Cyberangriff auf die IHKs

Cyberabwehr – die letzte Verteidigungslinie gegen Hacker – Fachinformation für Entscheider

IT-Systeme gegen jeden Cyberangriff vollständig abzusichern ist heute nicht mehr möglich. Um das Vertrauen in digitale Technologien und Prozesse zu erhalten, wird es daher immer wichtiger, dass Unternehmen Angriffe auf ihre Systeme rechtzeitig erkennen und aktiv abwehren können. Wie eine schlagkräftige Cyberabwehr funktioniert, zeigen Beispiele aus der ITK-Branche.

19. Dezember 2019: Die Website der Stadt Frankfurt ist offline, Ämter werden geschlossen, Bibliotheken leihen keine Bücher mehr aus. Der Grund: Ein Mitarbeiter eines Bürgeramts hat einen E-Mail-Anhang mit der gefährlichen Malware Emotet geöffnet und seinen Rechner infiziert. Zum Glück schlägt die Antivirensoftware Alarm – und das IT-Team der Stadt reagiert schnell. Die Spezialisten fahren vorübergehend alle Systeme herunter und verhindern so Schlimmeres.

Emotet ist nur ein Beispiel für die immer ausgefeilteren Angriffsmethoden von Cyberkriminellen. Die Zahl der Cyberangriffe nimmt zudem stetig zu. So verzeichnete die Deutsche Telekom im Januar 2020 fast 18-mal so viele bösartige Zugriffe auf ihre Infrastruktur wie noch im Frühjahr 2017. Laut Digitalverband Bitkom 1) verursachten Hacker in der deutschen Wirtschaft einen Schaden von 100 Milliarden Euro pro Jahr. Entsprechend wählten die Teilnehmer einer Umfrage des Versicherungskonzerns Allianz Cybervorfälle zum größten Unternehmensrisiko für 2020 2).

Einsatzzentrale gegen Eindringlinge

Die große Herausforderung für Unternehmen, Behörden und andere Organisationen: Sie müssen jedes ihrer Systeme und Netze zu jedem Zeitpunkt sorgfältig sichern. Ein Hacker braucht dagegen nur eine einzige temporäre Schwachstelle. Aus diesem Grund reichen vorbeugende Sicherheitsmaßnahmen wie Firewalls und Virenscanner schon lange nicht mehr aus. Sie können zum Beispiel durch eine Phishing-Mail leicht umgangen werden. Unternehmen müssen daher eine Cyberabwehr aufbauen, um Hackerangriffe frühzeitig zu erkennen und schnell und effizient abzuwehren.

Die Spur des Hackers Fortgeschrittene und komplexe Cyberangriffe bestehen üblicherweise aus mehreren aufeinanderfolgenden Phasen, die von Experten als „Cyber Kill Chain“ bezeichnet werden: Reconnaissance: Der Angreifer sammelt Informationen über sein Ziel.

Attack Delivery: Der Hacker übermittelt Schadsoftware, etwa über bösartige Mails.

Exploit & Install: Die Schadsoftware wird ausgeführt – etwa durch Klick auf einen Mailanhang – und installiert.

Command & Control: Der Angreifer steuert die Schadsoftware über einen Server von außen.

Local Compromize: Der Hacker erweitert seine Fähigkeiten im internen Netz, zum Beispiel indem er Zugangsdaten ausspäht oder weitere Schadsoftware installiert.

Internal Reconnaissance: Dank seiner neuen Fähigkeiten kundschaftet der Gegner die interne IT aus.

Lateral Movement: Nun kann der Eindringling weitere Systeme infizieren und kompromittieren.

Actions & Exfiltration: Erst jetzt erreicht der Hacker sein eigentliches Ziel: Er spioniert zum Beispiel Geschäftsdaten aus oder zerstört kritische Systeme.

