Die Methoden der Cyber-Kriminellen werden immer raffinierter und bringen ihnen auch hierzulande viele Millionen. Für Aufsehen sorgten jüngst gefälschte Überweisungsanweisungen mittels »Fake President«-Schmäh, präparierte Invoice-Mails oder Erpressung durch Datenverschlüsselung. Wie schützt man sich?
Ob brutal oder raffiniert, schnell oder wohlbedacht: Cyber-Gauner entwickeln laufend neue Methoden, die sich für sie auf alle Fälle lohnen. Bis zu 500 Milliarden Euro sollen die dunklen Internetgeschäfte die Welt jährlich kosten. Von den guten alten Denial-of-Service-Attacken, bei denen mit brutaler Rechenpower – meist durch zuvor gekaperte PCs und Server – die Firmen-IT mit Anfragen überflutet und lahmgelegt wird, falls etwa nicht brav ein Schutzgeld bezahlt wird, über sogenannte Ransomware, das sind kleine, feine Schadprogramme, die alle Firmendaten verschlüsseln, bis hin zu den wahren Meisterstücken des Cyber-Crimes, bei denen durch fleißiges und geduldiges Ausspionieren und einfühlsame persönliche Betreuung die wirklich großen Beträge abkassiert werden. Dazu gehört der für Finanzabteilungen besonders peinliche »Fake President Fraud«. Die in Oberösterreich beheimatete FACC AG hat dies rund 50 Millionen Euro gekostet – und die Finanzvorständin den Job.
50 Millionen weg
Die Verbrecher machen sich bei dieser raffinierten Methode durch Sicherheitslücken und persönliche Kontaktaufnahmen so weit mit dem Unternehmen und den wichtigen Führungskräften vertraut, dass sie schließlich die Finanzbuchhaltung genau zum richtigen Zeitpunkt davon überzeugen, große Beträge an fingierte Konten (etwa für eine möglichst geheim gehaltene Übernahme) zu überweisen. Im Fall der FACC war »nur« die FACC Operations GmbH betroffen, während die IT-Infrastruktur, Datensicherheit, IP-Rechte sowie die operativen Bereiche des Unternehmens laut einer Aussendung von den kriminellen Aktivitäten verschont blieben. Wie der Millionen-Coup genau ablief, ist noch unbekannt. Derzeit wird noch ermittelt und eventuelle Schadenersatz- und Versicherungsansprüche geprüft. Aber Achtung: Bei Nachlässigkeiten zahlen Versicherungen nicht!
»Die Methode, sich als Chef auszugeben, ist sicher die dreisteste und funktioniert bei international tätigen Unternehmen sehr gut«, meint Dieter Steiner, CEO des deutschen Cloud- und Security-Unternehmens SSP Europe, das vor allem durch seine hochsichere Dateiaustauschplattform Secure Data Space bekannt ist. Auch einer seiner Kunden war davon schon einmal betroffen und hat zwei Millionen Euro nach Asien überwiesen. Ein »Chef« konnte die Finanzabteilung davon überzeugen. »Hier werden oft wirklich alle Tricks eingesetzt, Unternehmen oft monatelang überwacht, das E-Mail-Konto des CEOs gehackt und dann an einem passenden Tag, an dem etwa wirklich eine größere Aktion anstehen sollte, zugeschlagen«, so Steiner.
Die bestens organisierten Banden wissen durch ihre Spionage genau, wann wer wie oft an einem Standort ist, die Anrufer sind bestens informiert, instruiert und sprechen die entsprechenden Dialekte, um so schrittweise das Vertrauen zu erlangen. Wenn dann eine E-Mail vom richtigen Account mit der dringlichen Anweisung einlangt, eine Blitzüberweisung zu tätigen, um etwa eine Übernahme in trockene Tücher zu bringen, und der Finanzchef dieses Vorhaben auch noch bestätigt, ist die Chance groß, dass überwiesen wird. Die Chancen, je wieder einen Cent von der Summe zu sehen, sind hingegen extrem gering.
Aufklärung und Transparenz
Raffinierte Angriffe wie diese können oft auch sehr gute IT-Security-Systeme nicht verhindern. Hier sind auch viel Aufklärungsarbeit bei den Mitarbeitern, klare Regeln, Transparenz und auch ein Geschäftsklima, das es Mitarbeitern erlaubt, eigene Fehler und seltsame Dinge sofort zu melden, erforderlich. Denn die dunkle Gegenseite rüstet ständig auf. Täglich schwirren über 150.000 Viren im Internet herum, die mehr als eine Million Menschen in der EU zum Opfer von Cyber-Attacken werden lassen. Laut dem IT-Sicherheitsanbieter Kaspersky waren 58 Prozent der weltweiten Computer in Unternehmensnetzwerken im Jahr 2015 mindestens von einer Malware-Attacke betroffen.
