OX Blog

IT-Sicherheit: Firmendaten sind Gold wert

Written by Rafael Laguna | Mar 22, 2019

Digitale Firmendaten sind für Unternehmen Gold wert. Doch leider haben auch Cyberkriminelle das erkannt, und Hacker entwickeln immer raffiniertere Methoden, um an diese Datenschätze zu gelangen. Die Angriffe gelten dabei längst nicht nur Energieversorgern, Automobilherstellern, Hotels und Krankenhäusern. Auch kleine und mittelständische Betriebe werden zunehmend Opfer von Cyber-Attacken. Die Folgen können verheerend sein: Produktionsabläufe kommen zum Erliegen, Großaufträge gehen verloren, Patente, Konzeptionen und Kundendaten geraten in fremde Hände. Am Ende kostet der Hackerangriff somit nicht nur viel Geld, sondern er kann auch das Ende für das Unternehmen bedeuten. Doch um den Datendiebstahl zu verhindern, gibt es auch in unserer Region zahlreiche Experten, die die Betriebe beim Thema IT-Sicherheit unterstützen.

›› „Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden, die anderen wissen es nur noch nicht.“ So antworten IT-Experten auf die Frage, wie gut deutsche Firmen vor Cyberkriminalität geschützt sind. Die Bedrohungslage für die Betriebe ist hoch. Unabhängig von Größe, Struktur oder Branche kann jedes Unternehmen von einem Hackerangriff betroffen sein. 

Deutschland ist ein bevorzugtes Ziel von Cyberkriminellen und Hackern. Die Zahl der Opfer und die Summe der Schäden wachsen stetig. Das Bundeskriminalamt spricht von fast 86.000 Fällen, die 2017 offiziell bundesweit dokumentiert wurden. Die Dunkelziffer ist weit höher einzuschätzen. Der Digitalverband Bitkom beziffert den finanziellen Schaden für die deutsche Wirtschaft durch Cyberkriminalität auf 55 Mrd. € pro Jahr. Im Schnitt verursacht Cyberkriminalität bei Unternehmen mit weniger als 100 Mitarbeitern Kosten von knapp 22.000 €. Das ermittelte Hiscox, Spezialversicherer für IT-Haftpflichtversicherungen, in seinem „Cyber Readiness Report 2017“. Beinahe jeder zweite Mittelständler in Deutschland hat Datenklau,Geheimnisverrat oder Spionage schon erlebt, wie das Max-Planck-Institut für ausländisches und internationales Strafrecht gemeinsam mit dem Fraunhofer-Institut für System- und Innovationsforschung und der Polizei herausgefunden hat. Dabei haben Cyberkriminelle auch den Wirtschaftsstandort NRW im Fokus. Vor zwei Jahren wurde beispielsweise das Lukas-Krankenhaus in Neuss Ziel eines Hackerangriffs. Viele technische Geräte waren anschließend nicht mehr verfügbar, und die IT-Abteilung arbeitete Tag und Nacht durch, um Daten zu sichern und die Computer wieder zu entschlüsseln. Etwa einen Monat hat es gedauert, bis alle Systeme wieder funktionstüchtig waren.

