Erpressungstrojaner, Angriffe auf Lieferketten, Datenlecks: Die digitale Bedrohungslage hat sich für Unternehmen in den letzten Jahren nochmals verschärft. Auch im Kontext des Russland-Ukraine-Krieges geht es zunehmend um den Begriff Cyber War. Der Krieg passiert eben nicht mehr nur auf dem Boden, in der Luft und auf dem Wasser, sondern auch im Netz.
Vier Aspekte sind im Zusammenhang mit Cyberbedrohungen vor allem zu betrachten:
1. Cyberangriffe auf Unternehmen: Vom großen Player bis zur kleinen NGO
Kleine Unternehmen und Organisationen gehen nach wie vor fälschlicherweise davon aus, dass sie für Cyber-Kriminelle nicht interessant genug seien. Dies ist leider ein schwerwiegender Trugschluss, denn jedes Unternehmen besitzt – aus Sicht eines Angreifers – lukrative Dinge, insbesondere Daten, die es zu erbeuten gilt. Mitarbeiter- oder Kundendaten, Konstruktionszeichnungen sowie Strategiepapiere stellen interessante Beute dar. Sei es zur direkten Entwendung oder als Erpressungsmittel bei einem Ransomware-Angriff. Somit sind Unternehmen und Organisationen jedweder Größe interessant und Angriffe erfolgen neben den großen Playern auch auf Museen, NGOs und Handwerksbetriebe.
2. Angriffe sind gezielter und ertragsreicher als früher
Erpressungstrojaner (Ransomware) sind grundsätzlich kein neues Phänomen. Vor wenigen Jahren noch waren es aber größtenteils ungezielte Angriffe (sogenannte „untargeted attacks“) auf Unternehmen mittels Spam-Mail- und Phishing-Kampagnen. Heutzutage dagegen werden Unternehmen gezielt ausgewählt und die Hacker sind nicht daran interessiert, kleine Einzelbeträge vieler einzelner Unternehmen einzusammeln, sondern sie setzen auf das sogenannte Big Game Hunting, d.h. die Erpressung großer Geldbeträge.
3. „Double Extortion“-Angriffe nehmen zu
Zudem werden Angriffe mittels „doppelter Erpressungen“ bei Hackern immer beliebter. Hierbei exfiltrierten die Angreifer:innen im ersten Schritt Daten von Unternehmen, die sie als Druckmittel verwenden, und starten erst dann den Verschlüsselungsangriff. Die Angreifer:innen drohen damit, die Daten preiszugeben und persönliche Kundendaten oder geistiges Eigentum des Opferunternehmens zu veröffentlichen bzw. zu verkaufen. Somit wird doppelter Druck auf das angegriffene Unternehmen ausgeübt.
4. Lieferketten werden vermehrt zum Angriffsziel
Cyberkriminelle haben es für ihre Angriffe auch immer öfter auf die Lieferketten abgesehen. Vor allem kleinere Lieferanten mit schwachen Sicherheitsvorkehrungen werden oft zur Zielschreibe, da die Hacker durch die gemeinsame Kommunikationsarchitektur in den Supply Chains dann auch Zugang zu den Netzwerken großer Organisationen bekommen.
Des Weiteren versuchen Angreifer:innen in die Produktionskette einzugreifen und beispielsweise ein Produkt noch in der Sphäre des Herstellers zu kompromittieren. Bei Softwareunternehmen kommt es beispielsweise vor, dass die Hacker die Software noch im sog. Software-Build-Prozess verändern und die Original-Software mit Schad-Code versehen. Das nichtsahnende Softwareunternehmen rollt dann die veränderte Software an seine Kunden aus. Die Hacker schaffen sich damit eine ungeheure Angriffsfläche und das Softwareunternehmen dient als Katalysator.
Eine frühzeitige Strategie zur Verteidigung und Reaktion auf Vorfälle ist der beste Schutz
Da die Angriffe immer besser und schneller werden, sind betroffene Unternehmen gefordert, Maßnahmen zu ergreifen, um mit den Entwicklungen der Aggressoren Schritt zu halten und sich zu wappnen.
Doch häufig sehen sich Firmen mit Situationen konfrontiert, die sie völlig überrumpeln. Sie investieren zwar in die Prävention, indem beispielsweise Virenscanner und Firewalls installiert werden und für mehr Personal gesorgt wird, aber die Vorbereitung auf den Ernstfall, die Incident Readiness, fehlt meiner Einschätzung nach sehr häufig.
Wenn meine Cyber-Incident-Response-Kolleg:innen und ich zu betroffenen Unternehmen gerufen werden, finde ich oftmals einen von zwei Zuständen vor: Entweder die Schockstarre, in der Unternehmen gar nichts tun, oder Aktionismus, bei dem einfach irgendetwas getan wird, ohne einen strategischen Plan zu verfolgen.
Aktionismus ohne Strategie schadet den betroffenen Unternehmen nur noch mehr
Beide Zustände sind sehr schädlich für das Unternehmen. Bei der Schockstarre kann wertvolle Zeit verstreichen, wodurch der verursachte Schaden in der Regel sehr schnell wächst. Beim Aktionismus kann es passieren, dass digitale Spuren der Angreifer:innen zerstört werden und der Tatort nicht rekonstruiert werden kann.
Auf den Angriff bereichsübergreifend reagieren
Bei einem Cyberangriff wird die Problemlösung gerne in der IT-Abteilung verortet. Doch Cyberattacken betreffen das ganze Unternehmen. Es braucht beispielsweise Krisenmanager:innen, Kommunikationsexpert:innen, Rechtsexpert:innen sowie das Leadership des Unternehmens. Der Krisenstab aus den genannten Personen muss dann gemeinsam die nächsten Schritte besprechen.
Den Ernstfall mit Notfallplänen üben
Unternehmen sollten den Ernstfall mit Notfallplänen üben, bevor er eintritt. So wird verhindert, dass betroffene Firmen überrascht werden. Nur so ist es möglich, unter Druck die richtigen Entscheidungen zu treffen. Vor einem Angriff sollte klar definiert werden, wer im Ernstfall wofür verantwortlich ist, welche Maßnahmen ergriffen werden, wie kommuniziert wird und welche externe Unterstützung angefordert werden kann.
Cyber Security, IT-Forensic und Cyber Incident Response als wichtiges Thema auf dem KPMG Zukunftsgipfel – jetzt Aufzeichnung anschauen
Welche Cyber-Security-Aspekte wichtig sind und wichtig werden, dazu sprachen meine Kolleg:innen und ich mit hochkarätigen Gästen kürzlich beim KPMG Zukunftsgipfel. Schauen Sie sich die Aufzeichnung zum Thema „Die digitale Bedrohungslage und wie Sie effektiv darauf reagieren“ hier an.