Die IT spielt in nahezu allen Unternehmen eine Schlüsselrolle. Die hohe Leistungsfähigkeit und der Komfort sowie die fortschreitende Vernetzung geht jedoch einher mit einer wachsenden Komplexität der Systeme. Damit entstehen permanent neue Angriffspunkte, die ein Eindringen in die Unternehmens-IT ermöglichen. Diese Angriffspunkte werden durch kriminelle Organisationen systematisch erkundet und ausgenutzt, um Daten zu stehlen oder um den Betrieb durch Ransomware zum Erliegen zu bringen und Lösegeld zu erpressen. Unternehmen müssen sich hier fortlaufend schützen, was jedoch gerade im Mittelstand bzw. bei KMU durch geringe Kapazitäten und schmale Budgets erschwert ist. Und leider hat auch nicht jeder externe IT-Dienstleister dieses Thema auf dem Schirm. Bevor in einem Unternehmen deshalb garnichts unternommen wird, wollen die folgenden Seiten pragmatische Ansätze aufzeigen und dazu ermuntern, wenigstens erste Schritte zu tun. Beginne am besten gleich heute!
Relevant für:
Geschäftsführer/Geschäftsführerinnen (*) und IT-Verantwortliche in kleinen und mittleren Unternehmen (KMU) bzw. im Mittelstand
Themen:
IT-Sicherheit
IT-Sicherheit und Informationssicherheit
Die nachfolgenden Abschnitte gehen nicht nur auf die IT-Sicherheit im engeren Sinne ein, sondern betrachten auch die übergreifende Perspektive der Informationssicherheit. Die Informationssicherheit behandelt den Schutz von Informationen, unabhängig davon, ob sie auf IT-Systemen gespeichert oder anderswo hinterlegt sind, beispielsweise in Form von Papierdokumenten. Dabei spielt die IT natürlich eine herausragende Rolle, denn viele Geschäftsprozesse nutzen Informationstechnik.
Bedrohungen der Unternehmens-IT
Die IT eines Unternehmens bzw. einer Organisation ist vielfältigen Bedrohungen ausgesetzt.
●
Beschädigung, Zerstörung:
Eine Reihe von Gefährdungen lauern in den Unternehmen selbst oder in deren Umgebungen. Das ist das Risiko durch Feuer, Wasser, Verschmutzung, extreme Temperaturen oder auch durch Fehl-Handlungen.
●
Ausfälle
Probleme können sich ergeben durch Ausfall der Versorgung (z.B. der Stromversorgung), Ausfall von Personal oder Dienstleistern (wichtige Know-How-Träger)
●
Cyber-Kriminalität
Eine besonders starke Bedrohung ist durch die Internet-Kriminalität gegeben. Durch die Vielzahl von Akteuren besteht für jedes Unternehmen ein hohes Risiko, Opfer einer Cyber-Attacke zu werden.
Eine gute Übersicht bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Dokument "Elementare Gefährdungen":
(PDF-Dokument zum Download)
https://www.bsi.bund.de/Shared...
Cyber-Kriminalität
Eine besondere Bedrohung geht von der Cyber-Kriminalität aus, denn das Risiko ist Unternehmen gleich welcher Art und Größe besonders hoch, einem Angriff zum Opfer zu fallen. Hier sind weltweit vielfältige Akteure rund um die Uhr am Werk, die die globale Vernetzung nutzen, um wirtschaftliche oder politische Vorteile zu erlangen. Durch unterschiedliche Rechtssysteme und geringere Intensität der Strafverfolgung können sie oft handeln, ohne selbst ein größeres Risiko einzugehen.
Gruppen
●
Staatliche Akteure
Staaten haben vielfältige Interessen, ob Wirtschafts- und Militärspionage, Verfolgung von Reisen und Zahlungsströmen oder das Identifizieren von Steuersündern. Neben diesen Ausspähen von Daten versuchen Staaten auch immer wieder, die Verfügbarkeit von IT-Systemen zu beeinträchtigen, beispielsweise um prestigeträchtige Veranstaltungen zu stören.