Insgesamt hat der Angriff das Krankenhaus rund 1 Mio. € gekostet. Beim letzten IT-Sicherheitstag NRW in Wuppertal bezifferte Burkhard Freier, Leiter des Verfassungsschutzes NRW, den jährlich durch Cyberkriminalität entstehenden wirtschaftlichen Schaden Nordrhein-Westfalens auf etwa 10 bis 12 Mrd. €. Demnach ist jedes zweite hier ansässige Unternehmen bereits ins Visier von Hackern geraten. Vorbei sind allerdings die Zeiten, in denen die Täter versuchten, mittels stümperhafter Rundmails mit gefälschten Briefköpfen und zahlreichen Rechtschreibfehlern an Kontodaten, Kontakte und Passwörter zu gelangen. Inzwischen haben sie sich zu „IT-Experten“ entwickelt, die ein großes Repertoire an Methoden beherrschen: ausgeklügelte Phishing-Mails, digitale Erpressungen mit Lösegeldforderungen durch Ransomware, Daten- und Passwortdiebstahl, Infiltrieren der Unternehmens-IT durch Viren, Trojaner, Würmer und Spy-Software, flächendeckende wahllose Massenangriffe mit Schadprogrammen nach dem Zufallsprinzip oder gezieltes Ausspähen einzelner Unternehmen mithilfe von Social Engineering. Dabei werden arglose Benutzer ganz persönlich dazu bewegt, vertrauliche Daten an den Angreifer zu senden. Gefährlich ist derzeit eine ganz besondere Betrugsmasche namens „CEO Fraud“, bei der Firmen unter Verwendung falscher Identitäten zur Überweisung von Geld manipuliert werden. Das ist quasi der „Enkeltrick de luxe“, dennhier geben sich die Betrüger als Chefs aus und fordern ein zahlungsberechtigtes Mitglied des Unternehmens per E-Mail zu einer dringenden Zahlung einer höheren Summe ins Ausland auf. Zum Teil führen die Angreifer dabei die klassische Wirtschaftsspionage durch, bei der sie oftmals unbemerkt Daten über Produktionsabläufe, Zukunftsprojekte, Zulieferer oder aber das Warensortiment samt Preisgestaltung hacken. Andere verschlüsseln Daten und Netzwerkzugänge nur, um anschließend „Lösegeld“ zu erpressen.

 

©Heiner Morgenthal Thomas Paar weiß,dass ein Cyberangriff jedes Unternehmen treffen kann – egal, ob Klein- oder Großunternehmen.

„Auch hier in der Region sind wir von Industriespionage betroffen“, sagt Thomas Paar, Geschäftsführer der PAAR IT GmbH in Siegen. Der Ansprechpartner für IT-Beratung und Lösungen für Kunden unterschiedlichster Branchen und Unternehmensgrößen weiß, wie wichtig IT-Sicherheit im Unternehmen ist. „Zu unseren Kunden gehören unter anderem Weltmarktführer und Hidden Champions. Allen ist klar, dass Produktionsprozesse andernorts vielleicht günstiger ausgeführt und deshalb auch verlagert werden könnten. Aber das Know-how soll hier in der Region bleiben und natürlich nicht abfließen. Voraussetzung dafür sind ein möglichst hoher Schutz sowie die Verfügbarkeit der Daten.“ Längst haben Cyberkriminelle nicht nur die „Big Player“, sondern auch die Mittelständler als Erpressungsziel ausgemacht. Während in DAX-Unternehmen ganze Abteilungen mit großem personellen, technischen und finanziellen Aufwand einen maximalen Schutz vor Angriffen sicherstellen sollen, wird das Sicherheitsthema bei einem kleinen Metallverarbeiter mit zehn Beschäftigten, bei der Zahnarztpraxis oder beim Autohaus manchmal doch eher nachrangig behandelt.

Geringes Budget für vermeintlich verzichtbare und „zu teure“ IT-Sicherheit, ein laxer Umgang mit Passwörtern und Zugangsrechten für Mitarbeiter sowie ein mangelhaftes Bewusstsein für die Folgen des Verlusts von Firmen, Kunden-und Produktionsdaten – hier kommen Angreifer mit Phishing-Mails oder Ransomware schnell ans Ziel. „Eines muss den Unternehmen klar sein: Ein Cyberangriff kann jedem passieren – ganz egal, ob Klein- oder Großunternehmen. Denn neben Angriffen auf große Firmen haben wir auch Fälle, bei denen Hacker kleine Steuer- und Lohnbüros, Rechtsanwaltskanzleien und Arztpraxen hier in der Region angegriffen haben“, berichtet Thomas Paar, der mit einem Team von zehn IT-Spezialisten in den Bereichen IT-Security, Netzwerklösungen, Serverspeicher und Client-Management bundesweit 350 Kunden betreut. Um eine möglichst hohe IT-Sicherheit zu gewährleisten, gibt Thomas Paar den simplen Ratschlag, stets mit gesundem Menschenverstand vorzugehen. Übersetzt könnte das auch heißen: „Erst denken, dann klicken.“ Vorsicht ist weiterhin auch bei E-Mail-Anhängen geboten. Zudem sollten Virenscanner und Firewalls installiert und immer auf dem neuesten Stand sein. „So wird permanent kontrolliert, welche Daten und Mails ein- und ausgehen.“

©Heiner Morgenthal Bundesweit betreut die Paar-IT GmbH mit einem Team von zehn IT-Spezialisten 350 Kunden.

