fällen. Der Schaden beträgt 56 Millionen Euro. Wäre es den Banken nicht gelungen, einige Transfers in letzter Sekunde zu stoppen, wären sogar bis zu 150 Millionen verschwunden.
Dabei gehen die Täter geschickt vor.


Hauptangriffsmethode vieler Hacker war ein Klassiker

Beim CEO-Betrug werde in besonderem Maße Zielaufklärung betrieben, heißt es im BSI-Bericht. Dazu gehöre „die Beschaffung von Informationen über Unternehmen und Mitarbeiter“ über öffentliche Quellen wie Unternehmenswebsites, Presse- und Börsenmitteilungen, Einträge in den sozialen Medien und im Handelsregister. Mit diesem Wissen gibt sich der Angreifer dann als CEO oder anderes Mitglied der Geschäftsführung aus, verwickelt die Buchhalter in einen E-Mail-Dialog und bittet sie schließlich um Überweisungen. „Social Engineering“ nennen Experten das Vorgehen. Das BSI empfiehlt Buchhaltern zur Sicherheit immer den persönlichen Kontakt, bevor sie größere Summen anweisen.


Die Zahl der Spionageangriffe auf Unternehmen ist zwar seit Anfang 2016 etwas zurückgegangen, hat dann aber Mitte des Jahres wieder erheblich zugelegt. Bei der Cyberspionage fiel dem BSI auf, dass bekannte und berüchtigte Hackerformierungen wie APT28 nur selten bei Unternehmen eindringen. Die mutmaßlich russische Gruppierung, die auch als „Fancy Bear“ oder „Sofacy Group“ bezeichnet wird, hatte im Frühjahr 2015 die IT des Bundestags angegriffen und mehrere Gigabyte Daten erbeutet. „Abgesehen von Rüstungsunternehmen scheinen sich diese Gruppen vorrangig auf Regierungseinrichtungen und politische Organisationen zu konzentrieren“, schreibt die Behörde.

Hauptangriffsmethode vieler Hacker war im vergangenen Jahr aber wieder der Klassiker: der infizierte E-Mail-Anhang. Auch Drive-by-Angriffe mit Hilfe manipulierter Websites sind üblich. „Ransomware für Mobilplattformen wird überwiegend vom Nutzer selbst installiert oder als legitime App getarnt über alternative App-Stores verteilt“, warnt das BSI. Das alles ist schon länger bekannt. Ein neuer Angriffsweg sei hingegen die Ausnutzung von Software-Schwachstellen über das Internet und in lokalen Netzen zur ersten Infektion und Weiterverbreitung der Ransomware.


Sorgen macht der deutschen Cyberabwehr neuerdings auch das „Internet der Dinge“. Es entwickle sich immer mehr zu einer Gefahrenquelle, denn die IT-Sicherheit spiele derzeit weder bei Herstellung noch bei der Kaufentscheidung der Kunden eine ausreichende Rolle. Um es vereinfacht auszudrücken: Wenn Kühlschränke, Heizungen oder Lampen mit dem Internet verbunden sind, müssen sie auch mit Antivirensoftware ausgestattet sein. Sonst werden sie für Hacker zur leichten Beute.

Wie profane Alltagsdinge so manipuliert werden, dass es tödlich enden könnte, zeigt ein anderes Beispiel aus dem BSI-Jahresbericht. So erhielt die Behörde im August 2016 einen Hinweis auf eine Sicherheitslücke bei Baustellenampeln. Die Geräte waren aus dem Internet erreichbar und vergleichsweise einfach zu manipulieren. „Eine Übernahme und Steuerung der Ampeln war grundsätzlich denkbar“, schreibt das BSI. Immerhin kann die Behörde in diesem Fall entwarnen. Die Sicherheitslücke wurde geschlossen, bevor es zu einem Unfall kommen konnte.

KONTEXT

Checkliste Digitales für Mittelständler

Quelle

Häufig wissen Mittelständler nicht, wie sie die Digitalisierung angehen sollten. Experte Thomas Denk vom Beratungshaus Deliberate in Böblingen empfiehlt ein strukturiertes Vorgehen.

1. Situation analysieren

Vor der Gestaltung der digitalen Transformation steht die Analyse. Was passiert gerade in meiner Branche, wie stellen sich die Konkurrenten auf, wo stehen wir und welche Ideen haben wir?

2. Erwartungen der Kunden erfüllen

Digitalisierung heißt, die veränderten Bedürfnisse der Kunden zu berücksichtigen. Hilfreich dabei: eine offene Kommunikation - direkt und über soziale Medien.

3. Kulturwandel vorantreiben

Kontinuierliche Veränderung ist notwendig. Dafür muss man bereit sein, Geschäftsprozesse ständig auf den Prüfstand zu stellen.

4. Datenqualität sichern

Nicht die Menge an Daten ist entscheidend, sondern ihre Qualität und Verknüpfung. Mittelständler sollten nur Daten erheben, die sie benötigen.

5. Ressourcen bereitstellen

Digitale Transformation wird von Menschen vorangetrieben. Dafür muss ein Chef Ressourcen bereitstellen und Know-how aufbauen.

6. Kommunikation sicherstellen

Unternehmen, die in Silos strukturiert sind, werden bei der digitalen Transformation scheitern. Benötigt wird permanenter Austausch über Motive, Ansätze und Ziele.

7. Digitalisierungsstrategie verankern

Die digitale Strategie muss Bestandteil der Unternehmensstrategie sein, klar definiert und schriftlich festgehalten werden. So kann jeder Mitarbeiter nachlesen, welche Auswirkungen sie auf das Alltagsgeschäft hat.

8. Klare Verantwortlichkeit schaffen

Digitale Transformation braucht Führung. Hilfreich ist dabei ein Chief Digital Officer, der Stratege, Projektmanager, Impulsgeber und Change Manager ist.

9. Risiken im Auge behalten

Bei jeder Veränderung darf die Arbeit an betrieblichen Abläufen und internen Strukturen nicht den Blick auf den Kunden verstellen.

10. Flexibilität schaffen, Netzwerk pflegen

Digitale Geschäftsmodelle entwickeln sich oft rasant, das erschwert Planungen. Neben der Strategiearbeit ist ein gutes Netzwerk aus Kunden, Partnern und Zulieferern wichtig.

11. Reporting aufsetzen

Digitalisierung lässt sich messen. Um Chancen auszuschöpfen, ist ein Reporting für das ganze Unternehmen notwendig.