●
Kriminelle
Kriminelle nutzen die globale Vernetzung, um Unternehmen weltweit mit zahlreichen Methoden anzugreifen, um sie wirtschaftlich zu schädigen.
●
Unlautere Wettbewerber
Kriminell handelnde Wettbewerber versuchen, Informationen zu erlangen, die ihnen im Wettbewerb nutzen. Das kann beispielsweise spezielles Know-How sein oder Preisinformationen. Oft spielen dabei ehemalige Mitarbeiter eine Rolle, die entsprechende Informationen gleich mitbringen oder die noch Zugang zu Systemen haben. Auch könnte versucht werden, das Unternehmen aktiv zu schädigen, indem IT-Systeme gestört werden.
●
Krypto-Miner
Das Errechnen von Krypto-Geld wie Bitcoin benötigt umfangreiche Rechner-Ressourcen und viel Strom. Kriminelle Miner verwenden für diesen Zweck gehackte fremde Systeme, so dass dem rechtmäßigen Betreiber dieser Systeme Rechenleistung verliert und höhere Stromkosten hat. Gleichzeitig sind solche Systeme natürlich auch im Hinblick auf die Vertraulichkeit der Daten kompromittiert.
●
Verärgerte Mitarbeiter
Ehemalige Mitarbeiter könnten versuchen, das Unternehmen aus Rachsucht zu schädigen. Ihre Kenntnis der Internas hilft ihnen dabei.
Methoden und Werkzeuge
●
Phishing
Es wird versucht, mit falschen Identitäten in E-Mails, Anrufen u.a. Personen zur Preisgabe von sensiblen Informationen oder zur Installation von Schadsoftware zu bringen. Mit Phishing werden in der Regel Angriffe bezeichnet, die breit streuen und sich nicht an eine spezifische Person richten, im Unterschied zu Spear Phishing.
●
Spear Phishing
Bei dieser Phishing-Variante richten sich die Versuche gezielt gegen eine Person. Die gefälschten Identitäten sowie die Texte in Mails und Dokumenten sind genau auf die Tätigkeiten und Interessen dieser Person abgestimmt. Damit steigt die Wahrscheinlichkeit, dass die Person auf schädliche Links klickt, Dokumente öffnet oder Eingaben tätigt.
●
Whaling
Bei Whaling wird als falsche Identität des Absenders eine Person genutzt, die beim Adressaten eine hohe Autorität genießt, beispielsweise der Chef des Unternehmens.
●
Denial of Service (DoS), Distributed Denial of Service (DDoS)
Ein IT-System wird mit sehr vielen gleichzeitigen Aufrufen überlastet, so dass es auf legitime Aufrufe nicht mehr oder nur noch sehr langsam reagieren kann. Das wird beispielsweise dafür eingesetzt, Online-Shops lahmzulegen, so dass keine Bestellungen mehr abgewickelt werden können und damit Umsatz verloren geht.
●
Falsche Identitäten
Ein Angreifer gibt sich als Kollege/Kollegin, Chef, Lieferant, Kunde, Behörde usw. aus. Das kann auf vielfältige Weise geschehen, z.B. durch ein gekapertes E-Mail-Konto, ein ähnlich aussehendes E-Mail-Konto, immitierte Stimme u.ä. Die Identität kann durch vermeintliche Insider-Informationen, autoritäres Auftreten, Zeitdruck und andere Begleitmaßnahmen untermauert werden.
●
Social Engineering
Mit Hilfe von vermeintlichen Insider-Kenntnissen und geschickter Gesprächsführung werden falsche Identitäten untermauert und Zielpersonen zur Herausgabe von Informationen oder zu bestimmten Handlungen veranlasst. Oft ist eine Kette von Kontakten, bei der in einem einzelnen Kontakt nur auf eine anscheinend unwichtige Detailinformation hingearbeitet wird. Diese Detailinformation hilft dann bei den nachfolgenden Kontakten, tiefer zu dringen und am Ende zu einem umfassenden Gesamtbild zu kommen.
