Viele der gängigen Schutzmaßnahmen sind nicht mehr wirksam genug. © Adobe Stock/Peter Maszlen
Die Angriffe von Hackern und Cyberkriminellen werden immer raffinierter, die Auflösung der Betrugsfälle gelingt nur selten. Wieso der direkte Schutz gegen Attacken nicht ausreicht ...
... und was Unternehmen in Zeiten der Digitalisierung bedenken sollten.
Sie finden jede noch so kleine Schwachstelle und verschaffen sich illegalen, oft betrügerisch motivierten Zuritt in Unternehmensnetzwerke: Cyberkriminelle und Hacker werden in Zeiten der voranschreitenden Digitalisierung und komplexen Infrastrukturen immer gezielter und kreativer – vor allem in den Ideen, den betroffenen Unternehmen zu schaden. Erst kürzlich machte ein spektakulärer Fall internationale Schlagzeilen, als die Hackergruppe REvil mit einer raffinierten Schadsoftware IT-Geräte von Tausenden Unternehmen verschlüsselte und 70 Millionen US-Dollar in Bitcoin erbeutete. Was war geschehen?
Eine Million Geräte infiziert
Es wird vermutet, dass die Hackergruppe REvil (R steht für Ransomware also Schadsoftware und evil englisch für böse) aus Russland aus operiert. Die Gruppe startete einen Angriff auf den Softwarehersteller Kaseya und konnte erfolgreich in das Firmennetzwerk eindringen. Wie sie das genau geschafft haben, ist bislang unklar. Kaseya hat nach Unternehmensangaben mehr als 40.000 Kunden, von denen mutmaßlich 50 bis 60 Kunden von der Attacke betroffen waren.
Viele davon sind allerdings selbst IT-Dienstleister, die sich mit dem Schutz von Netzwerken kleinerer Firmen befassen, welche keine eigenen IT-Abteilungen haben. Letztlich gelangten die Hacker so an sensible Unternehmensdaten von nachweislich mehr als 1.000 Unternehmen, REvil gab bekannt, dass sie insgesamt mehr als eine Million Geräte mit der Schadsoftware infiziert hätte.
Datenfreigabe nur bei Lösegeldzahlung
Im sogenannten Darknet, dem Teil des Internets, der es Betrügern und Kriminellen leicht macht, illegale Aktivitäten durchzuführen, betrieb die Hackergruppe Seiten, auf denen betroffene Unternehmen das geforderte Lösegeld bezahlen konnten. Am 13. Juli 2021 verschwanden die Seiten dann plötzlich und wurden offline genommen. Bis heute gibt es keine gesicherten Erkenntnisse, warum das geschah. Für die betroffenen Unternehmen ist das ein großes Problem, denn sie haben nun keinerlei Möglichkeiten, die gestohlenen Daten wiederzuerlangen. Die Fahndungen nach den Tätern laufen auf Hochtouren, es gibt aber wenige Ansatzpunkte für konkrete Ermittlungen.
Sogar das Weiße Haus schaltete sich ein, US-Präsident Biden sprach mit dem russischen Präsidenten Putin über russische Hackerangriffe und machte ihm nach Aussagen von US-Medien deutlich, dass die USA mehr Gegenmaßnahmen von Russland erwarten. Ob Putin tatsächlich dafür gesorgt hat, dass die Seiten aus dem Darknet verschwunden sind, bleibt reine Spekulation. Genau wie die Frage, ob die Hackergruppe überhaupt von Russland aus agiert. Fest steht nur, dass die Gruppe ihre REvil-Ransomware so programmiert hat, dass russische Rechner und Endgeräte nicht infiziert werden können. Es wäre aber auch gut möglich, dass es sich dabei um ein bewusstes Ablenkungsmanöver handelt. Ob die betroffenen Unternehmen ihre Daten zurückbekommen und ob die Datenräuber gefasst werden, bleibt abzuwarten.
Komplexität fordert Strategie
Auch wenn Österreichs Unternehmen von Jahr zu Jahr besser auf Cyberkriminalität vorbereitet sind: Die zunehmende Komplexität, Geschwindigkeit und gegenseitige Abhängigkeit führen dazu, dass viele der gängigen Schutzmaßnahmen nicht mehr wirksam genug sind. „Im Wettlauf gegen Cyberkriminelle sind weder Panikmache noch Aufgeben eine Lösung“, betont Robert Lamprecht, Director bei KPMG, und kommentiert damit die aktuelle KPMG-Studie „Cyber Security in Österreich 2021“. Er fügt hinzu: „Es hilft nur eines: Leadership Action und innovatives Cybersecurity-Denken. Es braucht Sicherheitsmodelle für den gesamten Digitalisierungsprozess – von der Prävention über die Erkennung bis hin zur Reaktion. Nur so können sich Österreichs Unternehmen in einem herausfordernden Umfeld vor Cyberkriminalität schützen. Denn Digitalisierung ohne Cybersicherheit kann nicht nachhaltig erfolgreich sein.“
Executives der heimischen Industrie – darunter Mondi und Palfinger – haben sich im Sommer auf Einladung des IT-Dienstleisters NTT in Wien zu einem exklusiven Erfahrungsaustausch getroffen, um sich diesem Thema gemeinsam zu nähern. Und es herrschte ernüchternde Einigkeit: Alle sind sich sicher, dass früher oder später ein Angriff auf das eigene Unternehmen gelingen könnte. Die Frage ist nur, wie schnell und wie professionell kann das Unternehmen reagieren und hat es die notwendigen Vorkehrungen getroffen, um den Schaden eingrenzen zu können. Und diese Schadensbegrenzung gelingt oft nur mit professioneller Hilfe von der dunklen Seite, also dem Darknet. Für die Mondi-Gruppe, ein Unternehmen mit 100 Standorten weltweit und einem Jahresumsatz von ca. 7,5 Milliarden Euro jährlich, ist das Thema Cybersecurity schon lange Chefsache. Das Unternehmen arbeitet laufend an der Verbesserung der Sicherheitsmechanismen und setzt auf ein Ökosystem von Partnern wie NTT Ltd.