Die IT- und Kommunikationsbranche betreibt seit vielen Jahren Security Operations Center (SOC) oder Cyber Defense Center (CDC), die diese Aufgabe wahrnehmen: Die Telekom Security zum Beispiel verfügt über eines der größten und modernsten Cyberabwehrzentren in Europa. Rund um die Uhr überwachen hier circa 200 Experten die Sicherheit der Systeme der Telekom und ihrer Kunden. Pro Tag analysiert das Zentrum etwa 2,5 Milliarden Hinweise auf mögliche Sicherheitsvorfälle. Ziel ist es, einen Angriff zu erkennen und abzuwehren, bevor ein nennenswerter Schaden entstanden ist. Die Detektion und Abwehr gliedern sich in drei Schritte: Datenbasis herstellen, Datenanalyse und Vorfallerkennung, Angreifer abwehren.

Schritt 1: Datenbasis herstellen

Eine effektive Cyberabwehr nutzt zwei unterschiedliche Datentypen: relevante Event-Daten aus den IT-Systemen und Sensoren des Unternehmens sowie Kontextinformation aus externen Quellen. Erstere stammen zum Beispiel aus Sicherheitssystemen wie Antiviren-Systemen oder Firewalls, aber auch aus den Protokolldaten von Applikationen und Server-Betriebssystemen. Hinzu kommen spezielle Sensoren, die zum Beispiel Auffälligkeiten im Datenverkehr des Firmennetzes erkennen können.

Ist ein bestimmtes Ereignis auf einen Security-Vorfall zurückzuführen? Um das zu klären, braucht es Kontextinformationen aus der sogenannten Threat Intelligence. Security-Dienstleister, Forschungseinrichtungen, Behörden oder andere Cyberabwehrzentren erheben und teilen diese Art von Daten, um ihre Gegner besser zu verstehen. Die Informationen beinhalten zum einen Erkenntnisse aus der Analyse vergangener Angriffe und der dabei eingesetzten Schadsoftware. Zum anderen behalten Experten stets einschlägige Internetforen und soziale Medien im Blick. Dort tauschen sich Hacker oft über neuentdeckte Schwachstellen und Angriffsmethoden aus. Entsprechende Chats lassen sich über Schlagwörter wie „Exploit“ identifizieren.

Schritt 2: Datenanalyse und Vorfallerkennung

Die Datenbasis für die Angriffsdetektion ist meist extrem groß und heterogen. Eine Echtzeitanalyse ist daher nur möglich, wenn die Daten automatisiert verarbeitet und korreliert werden. Dafür kommen sogenannte Security Information and Event Management (SIEM) Systeme zum Einsatz. Anhand des typischen Ablaufs eines Angriffs (siehe Kasten) und der Threat-Intelligence-Informationen modellieren Sicherheitsexperten Angriffe, leiten Indizien für bestimmte Detektionsszenarien ab und übersetzen diese in Algorithmen für das SIEM-System.

Ein Beispiel: Erreichen das Unternehmen vermehrt Mails mit unbekannten oder ausführbaren Dateianhängen und erfolgt zeitnah der Aufbau einer Kommunikation ins Internet, besteht eine hohe Wahrscheinlichkeit für einen digitalen Einbruch. Das Analysesystem gibt sofort einen Alarm aus.

Nicht bei jedem Alarm handelt es sich um einen kritischen Sicherheitsvorfall. Ein Team von Security-Analysten steht daher rund um die Uhr bereit, um die Alarme zu verifizieren und anhand ihrer Priorität zu bearbeiten. Ein Level1-Analyst filtert zunächst Fehlalarme heraus und leitet bei bestätigten Vorfällen Sofortmaßnahmen ein. In unklaren Fällen übergibt er an Level-2- oder Level-3-Spezialisten. Diese führen weitere Analysen durch – in der Regel in enger Abstimmung mit dem IT-Betrieb.

Schritt 3: Angreifer abwehren

Ist der Angriff einmal erkannt, geht es darum, möglichst schnell und effektiv zu reagieren. Incident-Response-Experten stehen in dieser Phase der IT-Organisation zur Seite, um angemessene Maßnahmen zur Eindämmung und Beseitigung eines Angriffs einzuleiten und potenziell ausgefallene IT-Systeme wiederherzustellen. Bei besonders schwierigen oder kritischen Fällen hilft ein IT-Forensiker. Dieser digitale Detektiv versucht herauszufinden, wie ein Hacker vorgegangen ist, und sichert Beweise.