Laut Thomas Paar müsse am Anfang der Strategiekette zur IT-Sicherheit eines Unternehmens stets die Risikobewertung stehen. Dabei solle man sich folgende Fragen stellen: Welche Daten habe ich? Welche Folgen hätte deren Verlust? Wie hoch wäre der Schaden bei nur einem Tag Systemausfall? „Erst wenn ich die Konsequenzen eines Datenverlustes überblicke, kann ich geeignete Maßnahmen zur Sicherung meiner IT einleiten. So bedeutet ein einziger Tag Datenverlust bei einem Buchhaltungsbüro mit 25 Mitarbeitern zum Beispiel bereits umgerechnet 25 Manntage.“ Paar rät Unternehmen in puncto Datensicherheit vor allem zu einer wichtigen Maßnahme: „Backups machen!“ Am besten solle man diese über eigene Server und Festplatten erstellen, die im Idealfall mobil und außerhalb des Büros gelagert werden. „Natürlich gibt es keine hundertprozentige Sicherheit. Aber wenn es mich als Unternehmer trotz aller Schutzmaßnahmen doch mal erwischen sollte, kann ich mit einer funktionsfähigen und aktuellen Datensicherung viel gelassener auf einen Angriff reagieren.“ Während das Bundeskriminalamt rät, der Erpressung nicht nachzugeben und sie auf jeden Fall zu melden, sieht die Praxis oft anders aus. „Ich kenne allein elf Fälle, in denen heimische Unternehmen das Lösegeld gezahlt haben. Die Erpresser haben die Höhe dabei genau kalkuliert und auf die Zahlungsfähigkeit des Unternehmens abgestimmt. Meistens müssen dann Beträge bis zu knapp unter 10.000 € auf irgendein Konto in der Ukraine gezahlt werden“, verrät Thomas Paar. Denn laut Geldwäschegesetz sind Bargeld-Transaktionenin den oder aus dem EU-Wirtschaftsraum bis zur Grenze von 9.999 € nicht meldepflichtig.

Gibt ein Unternehmen dem Erpresser nach und zahlt es das Lösegeld, ist das aber noch lange keine Garantie dafür, dass die verschlüsselten Dateien und Server wieder freigeschaltet werden. „Im schlimmsten Fall sind die Daten und auch das Geld weg!“ Gezahltes Lösegeld, dazu der Image- und Vertrauensverlust bei den Kunden – das würde so mancher Betrieb nicht überleben, sagt Paar. Viele heimische Unternehmen würden leider erst durch Schaden klug. „Wer IT-Sicherheit nicht ernst nimmt und sie nicht zur Chefsache erklärt, ist früher oder später weg vom Markt!“ Damit der Worst Case gar nicht erst eintrifft, bieten IT-Sicherheitsberater wie PAAR IT einige Präventionsstrategien an: IT-Security Check, Zugangsmanagement, Daten- und E-Mail-Verschlüsselung, Endgeräteschutz sowie intelligente Backupund Recovery-Lösungen. Tritt der Ernstfall durch einen Cyberangriff wider Erwarten doch ein, ist Zeit der wichtigste Faktor. So gehört der exakt festgelegte Notfallplan zwingend zu einer kompletten IT-Sicherheitsstrategie. Thomas Paar: „Dieser Plan liegt natürlich nicht auf einem Rechner. Die zuständigen Mitarbeiter kennen dann den Ordner im Regal mit den Anweisungen: Was sind die ersten Handgriffe? Wen rufe ich an? Woher bekomme ich einen Server? Wo sind die Backups?“ Dann muss alles sehr schnell gehen, umden Schaden zu begrenzen.

