Cyberangriffe nehmen von Jahr zu Jahr zu. Zurzeit sollen die durch Internetkriminalität jährlich verursachten Schäden weltweit etwa 600 Mrd. US-Dollar betragen (2014 waren es noch 445 Mrd. $).
Wir neigen ja gerne zu der Annahme, dass nur bedeutende Unternehmen gefährdet sind, weil sie im Licht der Öffentlichkeit stehen. Weit gefehlt. Hacker unterscheiden nicht nach Unternehmensgröße, Branche oder Bekanntheitsgrad. 2017 waren mehr als 60% der Opfer von Datenangriffen Unternehmen mit weniger als 1.000 Mitarbeitern. Das heißt, dass gerade Industrien, die aus kleinen und mittelgroßen Unternehmen bestehen, besonders anfällig für Attacken aus dem Netz sind. Also auch die Druckindustrie mit ihren etwa 80% Unternehmen kleiner als 20 Mitarbeiter. Das Thema Cyberkriminalität sollten also auch Druckereien als ernsthafte Bedrohung sehen.
Luxuspasswort 1234_Name
Letzte Woche war ich bei einem IT-Security-Lunch (ja, auch Berater lassen sich gerne noch etwas beibringen). Der Lehrgangsleiter machte auf die aktuelle Sicherheitslage in Unternehmen aufmerksam. Und spätestens, als er die Key-Card der CIO eines renommierten Industrieunternehmens ausgelesen hatte und damit praktisch Zugang zu allen wichtigen Unternehmensbereichen hätte, waren die Teilnehmer mehr als aufmerksam.
Computernetzwerke sind für den Austausch von Informationen konzipiert. Computer werden über Netzwerkfreigaben miteinander verbunden und leiten die Informationen von Gerät zu Gerät weiter. So sorgt das Netzwerk für die Geschäftseffizienz, die wir heute als selbstverständlich ansehen. Dasselbe Netzwerk kann aber auch dafür missbraucht werden, einen bösartigen Virus zu übertragen und die Geschäftstätigkeit von Unternehmen zum Stillstand zu bringen.
Die meisten Angriffe und Datenabflüsse gehen von Schadsoftware aus, die über Datenträger in das eigene Unternehmen kommt. Der BSI-Bericht (Bundesamt für Sicherheit in der Informationstechnik) zur Lage der IT-Sicherheit in Deutschland 2019 lässt ähnliche Schlüsse zu. Dabei ist es gleichgültig, ob die Malware (Malicious Software) oder Ransomware (von englisch ransom für „Lösegeld“) über ein Mail-Attachment oder Bad-USB-Gerät in ein Unternehmen kommt, der Schaden bleibt der gleiche und der Verursacher auch.
Hacker wissen aber auch, dass der verletzlichste Teil eines Computernetzwerks der Mensch ist. Sie müssen also nicht den schwierigen Weg mit komplexen Tools gehen, um Sicherheitsprobleme von Computernetzwerken auszunutzen. Die Tür, durch die sie in ein Netzwerk hereinmarschieren, sind die E-Mail-Konten der Mitarbeiter. Und diese Tür ist offen wie ein Scheunentor.
Mitarbeiterinnen und Mitarbeiter sind generell das schwächste Glied in der Kette! Und je höher die Position im Unternehmen, desto leichtsinniger werden die Menschen scheinbar. CEOs haben da schon mal das Luxuspasswort 1234_Name – oder noch besser: Der Chef verordnet sich selbst eine Ausnahme von allen Sicherheitsregeln.
Welche Auswirkungen haben Cyberangriffe?
Schädliche E-Mails veranlassen Nutzer durch Täuschung dazu, Dateianhänge zu öffnen oder auf einen Link zu einer infizierten Internetseite zu klicken. Das Cybersecurity-Unternehmens Avast will in einer repräsentativen Studie festgestellt haben, dass 76% der Internet-User auf Phishing-Versionen (also falsche Seiten eines ihnen bekannten Unternehmens) hereinfallen würden. Und warum sollten die Menschen im Betrieb anders handeln als vor ihrem eigenen Computer zu Hause? Allerdings sind manche Phishing-Angriffe beim Prüfen der URL oder aufgrund massiver Schreibfehler zu identifizieren. Das ist aber nicht immer der Fall. Manche sind so täuschend echt, dass es schwer ist, diese zu erkennen.
„Die Wirtschaft beklagt Milliardenverluste durch Cybercrime. Die Kriminellen werden eine immer stärkere Bedrohung für die IT-Sicherheit. Sie klauen Daten, erpressen Geld oder spionieren Unternehmen aus – und nutzen dabei immer neue Wege. Das geht jeden an!“ – Bernd Zipper.
Die Art der Angriffe kann höchst unterschiedlich sein. Typischerweise sind Phishing-E-Mails so konzipiert, dass die Schadsoftware im Unternehmens-Netzwerk installiert wird. Der Zugang zu wichtigen Netzwerkkomponenten kann dabei so lange blockiert werden, bis das Unternehmen dem Hacker ein „Lösegeld“ zahlt (was man tunlichst vermeiden sollte). Oder Malware kann einzelne Teile so stören, dass der Betrieb des gesamten Systems nicht mehr möglich ist. Außerdem gibt es Spyware, die sich verdeckt Informationen verschafft, indem Daten von Festplatten im Unternehmen übertragen werden. In jedem Fall bedeutet es für das im Visier der Hacker stehende Unternehmen massive Probleme und eine Beeinträchtigung der Abläufe. Die größten Schäden entstehen dabei durch den Diebstahl von geistigem Eigentum und vertraulichen Geschäftsinformationen.