Eigenbetrieb oft zu teuer

Eine erfolgreiche Cyberabwehr benötigt also effektive Detektions- und Analysetools, ein rund um die Uhr verfügbares, qualifiziertes Expertenteam und den kontinuierlichen Informationsaustausch mit anderen Akteuren eines Security-Ökosystems. Daher ist für viele Unternehmen der Aufbau und Betrieb eines eigenen Cyberabwehrzentrum zu komplex und zu teuer. Als Alternative lassen sich einzelne Aufgaben – zum Beispiel die Level-1- und Level-2- Analyse – oder auch die gesamte Detektion und Unterstützung bei der Vorfallbehebung auslagern.

Telekom Security hilft Unternehmen dabei, eine für sie passende Cyber-Defense-Strategie zu entwickeln und umzusetzen. Die Telekom schöpft dazu wertvolles Wissen aus der Cyberabwehr für ihre eigene Infrastruktur und viele andere Kunden sowie aus den vielfältigen Kontakten zu Behörden und anderen Netzbetreibern. Jeder Kunde profitiert unmittelbar von diesem Netzwerk, das durch jedes neue Mitglied noch stärker wird.

Nachholbedarf im Mittelstand

Der Finanzsektor sowie viele große Unternehmen anderer Branchen haben bereits erfolgreich Cyberabwehrzentren installiert oder sind dabei, diese aufzubauen. Besondere Anforderungen gelten dabei für Betreiber kritischer Infrastrukturen wie Telekommunikation oder

Energieversorgung, die auch ihre Anlagen vor Angriffen schützen müssen. Auch für den Automobilbereich gibt es bereits branchenspezifische Lösungen 3). Anders bei kleinen oder mittleren Unternehmen: Trotz ausreichend verwertbarer Daten fehlt vielfach eine automatisierte Datenanalyse sowie ausreichend Personal zur Behandlung der Alarme.

Wir empfehlen Unternehmen jeder Größe und Branche eine angepasste Angriffsdetektion und -abwehr. Nur so können Unternehmen, Mitarbeiter und Kunden den Weg in die Digitalisierung sicher und vertrauensvoll beschreiten.

Quellen:

1) Bitkom, „Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr“, November 2019,

2) Allianz, „Allianz Risk Barometer“, Januar 2020

3) T-Systems, „Cyberabwehr für das vernetzte Fahrzeug“, 2018,

Sicherheitsberatung SIUS Consulting

Laut dem Branchenverband „Bitkom“ steigt die Zahl der Cyberangriffe und damit auch der Schaden: 43 Milliarden Euro etwa betrug er in Deutschland in den Jahren 2017 und 2018. Angegriffen wurden sieben von zehn Unternehmen. Neun von zehn Cyberangriffen starten mit E-Mails, die bösartige Programme ins interne Netzwerk speisen und im schlimmsten Fall das ganze Unternehmen lahmlegen. Bei der zunehmenden Automatisierung von solchen Angriffsmethoden ist die Frage nicht mehr, ob ein Angriff kommt, sondern wann.

Wir leben im Zeitalter ständiger Erreichbarkeit und kommunizieren digital auf vielfältigen Kanälen wie Videotelefonie, E-Mail, Messenger und in sozialen Medien und Foren. Die E-Mail ist seit den 90er Jahren des vergangenen Jahrhunderts fester Bestandteil der Kommunikation zwischen Menschen, aber auch zwischen Unternehmen und hat sich als Kommunikationsstandard etabliert.

Angreifer konzentrieren sich in den letzten Jahren bevorzugt auf kleine und mittelständische Unternehmen, da sie dort kaum Abwehrmechanismen erwarten und leichtes Spiel mit ihren Opfern haben.

Wie kommt es zu einem Cyberangriff bzw. einer Cyberattacke?