Und trotzdem wurde der Verpackungs- und Papierhersteller mit weltweit 26.000 Mitarbeitern schon mehrfach angegriffen: „Die Annahme, dass Cyberattacken ausschließlich auf das eigene Unternehmen stattfinden, ist falsch. Lieferanten, Techniker, Partner: Jeder, der auf irgendeinem Weg Zugriff auf die Systeme hat, kann potenziell ins Visier der Hacker geraten. Wir mussten in den letzten Jahren lernen, dass es nicht mehr ausreicht, sich nur gegen direkte Angriffe zu schützen“, betont Rainer Steffl, CIO von Mondi. „Denn die Anschläge kommen garantiert und werden auch bis zu einem gewissen Grad erfolgreich sein. Wir haben uns in den letzten Jahren bewusst darauf vorbereitet, auf Attacken reagieren, sie isolieren und Kollateralschäden minimieren zu können.“
Explosion von Cyberangriffen durch Umstellung auf Homeoffice
Mondi arbeitet deshalb schon seit acht Jahren mit dem IT-Dienstleister NTT zusammen, der das globale Netzwerk von Mondi managt und durch seine globale Ausrichtung jede Niederlassung weltweit ans Firmennetzwerk anschließt und lokal betreuen kann. „Wir beobachten, dass die Cyberangriffe, begünstigt durch die Pandemie und die überstürzte Umstellung auf Homeoffice, explodiert sind“, sagt Nora Lawender, CEO von NTT Ltd. in Österreich.
„Die Attacken auf die Fertigungsindustrie sind im letzten Jahr um 300 Prozent gestiegen. Das liegt zum einen natürlich am vermehrten remoten Arbeiten, zum anderen aber auch am geringen Reifegrad der heimischen Unternehmen in Sachen Security.“ Es sei aber nicht so, dass die Firmen schlechter geworden sind, was Cyberabwehr betrifft. Die Angreifer werden immer professioneller und besser, ergänzt Roman Oberauer, Vice President Go To Market & Innovation bei NTT Ltd. in Österreich: „Cyberkriminalität ist mittlerweile zu einer sehr reifen Industrie geworden, die es schon seit Ende der 80er-Jahre gibt“, so Oberauer weiter.
Das Darknet im Auge behalten
Jede Firma solle sich fragen, was sie unbedingt schützen möchte und wie. Das seien die ersten Schritte zu mehr Resilienz, so der IT-Experte: „Es ist wettbewerbsentscheidend für ein Unternehmen, nach einer Attacke schnell wieder auf die Beine zu kommen. Dafür ist ein professioneller Weitblick notwendig, um die Gefahren frühzeitig zu erkennen.“ Entscheidend sei es, auch an der menschlichen Firewall zu arbeiten, das heißt die Mitarbeiter gut im Umgang mit dem Thema Security zu schulen, damit nicht achtlos Daten weitergeben werden.
Und auch die IT-Profis bei NTT versuchen, immer am neuesten Stand der Hackermethoden zu bleiben: „Wir haben weltweit mehr als 1.500 sogenannter Honeypots in 23 Ländern installiert, das sind fiktive Angriffspunkte, die Hacker anziehen sollen. Aus den Angriffen auf diese Schnittstellen lernen wir viel über aktuelle Methoden und Vorgehensweisen der Kriminellen.“ Auf Basis der Erkenntnisse aus den Honeypots konnte NTT bisher rund 10.000 neue Angriffsmuster identifizieren und in die Cyberabwehr bzw. in die Erkennungssysteme einspielen.