●
Schadsoftware
Schadsoftware (Malware) spielt beim ersten Eindringen in viele Organisationen eine zentrale Rolle. Über präparierte Mail-Anhänge oder Links wird die Software gezielt an einzelne Empfänger oder schrotschussartig an viele potenzielle Empfänger ausgebracht. Wird sie durch unachtsames Verhalten aufgerufen, so wird in der Regel weitere Malware nachgeladen, mit der ein dauerhafter Zugang in das Unternehmensnetzwerk geschaffen wird. Dieser wird genutzt, um die IT-Systeme des betroffenen Unternehmens zu erkunden und Informationen auszuspähen. Für Erpressungen wird schließlich ein Krypto-Trojaner installiert (Ransomware), die sich von Rechner zu Rechner verbreitet und die Dateien verschlüsselt, für deren Entschlüsselung die Organisation ein Lösegeld zahlen soll.
●
Spezielle Hardware
Neben Software kann auch spezielle Hardware genutzt werden, um eine Organisation anzugreifen. Das kann ein Keylogger sein, der physisch zwischen Tastatur und Rechner eingesteckt wird. Oder es kann eine Drohne sein, die auf dem Dach des Firmengebäudes landet, um von dort ein WLAN zu betreiben, in das sich Mitarbeitende versuchen einzuwählen und damit Zugangsdaten preisgeben.
●
Deep Fakes
Bei Deep Fakes wird eine falsche Identität mit zusätzlichen Merkmalen untermauert, z.B. einer computergenerierten Stimme, die der imitierten Person sehr ähnlich ist und die am Telefon Anweisungen erteilt, z.B. zum Tätigen einer Überweisung.
Regelmäßig werden die Methoden mit weiteren Maßnahmen kombiniert, um die Erfolgswahrscheinlichkeit zu erhöhen:
●
Zeitdruck
Regelmäßig wird Zeitdruck als zusätzliches Mittel angewendet, um Zielpersonen zum Handeln zu bewegen. Das ist beispielsweise ein über die Zeit steigendes Lösegeld bei Erpressungen oder ein wichtiges dringendes Geschäft, für das sofort Geld auf ein bestimmtes Konto überwiesen werden soll. Damit soll ein rationales Nachdenken über die Situation unterdrückt werden.
●
Autorität
Wie Zeitdruck gehört auch Autorität zu den beliebten Mitteln, mit denen falsche Identitäten flankiert werden. Das kann das vermeintlich oberste Management sein, das von einer IT-Mitarbeiterin das Einrichten eines Zugangs fordert.oder die sofortige Überweisung eines hohen Geldbetrags von einem Mitarbeiter in der Buchhaltung. Je höher das Autoritätsgefälle, desto geringer ist das Risiko von kritischen Rückfragen. Es kann auch der vermeintliche Chef eines großen Unternehmens sein, das unerwartet als Kunde auftritt und einen umfangreichen Auftrag in Aussicht stellt. Hier möchte in der Regel das adressierte Unternehmen den Auftrag nicht durch "kleinliche" Rückfragen gefährden.
Auch so könnte ein Angriffswerkzeug aussehen - Dieser Würfel wurde als Werbegeschenk an eine Geschäftsadresse geschickt. Laut Beschreibung beinhaltet er Blumensamen und Wachstumsgranulat. Der Empfänger soll ihn an einem hellen Ort aufstellen und regelmäßig gießen, damit innerhalb von 8 Monaten eine Pflanze heranwächst. Ein solcher Würfel würde aber auch gut Platz bieten für Sensoren, Mobilfunk-Modul und Stromversorgung, um Informationen aus dem Umfeld abzugreifen. Der helle Aufstellungsort verbessert die Chance auf eine gute Mobilfunkverbindung → Wenn über Ursprung und Absicht einer solcher Sendung irgendwelche Zweifel bestehen, dann am besten sofort entsorgen.
