Wachsende Bedrohung: 70% der Schweizer Industriefirmen Opfer von Cyberattacken
Laut einer Studie der Allianz-Versicherung stellen Cyberangriffe weltweit die grösste Bedrohung für Unternehmen dar. Die Sorge vor Ransomware-Angriffen, Datenschutzverletzungen oder IT-Ausfällen wächst auch in der Schweiz stetig.
Wie eine aktuelle Umfrage, die der Industrieverband Swissmen gemeinsam mit der Universität Bern erstellt hat, zeigt, wurden in den vergangenen zwei Jahren rund 70 % der Schweizer Industrieunternehmen Opfer von Cyberangriffen. Die Dunkelziffer dürfte jedoch weitaus höher sein, da viele Unternehmen aus Angst vor Reputationsschäden davor zurückschrecken, solche Angriffe öffentlich zu machen. Vor allem kleine und mittelständische Unternehmen, die oftmals nicht so umfassend geschützt sind wie Grossunternehmen, werden derzeit gezielt von Hackern ins Visier genommen. Gerade deshalb sind einfach zu implementierende Sicherheitssysteme, die mit den perfiden Taktiken der Cyberkriminellen mithalten können, gefragter denn je.
Der Faktor Mensch ist die eigentliche Sicherheitslücke
Viele Organisationen setzen in diesem Zusammenhang auf die sogenannte Multi-Faktor-Authentifizierung (MFA) mithilfe von Push-Benachrichtigungen. Diese app-basierte Authentifizierungsmethode wird immer beliebter und gilt allgemein sogar als sicherer als die Bestätigung der Identität durch SMS oder Telefonanrufe.
Bei dieser Methode meldet sich der Benutzer auf seinem Smartphone mit Benutzernamen und Passwort an, bevor er im zweiten Schritt eine Push-Benachrichtigung erhält, die er zur weiteren Authentifizierung bestätigen muss. Und genau hier liegt der grösste Schwachpunkt des gesamten Systems, der Faktor Mensch. Cyberkriminelle nutzen diese Schwäche gezielt zu ihrem Vorteil aus, indem sie eine eigens hierfür entwickelte Technik anwenden, die sogenannte «MFA-Fatigue» auf Deutsch «MFA-Müdigkeit». Durch Brute-Forcing besorgen sie sich zunächst die Anmeldedaten des potenziellen Opfers. Dabei werden systematisch alle möglichen Passwörter und Passphrasen so lange eingegeben, bis das richtige erraten wurde. Sobald der Angreifer eine gültige Kombination aus Benutzernamen und Passwort besitzt, wird die Authentifizierungs-App der entsprechenden Person mit Push-Benachrichtigungen regelrecht geflutet. Ziel ist es, den Benutzer durch die Vielzahl der Benachrichtigungen abzulenken und regelrecht zu nerven, bis er es am Ende buchstäblich leid ist und die Verbindungsanfrage schliesslich blindlinks akzeptiert. Jetzt haben die Cyberangreifer freien Zugang zu allen Daten, mit denen sie ganze Unternehmen kompromittieren können.
Derartige Hackerangriffe sind bei weitem keine Seltenheit mehr. Laut IT-Experten hat sich die Zahl der «MFA-Fatigue-Attacken» in den letzten beiden Jahren mindestens verdoppelt, was sicherlich auch in unmittelbarem Zusammenhang mit der verstärkten Einführung von digitalen Arbeitsplätzen steht.
Schritte wie man «MFA-Fatigue-Attacken» und ähnlich gelagerten Angriffen vorbeugen kann
Um konkret einer «MFA-Attacke» vorzugreifen raten Experten den MFA-Dienst grundsätzlich so zu konfigurieren, dass er nur eine begrenzte Anzahl an Push-Benachrichtigungsversuchen in einem bestimmten Zeitraum zulässt. Bei Microsoft 365-Konten können solche Standardgrenzen in der Azure Resource Manager Dokumentation gefunden und dementsprechend konfiguriert werden.
Darüber hinaus wird empfohlen, die telefonische Authentifizierungsmethode des Microsoft Authenticators zu verwenden. Der Authenticator generiert in diesem Fall eine eindeutige zweistellige Nummer, die der Benutzer auf seinem Mobilgerät aus drei Optionen korrekt auswählen muss. Der Angreifer bekommt so zwar die Nummer angezeigt, müsste sie aber zusätzlich auf dem Smartphone des angegriffenen Nutzers identifizieren, auf das er im Normalfall keinen Zugriff hat.
Trotz aller Vorsichtsmassnahmen ist und bleibt der Mensch jedoch, das grösste Risiko. Unternehmen, die gegen Cyberangriffe vorsorgen wollen, sollten deshalb die «Cyber-Security-Awareness» als einen integralen Part ihrer Unternehmenskultur sehen und vorantreiben. Das beinhaltet regelmässige, auf die jeweilige Rolle der Mitarbeitenden abgestimmte Sicherheitsschulungen, damit alle Mitarbeitenden jederzeit in der Lage sind, Cyberattacken frühzeitig zu erkennen und entsprechend handeln zu können. Langfristig gesehen sollte dies zu einer Sicherheitskultur im Unternehmen führen, in der die Mitarbeitenden proaktiv und freiwillig Cyber-Secure-Praktiken sowohl in ihrem Berufs- als auch Privatleben anwenden.
Netrics berät Sie gerne zu den Thema Multi-Faktor-Authentifizierung, Cyber-Security oder Security-Awareness-Training.
Allianz: Billionenschäden durch Cyber-Kriminalität, Policen gibts aber nur für jedes zweite Unternehmen
Einzelfälle und Namen von betroffenen Unternehmen werden bei Cyberattacken nur selten öffentlich, noch seltener, welcher Schaden genau entstand. Der kann allerdings beträchtlich sein.
"Mittlerer zweistelliger" Millionenschaden nach Cyberangriff
Wie gravierend ein Hackerangriff ein Unternehmen treffen kann, erläutert AGCS-Experte Jens Krickhahn an einem Beispiel: Ein Großkunde des Versicherers wurde 2021 mit Ransomware angegriffen und zugleich erpresst. Das Unternehmen habe das geforderte Lösegeld nicht gezahlt, dank seines "guten IT-Reifegrades" aber die Auswirkungen "in Grenzen halten" können, sagt Krickhahn. Der Schaden lag trotzdem in "mittlerer zweistelliger Millionenhöhe".
Cybercrime als größte Bedrohung
Von: Ina Schlücker
IT-DIRECTOR: Herr Hartenstein, von welchen Seiten – z. B. durch staatliche Überwachung oder professionelle Cyberkriminelle – droht hiesigen Großunternehmen und Konzernen aktuell die größte Gefahr? Und warum ist dies so?
R. Hartenstein: Cybercrime ist aus unserer Sicht die größte Bedrohung für die Wirtschaft: Digitale Erpressung, Industriespionage über APTs oder die Schädigung von Wettbewerbern durch Überlastangriffe sind als Schadensszenarien schon heute Realität. Sie sind ein Zeichen für den steigenden Wettbewerbsdruck, unter dem Konkurrenten öfter als gedacht zu unerlaubten Wettbewerbsmitteln greifen. Cyberkriminelle attackieren außerdem Schlüsselindustrien, um so den Staat zu schädigen. Die konsequente Digitalisierung der Wirtschaft spielt ihnen dabei in die Hände.
IT-DIRECTOR: Welche Ziele werden dieses Jahr wohl vorrangig ins Visier von Cyberkriminellen rücken?
R. Hartenstein: 2015 wird eindeutig im Zeichen politisch motivierter Angriffe stehen. Die DDoS-Angriffe auf www.bundeskanzlerin.de und www.bundestag.de – in Zusammenhang mit dem Ukraine-Konflikt – haben Anfang des Jahres schon ein deutliches Zeichen gesetzt. Aus Protest gegen die Vorratsdatenspeicherung legte Anonymous kurze Zeit später die Webseiten der SPD und von Sigmar Gabriel lahm. Wir müssen außerdem damit rechnen, dass sich der Terrorismus in den nächsten Monaten immer stärker ins Netz verlagert. Wenn Terrorhacker zum „Cyber-Dschihad“ rufen und Wirtschafts- sowie Regierungsstrukturen angreifen, können sie schnell die Sicherheit und Stabilität eines ganzen Landes ins Wanken bringen.
IT-DIRECTOR: Die Angreifer tummeln sich zumeist in sogenannten „Darknets“ und nutzen dafür beispielsweise das Tor-Netzwerk. Was genau verbirgt sich hinter diesen Begrifflichkeiten?
R. Hartenstein: Im Darknet können User anonym miteinander kommunizieren. Damit ist es der ideale Umschlagplatz für Waffen, Drogen und cyberkriminelle Dienstleistungen. Der Zutritt zum Darknet ist allein über Browser mit der Anonymisierungssoftware Tor (The Onion Browser) möglich. Tor verschleiert die Spuren im Netz, das kostet aber Verbindungsgeschwindigkeit.
IT-DIRECTOR: Gerüchten zufolge soll man im Darknet DDoS-Attacken sowie Bank- oder Social-Media-Daten von Privatnutzern bereits für wenige Euro kaufen können. Inwieweit sind dies realistische Szenarien?
R. Hartenstein: Das ist korrekt, hier hat sich ein großer Markt für diese Dienstleistungen aufgetan. Wie man im Darknet DDoS-Attacken mieten kann, beschreibt unser Whitepaper „DDoS-Attacken für jedermann“.
IT-DIRECTOR: Woran liegt es, dass die Strafverfolgungsbehörden weltweit zu wenig Wissen über die Umtriebe im „Darknet“ besitzen – obwohl Institutionen wie NSA oder GCHQ doch sämtliche Daten aus dem World Wide Web herausfiltern ...?
R. Hartenstein: Die Anonymität des Darknet macht es den Ermittlungsbehörden sehr schwer, Angreifer und Hintermänner zu finden. Wer etwas zu verschleiern hat und die Operational Security (Opsec) gut beherrscht, dem kann man fast nicht auf die Schliche kommen. Allerdings stellen sich die Nutzer des Darkwebs manchmal auch selbst ein Bein. So wie der Dread Pirate Roberts, der per Tweet von seinen Darknet-Aktivitäten prahlte und damit die Ermittlungen erleichterte. Im Falle von Lulzsec war es ein Mitglied der Hackergruppe selbst, der als Informant seine Hackermitglieder verriet und Daten aus dem Darknet an die NSA weitergab.
IT-DIRECTOR: Welche Bemühungen gibt es auf nationaler wie internationaler Ebene, der organisierten Cyberkriminalität den Garaus zu machen?
R. Hartenstein: Mit dem Advanced Cyber Defense Center (ACDC) stellt sich Europa der wachsenden Zahl und Gefahr von Botnetzen entgegen. Als Partner der Initiative melden wir Botnet-Attacken an das ACDC und helfen so, die Reichweite von Botnetzen einzudämmen. Die Webseite www.botfrei.de soll helfen, die Zahl der infizierten/gekaperten Rechner zu verringern. Desweiteren ist www.ddosfrei.de als Infoportal zu DDoS-Attacken konzipiert und soll noch im Jahr 2015 starten. Dabei arbeiten wir mit Hintergrundinformationen und Fakten für das Online-Beratungszentrum zu.
IT-DIRECTOR: Wie viele Cyberattacken können zurückverfolgt werden? Wie hoch ist die Erfolgsrate bei der Auflösung solcher Angriffe?
R. Hartenstein: Wenn wir von DDoS-Attacken reden, dann ist die Aufklärungsrate verschwindend gering. Bisher kommen die Angreifer fast immer unentdeckt davon, denn das Internet hilft beim Verwischen der Spuren. Botnetze, die DDoS-Angriffe ausführen, operieren über die IP-Adresse gekaperter Rechner. Hinter dem Botnet aber stehen ein oder mehrere Kommandoserver, die über die ganze Welt verteilt sein können. Wer diese Kommandoserver steuert, ist fast nicht auszumachen. Bei Flooding und Reflection-Attacken fälschen die Angreifer hingegen die absendende IP-Adresse (IP Spoofing) und verschleiern so ihre Identität.
Dass im Sommer 2014 das Landesgericht Gießen die Erpressung von über 40 deutschen Onlineshops durch eine Gruppe von Jugendlichen verhandelte, sorgte für ein großes Medienecho. Die Erpresser stolperten über einen Flüchtigkeitsfehler: Hätte einer der Täter nicht vergessen, die Verschlüsselungssoftware zu aktivieren, wäre die Ermittlungsbehörden der Bande vermutlich nie auf die Schliche gekommen.
