Cybercrime: Angriffsszenarien mutieren und werden noch gefährlicher

Da Großunternehmen immer schwerer zu hacken sind, stellen sich Kriminelle neu auf und nehmen leichtere Ziele ins Visier. Wo früher Einzelpersonen mit nächtelang selbst entwickelter Schadsoftware individuelle Angriffe starteten, treten heute bestens organisierte Gruppierungen auf. Ihr Vorgehen ist hochprofessionell und systematisch. Sie überziehen ihren „Markt“ mit wellenartigen Attacken und greifen konsequent zu, sobald einer der Angegriffenen Schwächen zeigt.

Viele Unternehmen haben bereits hohe Summen an Cyberkriminelle gezahlt, um wieder Zugriff auf ihr durch Ransomware verschlüsseltes System zu bekommen. Oft sind solche Erpressungsgelder das kleinere Übel im Vergleich zu einem weiteren Stillstand der Produktion, dem drohenden Verlust von Kunden und dem Reputationsschaden. Das Problem: Auch nach einer Lösegeldzahlung gibt es keine Sicherheit, dass z.B. kopierte Daten nicht doch noch im Darknet verkauft oder weitere Forderungen nachgereicht werden.

Doch Unternehmen sind solchen Machenschaften nicht wehrlos ausgesetzt. So kann etwa das NIST Cybersecurity Framework (NIST CSF) Unternehmen eine gute Orientierung geben, um ihr Cyber-Security-Programm zu starten oder zu verbessern. Das Framework ist durch fünf Schlüsselfunktionen definiert:

• Identifizieren,
• Schützen,
• Erkennen,
• Reagieren
• Wiederherstellen.

In der Gesamtbetrachtung aller fünf Begriffe gibt das NIST Cybersecurity Framework einen umfassenden Überblick über die aufeinander aufbauende Abfolge von Aktivitäten, um Cybersicherheitsrisiken zu begegnen.

Standards wie NIST CSF ¹ helfen bei Planung und Durchführung von Informationssicherheitsmaßnahmen

Weitere Hilfen zur Selbsthilfe für mehr Informationssicherheit im Unternehmen bietet der „IT-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik.

Weil die IT-technischen Sicherungsmaßnahmen gegen Ransomware immer effektiver werden, wählen Kriminelle den Weg des geringsten Widerstands: Sie umgehen die Sicherheitssysteme und nehmen dafür verstärkt Mitarbeiter von Unternehmen ins Visier. Laut BSI stellt Phishing bei E-Mails mit betrügerischem Hintergrund den größten Anteil (84%) dar.²

Beim Phishing geben sich die Täter unter anderem als Headhunter auf Social-Media-Plattformen aus und sind mit falschen Identitäten als Anwälte, Steuerberater oder als sonstige vertrauenswürdige Personen unterwegs. Oft wird auch der Internetauftritt von Banken und anderen Finanzdienstleistern gefälscht, um unter einem Vorwand sensible Zugangsdaten abzugreifen. Selbst vor der Infiltration seitens Komplizen und der Erpressung oder Bestechung von Mitarbeitern machen Kriminelle nicht halt. So schleusen sie USB-Sticks mit einer Schadsoftware ein, um das interne System zu infizieren. Vertrauliche E-Mails werden durch einen vermeintlichen Kollegen mitgelesen und schrittweise verändert. So erhalten Abnehmer die Information, dass sich die Bankverbindung geändert hat und die Überweisung auf das neue Konto erfolgen möge – natürlich auf das Konto der Betrüger. Ehe dies durch Mahnungen auffliegt, sind alle Spuren beseitigt und das Geld ist weg.

Besonders perfide ist die als „CEO-Fraud“ bezeichnete Taktik: Kriminelle geben sich als Führungskraft aus, die ebenso dringend wie vertraulich Informationen verlangt oder Transaktionen veranlasst. Generative KI-Anwendungen wie Chat-GPT spielen den Kriminellen dabei in die Hände. Die Erfolgsquote der Attacken steigt, wenn Mitarbeiter mit Zugang zu vertraulichen Informationen kurz vor Feierabend eine authentisch anmutende E-Mail von einer vermeintlichen Führungskraft erhalten. Der Schreibstil ist täuschend echt, das Anliegen dringend und die Mitarbeiter wollen einfach nur noch nach Hause. Schon wird die verlangte Transaktion veranlasst.

Aufmerksame und für die Gefahrenlage sensibilisierte Mitarbeiter, die an entsprechenden Schulungen und Übungen teilnehmen, können diese Taktiken durchschauen. Schon der einfache Rückruf beispielsweise, ob sich die Bankverbindung des Lieferanten tatsächlich geändert hat, kann Schlimmeres verhüten. Auch durch den regelmäßigen kollegialen Austausch im Unternehmen über selbst erlebte oder beobachtete Cybercrime-Versuche lassen sich viele Phishing-Angriffe im Keim ersticken.

Die zuletzt durch Corona und Geopolitik ohnehin kritischen Lieferketten stellen eine weitere Schwachstelle dar. Angegriffene Lieferanten und Abnehmer können durch Cyberattacken ausfallen. Schlimmer noch: Die Cyberkriminellen kommen mit den erbeuteten Daten von Geschäftspartnern schnell ins Netz des Abnehmers bzw. Lieferanten – wie bei der Verbreitung einer Infektion.

Deshalb gehen immer mehr Unternehmen dazu über, die Cyber-Security ihrer Partner in die eigene Sicherheitsstrategie einzubeziehen. Welche Kriterien dabei im Einzelnen anzulegen sind, kann nur anhand der konkreten Gefährdungslage entschieden werden. Kernfragen dürften in jedem Fall die technischen Sicherungssysteme, Vorkehrungen wie die Auslagerung von Daten und natürlich die Schulung der Mitarbeiter sein. Es zeichnet sich bereits jetzt der Trend ab, dass diese Aspekte bei der Auswahl von Geschäftspartnern eine ähnlich wichtige Rolle spielen werden wie Qualität, Lieferfähigkeit und Preis. Investitionen in die Cybersicherheit werden damit zur Voraussetzung für Geschäftsabschlüsse – ganz unabhängig davon, wie ein Unternehmen selbst zu solchen Maßnahmen steht. Sie sind alternativlos.

Die Gefahren durch Cyberattacken lassen sich durch geeignete Maßnahmen minimieren, aber nicht völlig ausschließen. Doch selbst wenn es dazu kommt, muss dies keine Katastrophe bedeuten – vorausgesetzt, das Unternehmen ist auf den Worst Case vorbereitet. Die Frage „Was sollen wir jetzt tun?“ muss schon im Vorfeld beantwortet werden, nicht erst dann, wenn alles stillsteht.

„Incident Response“ lautet die Bezeichnung für den Notfallplan, der alle denkbaren Auswirkungen eines Cyberangriffs durchspielt und Handlungsmöglichkeiten aufzeigt – nicht nur auf dem Papier, sondern idealerweise auch in Partnerschaften mit Cyber-Security-Unternehmen. Im Schadensfall sollten Experten wie IT-Forensiker schnell zur Stelle sein, um zu retten, was zu retten ist.

Aufschlussreich kann auch das so genannte „Pentesting“ sein. Dabei simulieren IT-Sicherheitsexperten einen Angriff von außen und versuchen, mit den aktuellen Techniken der Kriminellen in das eigene System einzudringen. So können Lücken in der Verteidigung aufgezeigt und dann geschlossen werden.