Angriffswege
●
Internet
Hauptangriffsweg ist heute das Internet, denn dieser lässt sich von beliebigen Orten auf der Welt nutzen, ist in vielen Ländern nur mit einem geringen Risiko verbunden und hier lassen sich auch Sprachbarrieren leicht überwinden. Gleichzeitig sind die angegriffenen IT-Systeme häufig von bekannten Herstellern und damit gut bekannt, einschließlich ihrer Schwachstellen.
●
Telefon
Mitunter wird auch das Telefon genutzt, um Mitarbeitenden Informationen zu entlocken oder sie zu bestimmten Handlungen zu bringen. Falsche Identitäten lassen sich am Telefon vor allem dann ausspielen, wenn in dem geplanten Setting auf natürliche Weise unterschiedliche Sprachen im Spiel sind, z.B. in der Kommunikation zwischen dem Hauptsitz eines Unternehmens und einer ausländischen Niederlassen oder mit einem ausländischen Kunden. Hinter den Sprachbarrieren lassen sich Wissenslücken gut verstecken.
Eine neue Dimension hat das Thema durch sog. Deep Fakes bekommen. Ein Computerprogramm nutzt eine real existierende Stimme, um neue Dinge synthetisch zu sagen. Die so immitierte Stimme eines Chefs oder einer Chefin kann dann genutzt werden, um Mitarbeitende zu Überweisungen zu bewegen oder Zugänge zum IT-System zu öffnen.
●
Briefe
Gelegentlich werden auch Briefe und Paketsendungen genutzt, um Zugang zu IT-Systemen zu erlangen. Das kann beispielsweise ein Brief an die Privatadresse sein, der angeblich von der eigenen IT kommt und einen USB-Stick enthält, der angeblich die neueste Version der VPN-Software enthält, die unbedingt installiert werden muss.
Oder eine Sendung enthält ein vermeintliches Werbegeschenk, das tatsächlich aber mit Sensoren bestückt ist, um Stimmen oder elektromagnetische Abstrahlung zu aufzunehmen.
Nicht im engen Sinne zur IT-Sicherheit bzw. Informationssicherheit gehörend, aber ähnliche Methoden nutzend sind Schreiben, die einen amtlichen Eindruck erwecken wollen. Üblicherweise sollen damit Handlungen ausgelöst werden, meistens der Abschluss eines Vertrags. Mit amtlich erscheinendem Briefpapier, mit sperrigen Formulierungen und angeblichen Aktenzeichen wird der Anschein erweckt, dass hier eine Behörde schreibt. Das Unternehmen soll angeblich seine Daten aktualisieren und unterschreiben, geht damit tatsächlich einen Vertrag ein, der keinen Wert hat, aber Geld kostet. Neben der Autorität der angeblichen Behörde wird immer auch Zeitdruck aufgebaut.
●
Physischer Zugang
Auch ein direkter physischer Zugang wird gelegentlich genutzt, um Zugang zum IT-System zu erhalten. Risikoarm ist beispielsweise das Ausbringen von mit Schadsoftware präparierten USB-Sticks auf dem Firmenparkplatz, die interessante Aufschriften wie "Gehaltsabrechnung" tragen.
Tests zeigen jedoch immer wieder, dass oft auch ein direkter Zugang in ein Unternehmen möglich ist, z.B. getarnt als Handwerker oder LKW-Fahrer. Damit besteht häufig die Möglichkeit, auf Netzwerkdosen zuzugreifen oder Hardware-Keylogger zu installieren, um Informationen zu gewinnen.
●
Persönlicher Kontakt
In Einzelfällen wird auch ein direkter persönlicher Kontakt genutzt, um Angriffe auf die IT eines Unternehmens zu starten. Das kann die Grenzkontrolle an einem Flughafen sein oder die zufällig erscheinende Begegnung mit einem Fremden in einem Eisenbahnzug, der darum bittet, sein Handy per USB-Kabel am Laptop der Zielperson aufladen zu dürfen - und sich dabei Malware installiert.