„Sicherheit ist kein Zustand, sondern ein ständiger Prozess“, betont Martin Heiland, Security Officer des Software-Herstellers und IT-Dienstleisters Open-Xchange GmbH in Olpe. Die Firma ist mit 275 Mitarbeitern sowie internationalen Niederlassungen in Sydney, Helsinki, Tokio, Paris, Madrid, Turin und den USA ein „Big Player“ der IT-Branche.
In einem Teil des gesamten weltweiten E-Mail-Verkehrs liegt die Marktabdeckung der Software des Unternehmens aus dem Sauerland bei 75 %. „Sicherheit undatenschutz sind für uns von enormer Bedeutung. Alle Daten inklusive unserer europäischen Kunden liegen auf Servern in Deutschland“, erklärt Heiland. Er schätzt, dass Open-Xchange
rund 1 Mio. € pro Jahr für die IT-Sicherheit im eigenen Unternehmen und den Schutz von Kundendaten investiert. Die Maßnahmen dienen dabei der Abwehr von Cyberangriffen, sicherer Hardware sowie der internen und externen Schulung der Mitarbeiter. Dazu gehören auch Penetrationstests, kurz „Pentests“ – in Auftrag gegebene
Hackerangriffe zum Aufspüren von Sicherheitslücken. Hierzu nutzt Open-Xchange auch das Know-how von IT-Spezialisten und „legalen Hackern“ der weltweit größten Cyber-Security-Plattform Hacker-One. Der Clou: Bei Erfolg bekommen die „legalen Hacker“ ein „Kopfgeld“ gezahlt. Dieses Netzwerk mit etwa 200.000 Forschern hat nach eigenen Angaben bisher 72.000 Schwachstellen in über 1000 Kundenprogrammen behoben und dafür 31 Mio. $ bekommen. Open-Xchange hat in den vergangenen zwei Jahren für das Aufdecken von etwa 150 Sicherheitslücken Prämien in Höhe von 70.000 € gezahlt. Heiland: „Das ist sehr wenig Geld für einen so breit aufgestellten Pentest.“ Zusätzlich werden zielgerichtete Sicherheitstests von dafür beauftragten Unternehmen geplant und ausgeführt. Dies soll nicht nur die IT-Sicherheit prüfen, sondern auch die Widerstandsfähigkeit der Organisation gegenüber Ausspähversuchen. Wie weit Hacker in bestehende Systeme eingreifen können, hat Martin Heiland erst kürzlich wieder beim Besuch der „BlackHat Europe“, einer Sicherheitskonferenz in London, erfahren.

„Dort haben IT-Spezialisten gezeigt, dass sie von London aus eine U-Bahn-Tür in Shanghai während der Fahrt hätten öffnen können. Dieser Eingriff wäre möglich gewesen, weil die Steuerung über ein komplett offenes und ungeschütztes System lief.“ Künftig werden die im Netz angemeldeten Roboter und Maschinensteuerungen sowie das „Internet der Dinge“ (kurz IdD) das große Einfallstor für Cyberangriffe sein. Das IdD beschreibt, dass Alltagsgegenstände über das Internet gesteuert und auch miteinander vernetzt sind: die ferngesteuerte Kaffeemaschine, der intelligente Kühlschrank, die im Netz angemeldete Personenwaage oder die online gesteuerte und sich selbst regulierende Heizungsanlage. „Da stellt sich dann die Frage, wo die erzeugten Daten hinterlegt sind, wer darauf zugreifen darf und ob Hersteller solcher intelligenten Industrieund Haushaltsgeräte Sicherheitsupdates bereitstellen. Hier arbeiten wir derzeit an einer App, einer Art Fernsteuerung für das eigene Netzwerk, mit der Zugriffsrechte im Internet zentral vergeben werden können. Damit wird die Sicherheit aller im Netz angemeldeten Geräte erhöht, unabhängig davon, ob der Hersteller das vorsieht oder nicht. Solche Lösungen existieren bereits heute für den professionellen Einsatz, allerdings sind sie häufig zu kompliziert und aufwändig für den Einsatz im Haushalt oder in kleinen Unternehmen“, erklärt der Sicherheitsexperte von Open-Xchange. Viele Unternehmen würden auch die Sicherheitslücken von netzwerkgesteuerten Maschinen unterschätzen. Rund 250.000 Maschinen sind weltweit im Internet angemeldet, deren Daten praktisch für jeden unbeabsichtigt auslesbar sind. Das stellt ein echtes Sicherheits- und Datenproblem dar. Bei vielen Firmen fehlt noch das Bewusstsein, dass die soeben für viel Geld neu gekaufte CNC-Fräsmaschine bereits im Netz angemeldet ist und somit eine Gefahrenquelle darstellen kann.“ Zu den über das Netz gesteuerten Maschinen gehören zunehmend auch Operationsgeräte in der Medizin. Bei einem Cyberangriff müssten Patienten im schlimmsten Fall sogar um Leib und Leben fürchten.

