Cybercrime: Angriffsszenarien werden noch gefährlicher

Wo früher Einzelpersonen mit nächtelang selbst entwickelter Schadsoftware individuelle Angriffe starteten, treten heute bestens organisierte Gruppierungen auf. Ihr Vorgehen ist hochprofessionell und systematisch. Sie überziehen ihren „Markt“ mit wellenartigen Attacken und greifen konsequent zu, sobald einer der Angegriffenen Schwächen zeigt.

Generative KI-Anwendungen wie Chat-GPT spielen den Kriminellen dabei in die Hände. Angreifer können authentischere Nachrichten verfassen, Schreibstile exakt nachempfinden, die Sprache und mittlerweile auch Stimmen besser imitieren und Chatbots einsetzen, die menschliche Gesprächsverläufe glaubwürdig nachstellen. Die Erfolgsquote solcher Attacken steigt, denn der Betrugsversuch ist auf Anhieb kaum zu erkennen.

Ransomware bleibt eine der gefährlichsten Bedrohungen und wird immer brutaler. Angreifer arbeiten zunehmend mit kriminellen Netzwerken zusammen. Sie operieren oft mit „Affiliate“-Modellen, bei denen sie ihre Malware an Dritte verkaufen oder vermieten. Ziel ist es, Ransomeware im IT-System eines Unternehmens zu platzieren. Einfallstor in das Kundensystem sind

• neben vorausgehenden Phishing-Attacken mit schadhaften Datei-Anhängen oder Weblinks
• Schwachstellen beim unternehmerischen Zugriff auf Cloud-Server sowie
• das industrielle Internet der Dinge (IIoT). Eigentlich für die Überwachung und Steuerung von Funktionen in der Produktion und der Fertigung gedacht, lassen sich damit detaillierte Daten in Echtzeit gewinnen, weiter verarbeiten und auswerten. Die Transparenz einer ganzen Lieferkette kann sichergestellt werden – das Gefahrenpotenzial für die Cybersicherheit liegt auf der Hand.

Ist die Schafsoftware erst einmal installiert, kann der Hacker den Zugang zum System verschlüsseln und das Unternehmen damit erpressen. Zwar setzen viele Unternehmen spezielle Erkennungstools ein, die Ransomware identifizieren und deren Installation verhindern sollen – doch Cyberkriminelle passen sich solchen technischen Neuerungen kontinuierlich an.

Lieferketten stellen eine weitere Schwachstelle dar. Angegriffene Lieferanten und Abnehmer können durch Cyberattacken ausfallen. Schlimmer noch: Die Cyberkriminellen kommen mit den erbeuteten Daten von Geschäftspartnern schnell ins Netz des Abnehmers bzw. Lieferanten. Deshalb gehen immer mehr Unternehmen dazu über, die Cybersecurity ihrer Partner in die eigene Sicherheitsstrategie einzubeziehen.

Welche Kriterien dabei im Einzelnen anzulegen sind, kann nur anhand der konkreten Gefährdungslage entschieden werden. Kernfragen an Geschäftspartner dürften in jedem Fall sein

• die technischen Sicherungssysteme inkl. eines Recovery-Notfallplans,
• Vorkehrungen wie z.B. die Datensicherung und natürlich
• die Schulung der Mitarbeiter.

Es zeichnet sich bereits jetzt der Trend ab, dass diese Aspekte bei der Auswahl von Geschäftspartnern eine ähnlich wichtige Rolle spielen werden wie Qualität, Lieferfähigkeit und Preis. Investitionen in die Cybersicherheit werden damit zur Voraussetzung für Geschäftsabschlüsse – ganz unabhängig davon, wie ein Unternehmen selbst zu solchen Maßnahmen steht. Sie sind alternativlos

Weil die IT-technischen Sicherungsmaßnahmen gegen Ransomware immer effektiver werden, wählen Kriminelle den Weg des geringsten Widerstands: Sie umgehen die Sicherheitssysteme und nehmen dafür verstärkt Mitarbeiter von Unternehmen ins Visier. Täter geben sich beim Phishing unter anderem als Headhunter auf Social-Media-Plattformen aus und sind mit falschen Identitäten als Anwälte, Steuerberater oder sonstige vertrauenswürdige Personen unterwegs.

Selbst vor der Infiltration seitens Komplizen und der Erpressung oder Bestechung von Mitarbeitern machen Kriminelle nicht halt. So schleusen sie USB-Sticks mit einer Schadsoftware ein, um das interne System zu infizieren. Vertrauliche E-Mails werden durch die Betrüger mitgelesen und verändert. So erhalten Abnehmer die Information, dass sich die Bankverbindung geändert hat und die Überweisung auf das neue Konto erfolgen möge – natürlich auf das Konto der Betrüger. Ehe dies durch Mahnungen auffliegt, sind alle Spuren beseitigt und das Geld ist weg.

Aufmerksame, für die Gefahrenlage und verdächtige Vorgänge sensibilisierte Mitarbeiter, die an entsprechenden Schulungen und Übungen teilnehmen, können diese Taktiken durchschauen. Schon der einfache Rückruf beispielsweise, ob sich die Bankverbindung des Lieferanten tatsächlich geändert hat, kann Schlimmeres verhüten. Auch durch den regelmäßigen kollegialen Austausch im Unternehmen über selbst erlebte oder beobachtete Cybercrimeversuche werden viele Phishing-Angriffe im Keim erstickt.

Die Gefahren durch Cyberattacken lassen sich durch geeignete Maßnahmen minimieren, aber nicht völlig ausschließen. Doch selbst wenn es dazu kommt, muss dies keine Katastrophe bedeuten – vorausgesetzt, das Unternehmen ist auf den Worst Case vorbereitet. Die Frage „Was sollen wir jetzt tun?“ muss schon im Vorfeld beantwortet werden, nicht erst dann, wenn alles stillsteht.

„Incident Response“ lautet die Bezeichnung für den Notfallplan, der alle denkbaren Auswirkungen eines Cyberangriffs durchspielt und Handlungsmöglichkeiten aufzeigt – nicht nur auf dem Papier, sondern idealerweise auch in Partnerschaften mit Cyber-Security-Unternehmen. Im Schadensfall sollten Experten wie IT-Forensiker schnell zur Stelle sein, um zu retten, was zu retten ist.

Aufschlussreich kann auch das sogenannte „Pentesting“ sein. Dabei simulieren IT-Sicherheitsexperten einen Angriff von außen und versuchen, mit den aktuellen Techniken der Kriminellen in das eigene System einzudringen. So können Lücken in der Verteidigung aufgezeigt und dann geschlossen werden.

Weitere Hilfen zur Selbsthilfe für mehr Informationssicherheit im Unternehmen bietet der "IT-Grundschutz" des Bundesamtes für Sicherheit in der Informationstechnik.