Der größte Fehler ist laut den Sicherheitsspezialisten die Einstellung, die vor allem bei KMUs vorherrscht, dass ja noch nie was passiert sei und das eigene Unternehmen für die Gauner zu wenig interessant sei. Dabei richten sich laut dem »Symantec Security Report 2015« rund ein Drittel der Angriffe gegen Unternehmen mit weniger als 250 Mitarbeitern. Hinter den meisten Cyber-Attacken, wie etwa bei den derzeit sehr beliebten Erpressungs- bzw. Verschlüsselungs-Trojanern (Ransomware), stecken oft vollautomatische Systeme, die einfach nach schlecht gesicherten Systemen Ausschau halten. Ein Klick auf eine falsche E-Mail oder gefälschte Website und schon nistet sich die Schadsoftware ins System ein, um gleich Schaden anzurichten oder sich schön langsam bis zu den Entscheidungsträgern mit hoher IT-Sicherheitsstufe hochzuarbeiten.
Kann jeden erwischen
Selbst das renommierte US-Sicherheitsunternehmen RSA, das auch einige Kunden im Rüstungsbereich wie Lockheed Martin betreut, wurde in einem der aufsehenerregendsten Cybercrime-Fälle 2011 durch eine perfekt gezielte Phishing-Mail zum Opfer. Was genau gestohlen worden ist, blieb geheim, aber es hat sich sicher um hochsensible Daten von rund 15.000 Kunden gehandelt. Beim Spear-Phishing werden gezielt Mitarbeiter ausgesucht, um sie dann mit Social-Engineering-Tricks zu locken, um etwa eine eigentlich als unsicher eingestufte Spam-Mail doch anzuklicken, da ja gelegentlich doch etwas durch die strengen Spam-Regeln aussortiert wird oder die Mails interessant klingen.
Laut einer Studie von Verizon klicken 23 Prozent der Mitarbeiter E-Mails mit interessant klingenden Anhängen wie »Planung2015.xls« oder »Gehaltsliste.xls« an, elf Prozent öffnen auch die Anhänge. Damit ist das Tor für Attacken geöffnet. Kombiniert mit immer wieder neu gefundenen Sicherheitslücken in Programmen – hier ein Fehler im Excel – und Tools aus dem Dark Internet nimmt das Schicksal seinen Lauf. Langsam arbeiten sich die Cyber-Gauner im Netzwerk nach oben, knacken die Passwörter der IT-Administratoren und spionieren privilegierte Benutzer mit Keyboard-Locker, die jeden Tastenanschlag aufzeichnen, und Kameras aus. Wenn es genug Informationen gibt, schlagen die Täter zum perfekten Zeitpunkt zu, manipulieren den Zahlungsverkehr oder übernehmen sogar Bankomaten, die dann freudig Geld ausspucken.
Große Dunkelziffer
Genaue Zahlen, wie oft und stark Unternehmen von Cyber-Attacken geschädigt worden sind, gibt es nur begrenzt. Im Normalfall kehren Unternehmen Cyber-Einbrüche und sonstige Sicherheitsvorfälle lieber unter dem Teppich, um nicht auch noch ihren guten Ruf zu schädigen. Laut der Statistik im Bericht über die »Internet-Sicherheit in Österreich 2015« von CERT.at, dem österreichischen nationalen Computer Emergency Response Team, langten im Vorjahr 10.884 relevante Reports und 10.425 Meldungen von echten Sicherheitsvorfällen wie eben Phishing ein.
Die server-lähmenden Distributed-Denial-of-Service Attacken nehmen ebenso stark zu wie die Erpressungs-Trojaner. Zahlen sollte man hier laut den Sicherheitsexperten auf keinen Fall, da nur höchst selten der passende Schlüssel geliefert wird. Manchmal können aber hier Sicherheitsexperten die Daten retten. Einige Unternehmen wurden aber schon durch einen Verschlüsselungsangriff ihrer Geschäftsgrundlage beraubt. Dabei gibt es hier längst durchaus kostengünstige Backup-Lösungen von IT-Security-Unternehmen, die, wenn nicht schon zuvor der Trojaner erkannt wurde, trotzdem die Daten noch vor einer Verschlüsselung retten.
Gefälschte Rechnungen
Besonders die heimische Industrie war in letzter Zeit vom »Spoofed Invoice Fraud« betroffen, bei dem Rechnungen von langjährigen internationalen Geschäftspartnern kurz nach dem Einlagen nochmals mit einer neuen Kontoverbindung geschickt werden. 2015 gab es laut CERT rund ein halbes Dutzend derartiger Angriffe auf Unternehmen, bei denen finanzielle Schäden im sechs- bis siebenstelligen Eurobereich verursacht wurden.
Wichtig ist also, immer wirklich zu wissen, woher die Original-E-Mails stammen, da für solche Aktionen gerne schlecht gesicherte Internet-Server gekapert werden. Wirksame Abwehrmaßnahmen sind ein Domain Monitoring der eigenen Firmennamen, Produkte & Webseiten sowie ein klares Security Management, genau definierte Sicherheitsprozesse (etwa bei außerordentlichen Zahlungen Vier-Augen-Prinzip, direkte Telefonkontakte zu den Vorgesetzten, um nachfragen zu können) sowie die Festlegung einer Incident Response & Kommunikationsstrategie. Die aktuellen Sicherheitsarchitekturen setzen neben modernen Virenscannern und Firewalls besonders auf proaktive Sicherheitssysteme (wie Advanced Persistent Threat Tools und Security Information & Event Management), die Datenströme überwachen und mit Big-Data-Tools auswerten, laufend über die neuesten Internet-Bedrohungen informiert sind und bei Auffälligkeiten sofort Alarm schlagen. Zahlreiche Security-Spezialisten und große IT-Konzerne wie SAP und Co bieten dies an.
Einfache und wirksame Massnahmen Große, umfassende Sicherheitssysteme sind freilich auch eine Kostenfrage. Oft sind die Maßnahmen, um die Sicherheit deutlich zu erhöhen, sehr einfach. Etwa durch die Verschlüsselung von E-Mails oder digitaler Signatur, die so gut wie gar nichts kosten, kann schon viel Schaden abgehalten werden. 1. Sicherer in der Cloud?: Besonders kleinere und mittelständische Unternehmen können sich hochsichere Rechenzentren und IT-Systeme kaum leisten oder sie managen. Zertifizierte Cloud-Anbieter bieten hier längst eine höhere Sicherheit und es arbeiten hier laufend Sicherheitsexperten daran, die neuesten Methoden der Hacker lahmzulegen. »Unsere Cloud schirmt Unternehmen auch vor Verschlüsselungstrojanern ab und verhindert durch Backups Datenverluste«, meint dazu Andreas Dangl, Geschäftsführer der Fabasoft Cloud GmbH, die jüngst als erster Cloud-Anbieter mit der höchsten Zertifizierung vom europäischen Cloud-Verband EuroCloud ausgezeichnet wurde. Es gibt aber auch schon Security as a Service, also IT-Sicherheit für Unternehmen als Cloud-Lösung. 2. Wer bin ich?: Das Wichtigste im digitalen Geschäft ist es, wirklich zu wissen, mit wem man kommuniziert. Dazu müssen auch die eigenen E-Mails garantiert von einem selbst stammen. Damit laufen die meisten Internet-Angriffe auch schon ins Leere. »Eine Zwei-Faktoren-Identifikation sollte heute in Unternehmen in geschäftskritischen Bereichen schon Standard sein«, betont Edgar Weippl, Forschungsdirektor von SBA Research, dem größten IT-Sicherheitsforschungsinstitut in Österreich. Neben dem Passwort sollte beispielsweise eine Bestätigungs-SMS am Handy oder eine Identitätskarte Pflicht sein. »Selbst bei von uns organisierten Konferenzen werden etwa Vortragende angerufen, damit sie Kreditkarten für eine Hotelbuchung preisgeben«, so Weippl. Da hilft wiederum nur Aufklärung. Jedenfalls ist ein konsequentes Identitäts- und Zugangsmanagement das Kernelement einer jeden IT-Sicherheitsarchitektur und lässt viele Sicherheitsprobleme erst gar nicht entstehen. Verfahren, die einfach und günstig sind, wie etwa digitale Signatur, mehrstufige Authentifizierung etc., helfen schon. 3. Mitarbeiter: Die meisten Sicherheitsvorfälle werden durch Mitarbeiter ausgelöst - meist unabsichtlich bzw. durch Nachlässigkeiten, manchmal aber auch durch gezielte Industriespionage. Hier helfen Schulungen, klare Richtlinien sowie eine Unternehmenskultur, die es schätzt, wenn eigene Fehler, die immer einmal passieren können, rasch weitergegeben werden. 4. Smartphones und Co.: Eine große Gefahr stellen alle mobilen Gerätschaften dar, besonders eigene, ungesicherte Handys, Notebooks und Co. Einerseits sind hier die Daten und die Datenübertragung (etwa über öffentliche WLANs) schlecht geschützt, andererseits können Spione etwa mal auch über die Schulter blicken und so Passwörter stehlen. 5. Gesamtkonzept für die Sicherheit: Die Cyber-Gauner zielen immer auf das schwächste Glied im System. »Nicht Insellösungen, sondern ein umfassendes Sicherheitskonzept, das wiederum Teil einer IT-Strategie sein sollte, hilft«, meint dazu Franz Grohs, Geschäftsführer von T-Systems Austria. IT-Security und die IT-Transformation sollte immer Chefsache sein. |