Schwachstellen und Schwächen
●
Fehlendes Bewusstsein
Viele Angriffe funktionieren nur, wenn ein Mensch etwas tut. Daher wird auf vielfältige Weise versucht, Mitarbeitende zu bestimmten Handlungen zu veranlassen, beispielsweise auf Links zu klicken oder per Mail zugesandte Dokumente zu öffnen, die Schadsoftware enthalten. Wenn die Mitarbeitenden einer Organisation kein Bewusstsein für solche kritischen Situationen entwickeln konnten, sind sie deutlich anfälliger dafür.
●
Konfigurationsfehler
Heutige IT-Systeme bieten eine große Zahl von Einstellmöglichkeiten, so dass die Auswirkungen einer bestimmten Kombination von Settings oft nicht mehr eingeschätzt werden kann. Das kann zu Sicherheitslücken führen.
Ein weiterer Punkt sind die vom Anbieter eines Systems initial gesetzten Standardpasswörter. Wird vergessen, sie auf ein individuelles Passwort zu ändern, so besteht auch hier eine Lücke, da solche Kennwörter für weit verbreitete Systeme allgemein bekannt sind.
●
Ungepatchte Systeme
Praktisch in jeder Software gibt es Sicherheitslücken, das lässt sich bei der Komplexität der Systeme nicht vermeiden. Wichtig ist deshalb der Umgang mit solchen Lücken, wenn sie erkannt werden oder bekannt werden. Die meisten Anbieter stellen dafür Fixes bereit und die Betreiber / Anwender müssen dann allerdings dafür sorgen, dass solche Fixes auf ihren Installationen auch eingespielt werden. Das passiert jedoch nicht immer und damit sind Systeme verwundbar.
Immer wieder werden auch alte Systeme weiterbetrieben, die aus der Pflege gelaufen sind und für die es keine Updates mehr gibt. Sie bieten ebenfalls gute Angriffspunkte, wenn sie nicht isoliert betrieben werden.
●
Zero-Day-Lücken
Das sind Sicherheitslücken, die noch weitgehend unbekannt sind und für die es noch keinen Patch gibt. Sie bieten ein hohes Angriffspotenzial, die Angriffe müssen mit anderen Mitteln erkannt und abgewehrt bzw. eingedämmt werden.
●
Schwache Authentifizierung
Kurze oder der Alltagssprache entlehnte Passwörter sind durch Wörterbücher und Brute-Force-Attacken deutlich leichter zu knacken als lange. Außerdem sollten wichtige Anmeldungen mit einer Multi-Faktor-Authentifizierung abgesichert sein, was nicht immer der Fall ist.
Zu einer schwachen Authentifizierung in einem nicht-technischen Sinne kann gerechnet werden, wenn beispielsweise Absender von Mails nicht ausreichend überprüft werden, vor allem bei kritischen Geschäftsvorfällen wie der Änderung einer Kontoverbindung. Oder die unzureichende Überprüfung von Anrufern, die sich als Vorgesetzte ausgeben.
●
Ungeeignete Berechtigungen
Das Risiko von Malware-Infektionen oder einfach nur von Fehlhandlungen ist größer, wenn mit zu umfangreichen Berechtigungen gearbeitet wird. Das können unnötige Administrator-Berechtigungen für normale Nutzer auf Arbeitsplatzrechnern sein. Es kann auch der IT-Administrator sein, der permanent mit Admin-Berechtigung angemeldet ist, obwohl er sie nicht durchgehend benötigt.
Zu umfangreiche Berechtigungen können auch entstehen, wenn bei einem Abteilungswechsel die Rechte bestehende Rechte nicht entzogen werden. Oder wenn beim Ausscheiden eines Mitarbeiters / einer Mitarbeiterin die Zugriffe auf Cloud-Anwendungen nicht gesperrt werden.