EIN BEISPIEL: Es ist Jahresabschluss, das ganze Team steht unter Stress und im Postfach landet eine E-Mail aus der Buchhaltung mit der Bitte, die Zahlen im Anhang umgehend zu prüfen. Dass der Absendername etwas anders als sonst aussieht, fällt dem Empfänger nicht weiter auf – und schon ist der Anhang geöffnet.

GEFAHREN DER E-MAIL-KOMMUNIKATION

Im Jahr 2017 gelangte die Ransomware „NotPetya“ per E-Mail in das interne Netz des weltgrößten Containerversenders Maersk. Ransomware sind Erpressungstrojaner, die Daten abgreifen und die Nutzung ganzer Systeme ausschalten können. Meist wird gegen die Zahlung von Bitcoins die Rückgabe der Daten und die Freischaltung des Systems versprochen. Im Fall von Maersk dauerte es zehn Tage, die 4.000 infizierten Server mit 45.000 angeschlossenen PCs und 2.500 Programmen wiederherzustellen. Der wirtschaftliche Schaden war immens.

Neben den entstandenen Kosten können bei einem Cyberangriff auch andere Folgen entstehen: geistiges Eigentum kann kopiert werden oder abhandenkommen, kostenintensive Versuchsreihen müssen erneut umgesetzt werden, Gerichtsverfahren können anhängig sein, Produktionsprozesse werden unterbrochen und Produkte beschädigt, was zu einer Verknappung am Markt führen kann.

Auch intern sind vor allem unverschlüsselte E-Mails ein Sicherheitsrisiko. Selbst geschulte Mitarbeiter erkennen nicht jede fingierte E-Mail oder öffnen doch eine Spam-Mail, da Spammer mittlerweile sehr geschickt vorgehen. Selbst Führungskräfte und IT-Administratoren sind nicht sicher. Denn hier ist nicht nur die Gefahr eines Cyberangriffs gegeben, sondern Sabotage und Spionage können hier ihren Ursprung nehmen.

ALTERNATIVEN ZUR E-MAIL: EFFIZIENZSTEIGERUNG DURCH MODERNE KOMMUNIKATION

Neben dem klassischen Brief, der heute gerne als „Snail Mail“ degradiert wird und dem Fax, das vor allem von Anwälten noch aus rechtlichen Gründen genutzt wird, ist die E-Mail überall präsent. Doch wer kennt es nicht – ewig lange Antwortketten per E-Mail, in denen jeder noch mal zustimmt, verstopfen das Postfach – genauso wie eine Unzahl an Newslettern. Im Privatgebrauch sind Messenger mit Gruppenfunktionen längst Standard, um Verabredungen und Veranstaltungen zu planen sowie Freundschaften zu pflegen – aber wie sieht es in der Geschäftswelt aus? Mit den Ansprüchen der jungen Generation an schnellem Austausch und vielfältigem Medieneinsatz stehen moderne Unternehmen vor einem Problem. Viele junge Erwachsene sind mit dem Smartphone in der Hand aufgewachsen und haben andere Kommunikationsroutinen als ältere Generationen.

HERAUSFORDERUNGEN BEI MESSENGERN

Die Nutzung von privaten Messengern mit Diensthandys bzw. die dienstliche Kommunikation über private Mobiltelefone gestaltet sich rechtlich schwierig, da Kunden- und Unternehmensinformationen über unsichere Plattformen ausgetauscht werden. Zum einen entsteht eine sogenannte „Schatten-IT“, über die das Unternehmen und die IT-Abteilung keine Kontrolle hat. Somit kann nicht sichergestellt werden, dass die Governance- Regeln des Unternehmens bzw. der IT-Sicherheit eingehalten werden. Im Fall eines Datenverlusts ist so nicht klar definiert, wer die Verantwortung übernimmt. Zum anderen ist der Gebrauch von privaten Messengern nicht immer konform mit der EU-Datenschutzgrundverordnung (EU-DSGVO), da der Zugriff auf das gesamte Adressbuch des Nutzers gewährt wird.