©Heiner Morgenthal Christian Weiß sieht den Menschen neben der technischen Infrastruktur als wesentlichen Faktor für die IT-Sicherheit.

Um die IT-Sicherheit in Unternehmen und den Schutz vor Cyber-Attacken zu gewährleisten, rät Christian Weiß von der connect SYSTEMHAUS AG zu einer möglichst lückenlosen Strategie. „Die Themen Brandschutz, Unfallschutz und Sicherheitstechnik sind im Unternehmen selbstverständlich. Aber wie sieht es mit der Datensicherheit aus? Darüber machen sich immer noch zu wenige Unternehmer ernsthaft Gedanken. Doch wenn man bedenkt, dass der Schaden und der Imageverlust durch eine Daten-Verschlüsselung und Erpressung so groß sind, dass mehr als die Hälfte der betroffenen kleinen und mittleren Betriebe in den nächsten zwei Jahren daran kaputtgeht, ist diese Haltung fatal.“ Der Prokurist des IT-Management-Anbieters aus Siegen-Geisweid empfiehlt den Unternehmern daher ein bedarfsgerechtes Paket an Maßnahmen: Firewall, Virenschutz für PC, Server und Smartphones sowie ein ständiges Monitoring, verbunden mit der Überwachung der Systemzugriffe. Dazu kommen Backup-Lösungen mit der regelmäßigen Überprüfung, ob diese Sicherung denn auch tatsächlich funktioniert (Stichwort: Restore), Mail-Security sowie ein Patch-Management, das die Sicherheitslücken mittels Software-Updates behebt.

©Heiner Morgenthal Gemeinsam entwickelt die connect SYSTEMHAUS AG ein bedarfsgerechtes Maßnahmen-Paket für jeden Kunden.

Große Bedeutung haben auch die Netzwerk-Segmentierung, die Authentifizierung und die Rechtevergabe speziell für jeden Mitarbeiter. Diese Überwachung trägt einer anderen oft unterschätzten Sicherheitslücke Rechnung: So beruht ein großer Teil der Cyber-Attackenimmer noch auf internen Angriffen aus dem Unternehmen. Meist stammen die Attacken von frustrierten oder unbedarften Mitarbeitern, die entweder aus Unwissenheit handeln oder sich zur Spionage und Sabotage instrumentalisieren lassen. Daher ist ein ebenso wichtiger Sicherheitsbaustein die stetige Sensibilisierung und Schulung der Mitarbeiter im Unternehmen. Schließlich ist der Mensch neben der technischen Infrastruktur ein wesentlicher Faktor für die IT-Sicherheit. Vielfach ist es unbedachtes Handeln, das den Erfolg einer Cyber-Attacke erst möglich macht. Und genau zu diesem Aspekt geben alle drei IT-Experten denselben Rat: Finger weg von USB-Sticks und von WORD-Dokumenten, die im Quellcode bereits die Schadsoftware enthalten können. Christian Weiß unterstreicht: „Die beste IT nützt nichts, wenn die Mitarbeiter fahrlässig handeln, weil sie nicht wissen, wie sie die Gefahren abwehren können.“

Vor Cyberangriffen schützen

©Carsten Schmale

Interview mit Roger Schmidt (IHK Siegen Ansprechpartner IT-Sicherheit und Leiter des Arbeitskreises regionaler IT-Leiter)

Wirtschaftsreport: Herr Schmidt, Cyberkriminalität ist längst auch bei uns in der Region angekommen. Ist Ihnen ein Fall bekannt, bei dem ein regionales Unternehmen Opfer eines Angriffs wurde?