Wie lange an der Behebung der Angriffsfolgen gearbeitet wird und wie kostenaufwendig es sein wird, hängt vom Ausmaß des feindlichen Angriffs ab. Mit Glück verursacht die Problembehebung nur geringere Unannehmlichkeiten, es kann aber auch Tage oder Wochen dauern, bis der Schaden vollständig behoben ist.
Es führt in jedem Fall zu Zeit- und Geldverlusten und im schlimmsten Fall auch zu rechtlichen Konsequenzen. Neben den finanziellen Folgen kann es den Ruf eines Unternehmens nachhaltig beschädigen und das Vertrauen der Kunden in Mitleidenschaft ziehen. Für eine Onlinedruckerei wäre es der sichere Absturz und für kleinere Druckereien existenzbedrohend.
Nicht warten, sofort etwas tun
Welche praktischen Maßnahmen können Druckereien ergreifen, um die Gefahr einer Cyberattacke wenigstens zu minimieren?
- Personal schulen: Eine angemessene Schulung aller Mitarbeiter ist die einfachste Übung. Es gibt eine Fülle an Ratschlägen zur Schadensabwehr. Es lassen sich aber auch externe Beratungsfirmen mit Schulungen bezüglich der Abwehr von Cyberattacken beauftragen.
- Netzwerksicherheit erhöhen: Die Kosten für einen Schutz der Netzwerksicherheit sind weit niedriger als die Kosten zur Behebung eines Angriffs. Ein solcher Schutz muss nicht zu komplexeren Arbeitsabläufen führen, entschärft aber das Risiko eines Angriffs aktiv.
- Geschäftskritische Daten isolieren: Es reicht nicht aus, Daten nur per Sicherungskopie abzusichern. Daten, die für die Geschäftsprozesse und betrieblichen Abläufe eines Unternehmens unerlässlich sind, müssen an einem Ort außerhalb des Unternehmens gesichert werden.
Wer denkt, er ist mit Firewall und Virenscanner sicher, sollte sich unbedingt die BSI-Empfehlungen ansehen oder als PDF downloaden.
- Keine fremde Hardware (USB-Stick, SD-Card, Handy o.ä.) ohne „Datenschleuse“ akzeptieren. Neben hinterlistigen Werbeanzeigen (auch auf etablierten Websites) oder heimtückischen E-Mails kommt Schadsoftware über Hardware in das Netzwerk. Häufig wird der Virenscanner auf dem Rechner, der große Datenmengen zu bewerkstelligen hat deaktiviert. Sprich der Angriff oder auch „nur“ ein unabsichtlich verteilter Virus kann sich unkontrolliert Bahn brechen. Eine Datenschleuse, also eine abgekoppelte Hardware, prüft und zertifiziert Datenträger für den eigentlichen Zugang Netzwerk.
Alles legal, wenn man es nicht einsetzt
„Der Virus schadet nicht, die Ignoranz tut es!” Das Zitat aus der Hackerszene beweist: beim Thema IT-Security sollte man eisern bleiben. Sicherheit ist heute mehr als eine Firewall oder ein Virenscanner und muss ganzheitlich betrachtet werden. Die digitale Transformation verändert Geschäftsprozesse, Arbeitsweisen und technische Verfahren. Die traditionellen Sicherheitsansätze haben in einer digital geprägten Ära ausgedient.
Schon bei der Entwicklung einer Lösung muss ein neuer Ansatz gelten. „Security by Design“ anstatt „Security as a function“ lautet ein Postulat von Sicherheitsexperten. Ist die Sicherheit in die Software integriert, kann man davon ausgehen, dass diese eher akzeptiert wird und dass Sicherheitskonzepte nicht zur Frontlinie zwischen IT und OT (Operational Technology) werden. Klare Ansage: Die Balance zwischen Usability und Security zu finden, ist eine konzeptionelle Aufgabe.
Denn wer glaubt, Hacker seien irgendwelche fehlgeleiteten Freaks, irrt leider. Es ist leichter denn je, ohne Kenntnisse und mit geringem Risiko anderen Schaden zuzufügen. Beispiel gefällig?
Nach dem IT-Security-Event wollte ich es wissen und habe gleich einmal im Internet recherchiert, um Bad-USB-Geräte suchen. Ergebnis: Die Angriffssoftware Bash Bunny Hak 5 ist für 142,90 € bei Amazon zu bestellen, USB-Ninja-Kabel oder Rubber Ducky (als Ladekabel oder USB-Stick getarnte hoch toxische Angriffs-Tools) sind ab 100,00 $ beziehungsweise ab 13,00 € auf verschiedenen Plattformen zu erwerben. Sie wollen noch einen Hacker? Gibt es im Darknet mit präziser Beschreibung der Dienstleistung ab 250,00 € die Stunde zu mieten.
Alles soweit legal, denn erst der Missbrauch ist strafbar. Laut §202a StGB macht sich nur strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Es drohen Freiheitsstrafen bis zu drei Jahren oder Geldstrafe. Bis der Angriff aufgeklärt und die Täter gefunden sind, ist ein Geschäftsmodell aber unter Umständen schon ruiniert.