Das bedeutet, dass Kundendaten an den jeweiligen Konzern weitergeleitet werden könnten, ohne dass die Personen im Adressbuch damit einverstanden sind, was wiederum eine Abmahnung des Unternehmens zur Folge haben könnte. Eine moderne und effiziente Alternative zur E-Mail und privaten Messengern sind sogenannte Kollaborationsplattformen. Hier können in Einzelgesprächen Inhalte zügig erledigt und in Gruppen allgemeine Themen besprochen werden. Zustimmungen oder Ablehnungen lassen sich durch Kommentare in Form von Emojis oder Abstimmungen transparent aufzeigen. Auch Sprachanrufe, Videotelefonie und das Teilen von Anhängen findet in einer sicheren Umgebung statt. Dank einer Ende-zu-Ende-Verschlüsselung kann von außen niemand mehr mitlesen und kritische Daten und Firmengeheimnisse sind stets geschützt.

VERHALTEN IM FALLE EINES CYBERANGRIFFS / EINER CYBERATTACKE

Grundsätzlich ist der Einsatz von Verschlüsselung anzuraten, von denen es verschiedene Level gibt. Denn gerade im Ereignisfall, wenn alle damit beschäftigt sind, wieder Herr der Lage zu werden, den Fehler zu finden und zu beheben, kommt es zu einer Vielzahl von Kommunikationsvorgängen auf unterschiedlichsten Wegen. Gerade dann wird eine „sichere Kommunikation“ vernachlässigt, denn es muss alles schnell gehen. Doch vielleicht hat der Angreifer gerade darauf gewartet, den schwachen Moment auszunutzen oder andere Hacker werden auf das Unternehmen aufmerksam. Insbesondere für diese Fälle sollten Unternehmen sichere Kollaborationsplattformen bereithalten, denn eine sichere Kommunikation kann über Gedeih und Verderb eines Unternehmens entscheiden. Ein Umstieg von E-Mail auf Kollaborationsplattform ist ein Weg zu sicherer Kommunikation, effizienter Arbeit und einer Modernisierung des Unternehmens.

NOTFALLPLAN CYBERANGRIFF / CYBERATTACKE

1. VERTEIDIGUNGSSTRATEGIEN ERARBEITEN

Überlegen Sie, wie Sie sich verteidigen bzw. schützen können. Nutzen Sie Ende-zu-Ende- Verschlüsselung für die Kommunikation mit unabhängigen Schlüsseln, so dass Hacker mit nur einem Teil des Schlüssels nicht viel anfangen können.

2. BUSINESS-CONTINUITY PLAN ÜBERPRÜFEN UND DEFINIEREN

Überprüfen Sie ihr betriebliches Kontinuitätsmanagement. Wenn ihre IT-Systeme das Backup in der Cloud haben und die IT lokal basiert ist, wie lange dauert es, die IT nach einem Angriff wiederherzustellen und vollumfänglich einsatzfähig zu machen?

3. GEHEN SIE IHRE KOMMUNIKATIONS- UND KOLLABORATIONSBEDÜRFNISSE DURCH

Stellen Sie sicher, dass die Kommunikation im Fall eines Angriffs widerstandsfähig ist oder über ein sicheres Backup verfügt, falls der Rest des Netzwerks kompromittiert ist. Gerade wenn das Netzwerk angegriffen wird, muss sichergestellt sein, dass eine Zusammenarbeit und ein Informationsaustausch trotzdem funktioniert.

4. MITARBEITERSENSIBILISIERUNG UND NOTFALLVERFAHREN KENNEN

90 % der Angriffe starten mit einer E-Mail im Postfach eines Mitarbeiters. Meist werden solche E-Mails aus Unwissenheit des Mitarbeiters geöffnet und der verbreitete Virus kann im Ernstfall Daten löschen oder sogar das ganze IT-System lahmlegen. Jeder einzelne Mitarbeiter sollte daher sowohl zum Thema Datenschutz und EU-DSGVO geschult werden als auch darüber, was zu tun ist, wenn es wirklich zu einem Cyberangriff kommt.

