IT-Sicherheit: Das Undenkbare denken

Drei Lehren aus den Cyberangriffen der letzten Jahre

Keyfacts

  • Vor Hackern ist niemand sicher, selbst kleine und mittlere Unternehmen werden angegriffen.
  • Neben Software-Lücken werden auch Hardware-Schwachstellen attackiert.
  • Hinweise auf staatliche Spionage sind ernst zu nehmen.
Wilhelm Dolle
  • Partner, Security Consulting
Mehr über meine Themen Nachricht schreiben

Schon eine falsche Mail zu öffnen kann Millionen kosten. Die Beispiele reichen von sogenannten „Fake President“-Angriffen bis zu Spear-Fishing-Attacken auf ein Stahlwerk. Hat es ein Hacker auf diesem oder einem anderen Weg erst einmal ins IT-System einer Organisation geschafft, steht schnell viel auf dem Spiel. Diese Erfahrung mussten erst in letzter Zeit wieder zahlreiche Unternehmen machen.

Die Zahl der Cyberangriffe ist in den vergangenen Jahren stark gewachsen und sie werden immer professioneller. Firmen sollten deshalb auf der Hut sein – und die folgenden Lehren beachten.

Lehre #1: Niemand ist sicher

Es kommt eher selten vor, dass mir ein Kunde sagt, sein Unternehmen produziere nichts Spannendes, Cyber Security sei für ihn daher grundsätzlich nicht relevant. Deutlich häufiger aber treffe ich auf die Einschätzung, dass etwa bei Hidden Champions der Schutz nicht so streng sein müsse, da man in den Medien und der Allgemeinheit ja kaum bekannt sei. Diese Aussage höre ich oft von kleineren und mittleren Unternehmen (KMU).

Genau da liegt ein wesentlicher Irrtum. Hacker greifen immer häufiger der Öffentlichkeit unbekannte Mittelständler an. Entweder, um sensible Daten zu stehlen und diese zu Geld zu machen. Oder beispielsweise, um die Netzwerke des betroffenen Unternehmens mit Krypto-Trojanern, sogenannter Ransomware, lahmzulegen – und dann für die Entfernung der Schadsoftware hohe Summen zu verlangen.

Obwohl Ransomware bereits seit 1989 bekannt ist, gab es seit Mitte dieses Jahrzehnts ein Revival mit aktuellen Versionen. So trieben beispielsweise 2016 Locky, 2017 WannaCry und  Petya, 2018/2019 GandCrab und Ryuk ihr Unwesen und fanden teils prominente Opfer.

Manchmal haben es Hacker auch direkt auf die Hardware abgesehen –  so etwa beim sogenannten Cryptojacking. Das Wort ist die englische Verbindung aus Kryptowährung und Entführung (hijacking). Hier greifen Hacker auf fremde Rechner zu und nutzten diese für ihre Zwecke. Konkret: Sie kapern die Prozessoren, um Monero oder andere Kryptowährungen zu schürfen. Den Unternehmen schadet das, weil die Rechenleistung der genutzten Computer deutlich zurückgeht. Zudem lässt der Hackerangriff die Stromkosten in die Höhe schnellen.

Bis Anfang 2018 sahen wir eine große Welle von Cryptojacking. Damals war der Hype um Kryptowährungen auf seinem Höhepunkt. Milliarden an Kapital wurden bewegt, die Gewinne waren zu diesem Zeitpunkt exorbitant. Im Dezember 2017 erreichten die digitalen Vermögenswerte ihren vorläufigen Höhepunkt. Seitdem nimmt ihr Wert ab – in der Folge hat zumindest auch das Cryptojacking an Popularität verloren.

Lehre #2: Denken Sie das Undenkbare

Was unter Spectre und Meltdown bekannt wurde, war aus Sicht der Cyber Security ein Albtraum. So gut wie jeder handelsübliche Prozessor von bekannten Herstellern hatte eine gravierende Sicherheitslücke. Im Prinzip konnte dadurch alles, was der Nutzer in Computer und Smartphone eingegeben hat, von Dritten abgegriffen werden: Passwörter, Betriebsgeheimnisse, sensible Nachrichten.

Immerhin: Direkte Schäden durch erfolgreiche Angriffe wurden nicht bekannt. Doch es würde überraschen, wenn nicht schon jemand die Lücke vor den wohlgesonnenen Forschern entdeckt und missbraucht hätte.

Die Lehre daraus? Es gibt Cybervorfälle, vor denen kann man sich nur schwer schützen. In der Konsequenz müssen Daten, die wirklich überlebenswichtig für ein Unternehmen sind, offline gehalten werden oder einem speziellen Schutzverfahren unterliegen. Und wenn Fälle wie Spectre und Meltdown bekannt werden, heißt es, möglichst schnell zu handeln und alle nötigen Updates zu installieren – auf allen Geräten. Gut standen dabei die Unternehmen da die etablierte und schnelle Prozesse zum Patch- und Änderungsmanagement eingeführt hatten.

Lehre #3: Industriespionage erfolgt auf Staatsniveau

Zugegeben, die Quellenlage ist ausgesprochen schwierig. Doch zumindest einem Bericht von Bloomberg zufolge, wurden im Namen staatlicher Akteure auf Servermainboards nachträglich Mikrochips eingesetzt. Damit ließen sich Daten aus den Servern auslesen und Code injizieren.

Das Verfahren gebe es wohl schon einige Jahre und die betroffenen Unternehmen seien von geheimdienstlicher Seite darauf hingewiesen worden, hieß es. An die Öffentlichkeit gelangte der Vorfall aber erst im vergangenen Jahr – so er denn stattfand. Überraschen würde es aber nicht. Das zeigen Erkenntnisse zu anderen großen staatlichen Eingriffen.

Der Fall führt – genau wie die jüngste Debatte um den 5G-Netzausbau – erneut vor Augen, dass Industriespionage auch auf Staatsniveau erfolgen kann. Die Frage ist, ob die gewonnenen Daten auch Wettbewerbern zugespielt werden. Wie würde so eine Weitergabe organisiert sein? Dazu gibt es bisher kaum Evidenz.

Mein Rat kann auch hier nur lauten: Seien Sie vorsichtig. Hinterfragen Sie Ihre Cybersicherheitsvorkehrungen in regelmäßigen Abständen und zwar grundlegend. Dies gilt insbesondere für die Kronjuwelen unter den Daten Ihres Unternehmens. Denn auch die kommenden Monate könnten viele böse Überraschungen bereithalten.

Wilhelm Dolle
  • Partner, Security Consulting
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.