Roger Schmidt: Ja. Und das war kein kleiner Betrieb, sondern einer der Großen. Das Unternehmen ist Opfer einer besonderen Betrugsmasche im Zahlungsverkehr, im
sogenannten Payment Diversion Fraud, geworden. Cyberkriminelle haben die Kommunikation zu einem Lieferanten ausgespäht und in einem entscheidenden Moment
den Geldbetrag auf ein Konto der Betrüger umgeleitet. Die Angreifer haben sich als Mitglieder der Geschäftsführung ausgegeben und baten Mitarbeiter, die im Unternehmen
Zahlungen veranlassen können, per E-Mail darum, eine dringende Überweisung in einer geheimen und vertraulichen Angelegenheit auszuführen. Das haben diese dann auch getan, und schon war der Schaden da.

Wirtschaftsreport: Unter anderem gehören auch Phishing-Mails zum Standard-Repertoire der Cyberkriminellen. War dieses Unternehmen auch davon betroffen?

Schmidt: Ja, auch dieses Einfallstor haben die Betrüger genutzt. Es wurden gefälschte Nachrichten an Mitarbeiter des Unternehmens verschickt, die dann auf fingierte Links und Webseiten gelockt wurden. So wollten die Täter an persönliche Daten gelangen. Zudem haben die Hacker mit Ransomware alle Dateien auf den Rechnern und im Netzwerk verschlüsselt. Zur Entschlüsselung der Dateien haben sie dann die Zahlung eines Lösegeldes gefordert. Das Geld musste in Form einer Kryptowährung überwiesen werden.Der Gesamtschaden für das Unternehmen war enorm: Lösegeldzahlung, Datenverlust, Reset bzw. Neu-Installation von Hardware, Ausfallzeiten und temporäre Beeinträchtigung der Lieferanten- und Kundenbeziehung.

Wirtschaftsreport: Welche Konsequenzen hat das geschädigte Unternehmen nun gezogen, um vor Cyberangriffen künftig besser geschützt zu sein?

Schmidt: An erster Stelle führt das Unternehmen regelmäßige Sensibilisierungen der Mitarbeiter sowie Schulungen und Weiterbildungsmaßnahmen der IT-Fachabteilung
zu den Themen Cybercrime und IT-Sicherheit durch. Zudem wurden IT-Sicherheitsrichtlinien und ein Regelwerk zur Nutzung von betrieblicher EDV aufgestellt. Mitarbeiter
und Führungskräfte erhalten je nach Bedrohungslage gezielte Informationen und Hinweise. Darüber hinaus werden erkannte und auch vermutete Angriffe sofort den Ermittlungsbehörden gemeldet. Das Unternehmen hat seine IT-Technik modernisiert, die Hard- und Software samt der Infrastruktur aufgerüstet sowie eine  Cyber-Risk-Versicherung abgeschlossen. Darüber hinaus hat es einen Arbeitskreis „Unternehmenssicherheit und Cybercrime“ ins Leben gerufen, um Erfahrungen mit anderen Unternehmen auszutauschen.

Wirtschaftsreport: Auch im Arbeitskreis regionaler IT-Leiter werden Vorsichtsmaßnahmen zum Thema Cyberkriminalität ja sicherlich besprochen. Können Sie den Unternehmen Ratschläge gegen Cyber-Angriffe und Sicherheitslücken geben?

Schmidt: Es gibt zwar unterschiedliche Bedrohungsszenarien, aber es lassen sich durchaus grundlegende Tipps geben. Zunächst sollten Software-Updates regelmäßig
durchgeführt und aktualisiert werden. Zudem sind E-Mail-Anhänge immer skeptisch zu betrachten und nicht sofort zu öffnen. Generell sollten Nachrichten stets auf Plausibilität, Kontext und inhaltliche Formulierung geprüft werden. Bei geringsten Zweifeln sind eine Rückfrage und eine Überprüfung über einen separaten Kanal, zum
Beispiel per Telefon, dringend notwendig. Des Weiteren ist die Installation von standardisierten Verfahren und Prozessen wichtig, damit Abweichungen sofort erkannt
werden.