5. REVISION DES NOTFALLPLANS

Prüfen Sie Ihren Notfallplan jährlich und machen Sie dessen Umsetzung für alle Mitarbeiter zum Teil des Betriebsalltags.

Cyberangriff auf die IHKs

Anfang August gab es eine Cyber-Attacke auf die IT-Systeme der IHKs. Zeitweise wurden alle Systeme heruntergefahren. Inzwischen ist die IHK wieder vollumfänglich erreichbar und online. Mit Unterstützung spezialisierter, vom Bundesamt für Sicherheit in der Informationstechnik zertifizierter IT-Experten, konnten darüber hinaus einige Services wiederhergestellt werden.

Update Die elektronisch Antragstellung für Ursprungszeugnisse (e-UZ) ist wieder möglich. Einige unserer weiteren Online-Services funktionieren noch nicht. Senden Sie uns jedoch gerne eine Mail, rufen Sie uns an, senden Sie uns Ihre Unterlagen postalisch oder besuchen Sie uns an unseren Standorten.

WARNUNG Die Cyberattacke auf die IHK-Organisation könnte mit hoher Wahrscheinlichkeit Trittbrettfahrer auf den Plan rufen, die Pishing, Social-Engineering und andere Versuche zum Ausnutzen der aktuellen Situation einsetzen werden. Mitgliedsunternehmen sowie ehrenamtliche Mitarbeitende sollten aus diesem Grund besonders wachsam im Umgang mit (vermeintlichen) E-Mails der IHK sein. Zuletzt wurde beispielsweise vor einer Neuanmeldung bei einer angeblichen “IHK Deutschland” gewarnt. Weitere Warnungen gibt es zu Emails, die vortäuschen, von service@ihk24.de versendet worden zu sein. Hier wird zu einer direkten Löschen bei E-Mails von dieser Absenderadresse, die dazu auffordern, sich bei einer IHK neu zu identifizieren, geraten.

Wenn Zweifel bestehen, ob eine E-Mail tatsächlich aus der IHK stammt, sollte zur Absicherung eine kurze telefonische Klärung stattfinden.

Nach einem Cyberangriff stand die digitale Kommunikation der IHK Südlicher Oberrhein für einige Tage still – Telefon, Homepage und Emailsysteme waren lahm gelegt. “Unser Computer Emergency Response Team (CERT) hatte am 3. August Alarm geschlagen und als Sofortmaßnahme die zentrale Sperrung der IT-Systeme veranlasst, um einen möglichen Schaden durch die Angreifer zu vermeiden”, sagt Jens Fröhner, der die Themen IT-Systeme für die IHK Südlicher Oberrhein sowie für alle Kammern in Baden-Württemberg verantwortet. Mit diesem Shutdown ist die IHK-Organisation der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) gefolgt. Die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen hat mittlerweile die Ermittlungen übernommen. Die Ergebnisse der IT-Forensik zeigen, dass der Angriff von langer Hand vorbereitet wurde. Die von den Hackern eingesetzten Werkzeuge zur Manipulation sind hochentwickelt. Die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen hat inzwischen mitgeteilt, dass sie dem Anfangsverdacht der Computersabotage nachgeht. Ob bei dem Vorfall Daten abgeflossen sind, ist Gegenstand von Ermittlungen. Ein Erpresserschreiben liegt nicht vor.

Für die rund 70.000 Mitglieder der IHK hat das unterschiedliche Auswirkungen. Für Ausbildungsbetriebe ist die Eintragung neuer Ausbildungsverhältnisse nicht digital möglich – daher hat die IHK mehrere hundert Betriebe postalisch angeschrieben und kurzerhand wieder den manuellen Bearbeitungsweg gewählt. Die Anmeldung zu IHK-Veranstaltungen erfolgt statt auf der Website nun über Xing, per Telefon oder per Mail.

Auf der Website sowie über Social Media informiert die IHK derzeit über die aktuellen Entwicklungen.

Eine Übersicht der Kommunikationskanäle steht auf der IHK-Website bereit.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels