Wer kann heutzutage von sich behaupten, noch nie einem Cyber-Angriff zum Opfer gefallen zu sein? Selbst Anwender, die sich normalerweise durch ausserordentliche Vorsicht im Zusammenhang mit Datenschutz oder Online-Tätigkeiten auszeichnen, kann es jederzeit treffen. Die Hacker werden immer kreativer, perfider ihre Methoden. Wie können wir uns vor ihren Attacken schützen?
Oft ist die Folge eines Hacker-Angriffs für die betroffene Firma ein Überlebenskampf – und dies nicht nur wegen des geforderten Lösegelds, das mit dem Verbrechen einhergeht. So geschehen beim kürzlich publik gewordenen Angriff auf das Handelsunternehmen Offix, einem Lieferanten von Bürobedarf. Datenbanken wurden gelöscht und Kunden konnten ihre Bestellungen nicht mehr online eingeben. Der anonyme Hacker stellte eine Lösegeldforderung von mehreren Hunderttausend Franken, zu bezahlen in Bitcoins. CEO Martin Kelterborn entschied sich für einen Gegenangriff: Er beauftragte einen externen Cybercrime-Spezialisten und bat seine Kunden um Bestellungen via Telefon oder neu aufgesetzte E-Mail-Adressen.
Das Unternehmen hatte Glück im Unglück: Der Hacker hinterliess eine Spur, dank der ein Teil der Daten wiederhergestellt werden konnte. Das Unternehmen konnte trotz Rückschlägen gerettet werden, nicht zuletzt durch eine enorme Solidarität der Kunden. Es stellte sich heraus, dass der Angreifer sich als Kunde getarnt hatte und als solcher auf ein Sicherheitsrisiko verwiesen hatte. Der Offix-Mitarbeiter wurde aufgefordert, mittels Klick auf einen Link eine Zertifizierung vorzunehmen. Damit wurde das Virus ins System eingeschleust.
Auch wenn Sie selber nicht gerade eine solch drastische Erfahrung durchstehen mussten – jeder Internet-Benutzer sieht sich früher oder später mit dieser Art von Kriminalität konfrontiert. Fast schon regelmässig erhalte ich Zahlungsaufforderungen dubioser Herkunft, getarnt als E-Mails meines Telekomunikations-Anbieters oder meiner Bank. De letzte dreiste Erpressungsversuch war eine angedrohte Veröffentlichung von Aufnahmen, die mich angeblich als Konsumentin von «schmutzigen» Filmen zeigen sollen.
Learnings
Die wichtigste Erkenntnis aus dem Cyber-Angriff ist für Kelterborn die falsche Annahme, dass man als KMU kein Angriffsziel sei. Und dass davon ausgegangen wurde, ihre IT-Sicherheit sei in einem Topzustand. Mangelndes Testing (durch simulierte Angriffe) ist nämlich das grösste Problem, mit dem Unternehmen konfrontiert sind. Anders als die meisten anderen betroffenen Unternehmen teilt Offix seine Erfahrungen. So können Firmen voneinander lernen, ihre Sicherheit zu überprüfen und zu verbessern. Wie Frau Prof. Dr. Sita Mazumder anlässlich eines Workshops zum Thema Cyber Crime an der KV Business School im 2018 festhielt, ist eines der Hauptrisiken die fehlende interne Kommunikation in Firmen, mithilfe deren alle Beteiligten auf das Thema sensibilisiert würden. Checklisten und klare Prozesse zum Schutz vor Angriffen helfen dabei, das Risiko zu minimieren. Dies ist in einem Zeitalter, in welchem wir ungeniert unsere Privatsphäre in sozialen Medien veröffentlichen und in dem die Bequemlichkeit vor die Sicherheit bzw. den Schutz gestellt wird, unerlässlich. Zwar geben wir unser Passwort beim Abheben von Bargeld am Bankomaten noch verdeckt ein, sind uns jedoch bei der Benutzung der flächendeckenden WLAN kaum bewusst, dass wir bei deren Verwendung völlig unverschlüsselt vertrauliche Daten und Dokumente verschicken. Oder wir twittern munter weiter, obwohl bekannt wurde, dass diesem sozialen Netzwerk letztes Jahr nach einer Störung 330 Millionen Datensätze, also Passwörter, entwendet wurden.
Folgen von Cyber-Crime
Allein schon im 2016 fanden weltweit pro Tag über 100‘000 Cyber-Attacken statt. Sogar bei 97 % der Applikationen, die von Trustware geprüft wurden (das sind herunterladbare Programme für Sicherheits-Checks) fand sich immer noch mindestens eine verwundbare Applikation, die teilweise einem hohen Risiko ausgesetzt ist, gehackt zu werden. Die EU-Staaten gelten bereits als hoch infiziert in Bezug auf Viren und Malware (Schadsoftware, die im Hintergrund Daten löscht oder sie zu Marketingzwecken sammelt). Wir wiegen uns also trotz Firewalls und Virenschutzprogrammen meist in ungerechtfertigter Sicherheit, sind schlicht zu gutgläubig. Wir können uns meist nicht vorstellen, wozu die kriminelle Kreativität von Hackern dient. Und bedenken daher zu wenig die gravierenden Folgen dieser Verbrechen. Diese sind unter anderem Diebstahl von geistigem Eigentum wie Datenbanken und damit einhergehend rechtliche Risiken, Reputationsverlust, Betrug, finanzielle Verluste bis hin zum Ruin eines Unternehmens. Die globalen Kosten von Cyber Crime beliefen sich laut McAfee schon vor drei Jahren auf 1 % aller BIP.
Motivation der Hacker:
Cyber Crime ist in erster Linie ein Geschäft: Das Hauptziel eines Kriminellen im Internet ist finanzieller Gewinn und die Opfer werden nach dem Zufallsprinzip gefunden. Wenn wir uns manchmal wundern, warum unsere naiveren Mitbürger auf offensichtliche Betrügereien hereinfallen; seien das unprofessionell formulierte E-Mails mit zahlreichen Rechtschreibefehlern oder wenn der unbekannte Absender uns duzt: Bezahlt doch auch nur ein Prozent von Tausenden anvisierten Opfern gutgläubig eine „offenstehende“ Rechnung, hat es sich für den Kriminellen im Netz gelohnt – ganz abgesehen von überwiesenen Lösegeldern, mit denen sich Hacker bereichern. Diese lernen natürlich stets dazu und gestalten Logos, Betreffzeilen und Mail-Inhalte immer professioneller getarnt.
Unsere Gutgläubigkeit wird dabei oft schamlos missbraucht, was uns Besuchern des oben erwähnten Workshops gnadenlos vor Augen geführt wurde: So zeigte uns Frau Prof. Dr. Mazumder das Foto eines sehr sympathischen jungen Mannes, der vom Aussehen her glatt als Parade-Schwiegersohn durchging. Daraufhin erfuhren wir, dass es sich bei diesem gewinnenden Mann namens Ross Ulbricht um den Gründer des ersten Online-Schwarzmarkts „Silk Road“ handelte. Der Amerikaner sitzt seit einigen Jahren lebenslänglich hinter Gittern. Er wurde der Verschwörung und Geldwäsche, des Drogen- sowie Waffenhandels beschuldigt. Diese Informationen lösten ziemlich betretenes Schweigen im Saal aus, fühlten wir uns doch alle irgendwie hintergangen in unserem guten Glauben an die Menschheit.
Weitere Motivationen von Hackern sind: Services ausser Gefecht zu setzen oder persönliche/vertrauliche Informationen zu stehlen. Diese können später teuer weiterverkauft werden. Datenschutzverletzungen sind nur schon in den letzten zwei Jahren um 75 % gestiegen. Angreifer sind also im Kampf um die Sicherheit von Unternehmensnetzwerken oftmals überlegen.
Wie schützen wir uns vor Angriffen?
Frau Prof. Dr. Mazumder sagt zwar radikal: „es gibt nur zwei Arten von Unternehmen: diejenigen, die gehackt wurden, und die, die es noch nicht bemerkt haben.“ Trotzdem gibt es sicher einige Tipps, wie man Cyber-Angriffe vermeiden kann:
Frau Mazumder schärft uns unter anderem ein, auf unser Bauchgefühl zu hören: Kommt uns eine Nachricht oder ein Dokument (z.B. eine Rechnung, per Mail geschickt) seltsam vor, sollten wir auf keinen Fall auf einen Link klicken oder ein Dokument öffnen. Auch lohnt es sich, bei Absendern von solchen misstrauisch stimmenden Nachrichten mit der Maustaste über die Adresse zu fahren – schon sehen wir, dass sich hinter der Swisscom oder unserer Bank eine ungewöhnliche Mail-Adresse versteckt. In solchen Fällen heisst es, die Nachricht sofort zu löschen, ohne sie zu öffnen. Insofern hat man mit Aufmerksamkeit und Intelligenz mehr Erfolgsaussichten als mit hohen Mauern. Gilt also nicht nur für die Politik, sondern auch fürs Internet.
Digitale Einbrüche lassen sich auch vermeiden, indem wir uns – wider unsere erwähnte Bequemlichkeit – komplexere Passwörter als „123456“ einfallen lassen. In Zukunft werden sich wohl ohnehin sogenannte „Passphrasen (also ganze Passwort-Sätze) durchsetzen, die für den Benutzer einerseits einprägsamer und andererseits erst noch viel schwieriger zu knacken sind. Leider lassen noch nicht alle Systeme so lange Kennwörter zu.
Unternehmen können sich mit Wissen über die aktuelle Bedrohungslage bewaffnen und sich gegen Angriffe wappnen, indem sie z.B. einen der „Hacking Days“ von Digicomp besuchen, bei denen Experten ihr Wissen teilen. Dabei werden typische Firmen mit gängiger IT-Infrastruktur ins Visier genommen und sich gemeinsam die Frage gestellt: „Was würde ein Hacker mit unserem Unternehmen machen?“
Schlussendlich sei aber doch noch auf die „guten Hacker“ hingewiesen; damit sind die ethischen Experten gemeint, die es sich zur Aufgabe machen, andere zu schützen, anstatt Schaden anzurichten. Dank ihrem Know-how lernen Unternehmen mittels Schulungen, dass jeder Mitarbeitende seinen Teil zur Sicherheit beitragen kann. Denn in unserer immer digitaler werdenden Welt kommen wir nicht umhin, dem Thema Cyber Security den gebührenden Respekt zu zollen.