„Die Zahl der Cyberangriffe steigt rasant“, zieht Martin Zehnder, COO der PALFINGER AG, besorgniserregende Bilanz. Im Jänner wurde der Anbieter innovativer Kran- und Hebelösungen Ziel und Opfer einer Attacke. Davor traf es ein großes deutsches Medienhaus, danach einen Pipelinebetreiber in den USA und eine Salzburger Molkerei. „Sicher“, sagt Zehnder, „ist heute niemand mehr. Es trifft weltweit agierende Unternehmen ebenso wie regionale.“ Das bedeutet zum einen, dass man jederzeit mit Angriffen rechnen muss – und die Sicherheitsmaßnahmen entsprechend intensiviert. Zum anderen bedeutet es, so Zehnder, „dass man sein Radar deutlich erweitern und das Darknet in die Beobachtung miteinbeziehen muss.“
Dort kursieren Listen von Firewalls, die von Exploits betroffen sind. Die können als CSV-Files heruntergeladen werden. „Hacker präsentieren Active Directory URLs mit IP-Adressen – und wünschen allen, die damit etwas anfangen können, viel Spaß“, berichtet Zehnder. Cybersecurity ist absolut im Managementfokus. „Durch die Attacke konnten unsere Werke zehn Tage lang nur eingeschränkt produzieren. Es hat fünf Monate gedauert, das wieder auszugleichen“, so Zehnder weiter.
Reputationsschaden ist nicht versicherbar
Robert Haider, Geschäftsführer der Vienna International Underwriters GmbH, bestätigt, dass der größte Schaden durch eine Hackerattacke die Betriebsunterbrechung ist: „Entscheidend ist das Risikomanagement der Unternehmen. Ist die Firma gut aufgestellt in Sachen Cybersecurity, wird sie auch gute Versicherungen abschließen können. Unternehmen mit geringen Reifegraden haben es da schon schwerer.“ Heikel ist vor allem der Imageschaden, den eine Attacke mit sich bringt. Isabella Mader, Vorstand des Excellence Institutes und Executive Advisor des Global Peter Drucker Forums: „Der Reputationsschaden, den ein Cyberangriff auf das Unternehmen auslöst, ist nicht versicherbar. Und dieser Schaden ist wohl der größte und langfristigste, mit dem die Firma leben muss. Im schlimmsten Fall schädigt der Angriff das Unternehmen dauerhaft, je nachdem, wie die Reputation vor dem Angriff war.“
Wirklich kompliziert wird die Thematik beim Thema Lösegeld: „Es gibt zwar Firmenversicherungen, die Lösegeldzahlungen bei Kidnapping von Mitarbeitern abdecken, bei Cyberangriffen ist das allerdings nur selten der Fall“, ergänzt Haider. Die Gefahr ist, dass die Versicherung aussteigt, weil im Zuge der Sicherungsmaßnahmen der Netzwerke entscheidende Beweise, die auf einen Cyberangriff hindeuten, vernichtet wurden.“ Versicherungen arbeiten deshalb mit eigenen IT-Forensikern, die sie im Falle einer Attacke zu ihren Kunden schicken, um die nötigen Beweise zu sichern.
An Experten auslagern
Alle Teilnehmer des Executive Event sind sich einig, dass die Relevanz von Cybersecurity zum Top-Managementthema gemacht werden muss: „Die Lehren aus den Attacken sind, dass wir Gefahren frühzeitig erkennen und geschulte Task Forces haben müssen, um den Schaden so gering wie möglich halten zu können. Außerdem sollte man auch als großer Konzern mit so wenigen externen Firmen wie möglich zusammenarbeiten, um die Gefahr zu minimieren“, so Rainer Steffl abschließend. „Es hat sich für uns mehr als bewährt, NTT mit der IT-Security zu betrauen. Der Aufwand, der mittlerweile für Cybersicherheit betrieben werden muss, ist enorm und kann nur von Experten übernommen werden.“ (VM)
INFO-BOX
Cybersecurity in Österreich
Noch nie war die Wahrscheinlichkeit, digital angegriffen zu werden, so groß wie 2021. Zu diesem Ergebnis kam die KPMG-Studie „Cyber Security in Österreich 2021“. Die häufigste Angriffsmethode bleibt eine altbewährte: Vier Fünftel (79 Prozent) der Unternehmen erlebten Phishing-Attacken. Die Hälfte der Unternehmen wurde außerdem Opfer von Business-E-Mail-Compromise- (51 Prozent) und Malware-Angriffen (48 Prozent). Gestiegen sind staatlich oder staatlich unterstütze Angriffe (APTs): Sieben Prozent der Unternehmen wurden damit konfrontiert. Eine genauere Betrachtung zeigt, dass insbesondere große Unternehmen damit zu kämpfen haben: Jedes vierte (25 Prozent) machte Erfahrungen mit APTs. Unabhängig von der Größe gibt jedes zweite Unternehmen (53 Prozent) an, dass Cyberangriffe durch vermutlich staatliche Akteure an Bedeutung gewonnen haben. 28 Prozent würden in APT-Schutzmaßnahmen investieren, würde Geld keine Rolle spielen.
Dreiviertel der Unternehmen (74 Prozent) haben ihr Budget für Cybersecurity im letzten Jahr erhöht – ein Viertel davon sogar wesentlich (27 Prozent). Bei einem Fünftel (20 Prozent) der Unternehmen macht das Cybersecurity-Budget drei bis fünf Prozent des IT-Budgets aus. Die Hälfte der österreichischen Unternehmen (53 Prozent) beschäftigt außerdem ein bis zwei Mitarbeiter, die sich dezidiert mit Cybersecurity beschäftigen.
www.kpmg.at