●
Schwacher physischer Schutz
Ein physischer Zugriff kommt immer wieder vor, daher sollten das Firmengelände, Zugänge, Türen und Fenster immer gut abgesichert sein. Fremde müssen begleitet werden, Unbekannte müssen sofort angesprochen und zum Empfang begleitet werden. Wenn das nicht gegeben ist, dann haben Angreifer, die beispielsweise als Handwerker getarnt sind, leichtes Spiel beim Zugriff auf Netzwerkdosen und Arbeitsplatzrechner.
●
Keine Tests
In der IT-Infrastruktur eines typischen Unternehmens sind viele Lücken möglich und professionelle Angreifer verfügen über ein großes Repertoire von Methoden, um diese auszunutzen. Daher ist es wichtig, die Infrastruktur mit den Augen eines Hackers zu betrachten und zu versuchen, in das System einzudringen. Das benötigt Kreativität, spezifisches Wissen, besondere Tools und viel Erfahrung, was man in der Regel nicht innerhalb des eigenen Unternehmens findet, zumal hier auch noch Betriebsblindheit hinzukommt. Daher ist es wichtig, dass die IT von externer Seite regelmäßig mit Penetrationstests auf solche Lücken geprüft wird. Passiert das nicht, so ist die Wahrscheinlichkeit hoch, dass Lücken bestehen bleiben, die zum Eindringen ausgenutzt werden.
●
Fehlende Angriffserkennung
Neben der sicheren Konfiguration der IT-Landschaft ist das Erkennen möglicher Angriffe eine wichtige Komponente. Denn eine 100%ige statische Absicherung der Systeme gibt es nicht, erfolgreiche Hacker sind kreativ und finden immer wieder neue Lücken. Deshalb müssen ihre Aktivitäten so früh wie möglich erkannt werden. Das gilt umso mehr, weil sie in frühen Phasen tendenziell mehr Spuren hinterlassen als später, wenn sie sich im System bereits gut auskennen. Deshalb sind Sicherheits-Tools wie Endpoint Protection, Intrusion Detection System (IDS), Honeypots und ein Security Information and Event Management (SIEM) nützlich, im Idealfall angebunden an ein Security Operations Center (SOC), das eine 7x24-Überwachung bietet. Fehlen solche Maßnahmen, so können Angreifer unbemerkt vordringen und sich im System für lange Zeit festsetzen.
Die erpresserische Verschlüsselung von Unternehmensdaten wird häufig in der Nacht von Freitag auf Samstag gestartet, damit sie über das Wochenende so lange wie möglich unerkannt laufen kann.
Angriff in der Nacht auf Samstag, bemerkt von US-Kollegen, die noch auf dem System waren
https://www.fuldaerzeitung.de/...
●
Kein Notfallmanagement
Cyberattacken und das Eindringen in das Unternehmensnetzwerk lassen sich aufgrund der Komplexität der IT-Systeme nicht ausschließen. Der Denkansatz sollte eher sein, dass irgendwann ein Angriff gelingt. In einem solchen Fall hängen die Auswirkungen auf die Organisation in hohem Maße davon ab, wie gut sie vorbereitet ist und wie schnell sie reagiert. Ist die Organisation unzureichend darauf eingestellt und macht sich erst beim Eintritt eines solchen Ereignisses die ersten Gedanken, dann haben die Angreifer viel höhere Chancen, ihr Werk fortzusetzen und die Auswirkungen auf das Business werden gravierender sein.
●
Keine Sicherung
Eine Offline-Datensicherung ist die Grundlage, um die Auswirkungen eines Cyber-Angriffs zu begrenzen. Denn neue Hard- und Software kann man kaufen, die Unternehmensdaten aber nicht. Ist keine Sicherung vorhanden oder gab es nur Online-Sicherungen, die von Angreifern gelöscht werden konnten, so ist ein Wiederanlauf des Geschäftsbetriebs deutlich erschwert und umso eher ist man auf die Zahlung eines Lösegelds angewiesen.
●
Fehlende Prozesse
Fehlende Prozesse im Unternehmen können Angriffe auf die Informationssicherheit begünstigen. Wenn beispielsweise die private Internet-Nutzung nicht geregelt ist. Oder wenn nicht geregelt ist, wie Änderungen von Kontoinformationen von Lieferanten sicher durchzuführen sind. Oder wenn es kein Offboarding-Prozess für ausscheidende Mitarbeiter gibt und diese dadurch Online-Zugänge länger als nötig haben.
●
Unsystematische Maßnahmen
Prozess- und IT-Landschaften sind komplex und bieten eine Vielzahl von Angriffsflächen. Wenn der Absicherung nicht systematisch erfolgt und kontinuierlich verbessert wird, bleiben u.U. gravierende Lücken, die ausgenutzt werden können.
Ein Managementsystem für Informationssicherheit (Information Security Management System, ISMS) bietet hier eine wichtige Basis, für die es umfangreiche Standards und Best Practices gibt. Speziell auf den Mittelstand zugeschnittene Standards wie der VdS 10000 ermöglichen die Umsetzung auch mit begrenzten Ressourcen.
Wirkungsrichtungen
Angriffe auf die IT-Sicherheit bzw. auf die Informationssicherheit richten sich in der Regel gegen diese drei Eigenschaften:
●
Vertraulichkeit
Es sollen Informationen aus dem Unternehmen bzw. aus der Organisation erlangt werden. Das kann Know-How sein, es können Preise sein, aber auch Identitäten wie der Kunden- und Mitarbeiterstamm sind von Interesse.
●
Verfügbarkeit
Selbst wenn ein Unternehmen keine "geheimen" Informationen besitzt, so ist der Geschäftsbetrieb in den meisten Fällen hochgradig von der Informationstechnik abhängig. Wird deren Verfügbarkeit durch DoS-Angriffe oder durch Schadsoftware wie Krypto-Trojaner eingeschränkt, so entstehen für das betroffene Unternehmen große Schwierigkeiten und wirtschaftliche Ausfälle. Das wird genutzt, um dem Unternehmen allgemein zu schaden oder um Geld für die Wiederherstellung zu erpressen (Ransomware).
●
Integrität
Bei einer Beeinträchtigung der Integrität werden Daten unbemerkt oder ungeprüft verändert. Das kann beispielsweise die Kontoverbindung eines Lieferanten sein, so dass kommende Zahlungen auf das Konto einer kriminellen Organisation überwiesen werden.
Eine Verletzung der Integrität kann auch bedeuten, dass ein E-Mail-Konto der Organisation gekapert und von den Angreifern für weitere Handlungen genutzt wird. Dann wird beispielsweise das Vertrauen in die Mail-Adresse ausgenutzt, um Schadsoftware an andere Unternehmen zu verteilen. Die Angreifer übernehmen u.U. sogar eine existierende Kommunikationsbeziehung und nutzen den bestehenden Kontext - z.B. eine Bestellung bei einem Lieferanten - um mit dem bereits vorhandenen Vertrauen die Empfänger zum Öffnen von Dokumenten (die Schadsoftware enthalten) zu bewegen.
Daneben gibt es weitere Ziele, auf die sich ein Angriff richten kann. Sie gehören nicht zur IT-Sicherheit bzw. Informationssicherheit im engeren Sinn, sind jedoch stark verwandt, weil ähnliche Methoden und Werkzeuge wie falsche Identitäten genutzt werden.
●
Veranlassen von Handlungen
Hierunter fallen z.B. das nicht autorisierte Überweisen von Geld auf ein Konto von Betrügern oder das Auslösen einer Warenlieferung an einen vermeintlichen Kunden - auch im B2B-Bereich.
Nutzen für die Angreifer
Angreifer können auf vielfältige Weise profitieren, deshalb sind Unternehmen jeder Größe interessant und gefährdet, auch wenn sie keine "geheimen" Informationen besitzen. Da Cyber-Kriminelle oft in Banden organisiert sind und arbeitsteilig und hocheffizient vorgehen, lohnt es sich für sie auch, kleine Unternehmen anzugreifen, selbst wenn keine Millionenbeträge zu erwarten sind.
●
Geld
Geld kann auf verschiedene Weise abfallen: Als Lösegeld für Ransomware, um Dateien wieder entschlüsseln zu können und damit vertrauliche Daten des betroffenen Unternehmens nicht im Internet veröffentlicht werden. Es kann aber dadurch abfallen, dass ein Unternehmen durch Täuschung und Manipulation veranlasst wird, einen Betrag auf ein Konto von Kriminellen zu überweisen.
●
Informationen
Das können vertrauliche Informationen sein, auf die es die Täter abgesehen haben und die sie möglichst unbemerkt abziehen wollen, z.B. Know How, Preislisten, Angebote. Es können aber auch Informationen sein, die die Täter drohen zu veröffentlichen, sollte das Unternehmen kein Lösegeld zahlen.
●
Identitäten
Identitäten sind nützlich, um sie an andere Täter zu verkaufen oder um sie selbst zu nutzen. Das kann das Verzeichnis der Mitarbeitenden oder der Kunden sein, oft verbunden mit wichtigen Informationen wie E-Mail-Adresse oder Kontoverbindung. Eine Identität kann aber auch ein gekapertes Mailkonto sein, von dem aus die Angreifer nun Lieferanten oder Kunden der Organisation angreifen und die korrekte Mailadresse sowie Kontextinformationen als Beleg der Authentizität nutzen.
●
Waren
Wenn das betroffene Unternehmen die Identität von Neukunden ungenügend prüft oder wenn mit fingierten Bestellungen an ungewöhnliche Orte geliefert werden soll, dann können Angreifer im B2B-Bereich erhebliche Werte an sich bringen.
●
Rechenleistung
Miner von Krypto-Währungen haben einen permanenten Bedarf an günstiger Rechenleistung. Durch Übernahme von Rechnern der betroffenen Organisation sparen sie Investitionen in eigene Systeme sowie Stromkosten, womit das Mining für sie günstiger wird.
●
Störungen des Betriebs & Schäden
Angreifer können auch von Störungen des Betriebs und von Schäden profitieren. Denn das Unternehmen muss sich zunächst mit den Störungen beschäftigen, hat Umsatzeinbußen, muss in die Schadensbehebung investieren und ist somit in seiner Weiterentwicklung gestört. Für staatliche Akteure kann ein Nutzen auch darin liegen, dass prestigeträchtigen Veranstaltungen gestört werden.
●
Schadenfreude, Rache
Manche Angreifer können aus einem Schaden keinen Vorteil ziehen, aber befriedigen ihr Bedürfnis nach Schadenfreude oder Rache.
Schäden für das Unternehmen
Erfolgreiche Cyber-Attacken führen in den betroffenen Unternehmen zu vielfältigen Problemen, die oft mit hohen finanziellen Schäden verbunden sind. In einigen Fällen führte das bis zur Insolvenz.
●
Reputationsschäden
Der Ruf des Unternehmen oder der Organisation kann auf vielfältige Weise leiden:
- Das Unternehmen kommt durch Störungen und Produktionsausfälle in Lieferverzug
- Das Unternehmen muss Kunden und Lieferanten informieren, dass vertrauliche Informationen abgeflossen sind und eventuell in die Öffentlichkeit gelangen werden.
- Das Unternehmen muss an Mitarbeiter und Kunden melden, dass personenbezogene Daten offenbart wurden
- Wenn die Auswirkungen gravierend sind, muss eine Aktiengesellschaft ggf. ad-hoc mitteilen, dass sie Opfer eines Cyber-Angriffs geworden ist.