How to resolve AdBlock issue? Falsche CEOs, Hacking und Phishing – 30 % der Unternehmen waren schon von Cyberkriminalität betroffen. Trotz des starken Anstiegs der Delikte wird das Risikomanagement in diesem Bereich weitgehend vernachlässigt. KMU sind laut Experten besonders gefährdet. Sie fordern: Cybersecurity muss Chefsache werden.
Im Februar 2017 sprach die InterContinental Hotel Group noch von zwölf Hotels, deren Computer mit Malware infiziert seien. Im April stellte sich heraus, dass das Datenleck um das 100-Fache größer war. Die Hotelgruppe betreibt weltweit rund 5.000 Hotels, darunter die Marken Holiday Inn und Crowne Plaza. Bisher sind Cyberangriffe auf 1.200 Hotels in den USA bekannt, die Liste könnte aber noch länger werden. Ziel waren die Kreditkartendaten – neben der Kartennummer auch Ablaufdatum, Name und Prüfziffer – der Hotelgäste, die mittels der Malware vermutlich über Monate abgesaugt wurden.
Für die Kunden ärgerlich und für die Hotelkette höchst unangenehm, offenbart das Ausmaß dieser Cyberattacke ein wachsendes Problem der gesamten Branche. Denn die InterContinental Hotel Group ist kein Einzelfall. Die Hotellerie gerät derzeit systematisch ins Visier von Hackern und muss sich zunehmend mit der Entwendung von Kreditkartendetails, abgestürzten Reservierungssystemen, Licht im Hotelzimmer, das ungewollt ausgeht, und elektronischen Türschlössern, die sich nicht mehr öffnen lassen, herumschlagen. »Hotels sind durch die Digitalisierung zu sehr interessanten Zielen für Angreifer geworden«, bestätigt Christian Polster, Chefstratege des IT-Security-Spezialisten RadarServices. »Kreditkartendaten sind die eine Gefahrenquelle. Die vielen neuen Services und Funktionen, die das Internet der Dinge für den Hotelaufenthalt ermöglicht, stellen eine andere Bedrohung für die IT-Sicherheit dar. Vom 4-Sterne-Familienhotel in den Alpen bis zur milliardenschweren internationalen Hotelkette sind derzeit alle im Fokus von Cyberangreifern.«
Foto: Christian Polster, RadarServices: »Hotels sind durch die Digitalisierung zu sehr interessanten Zielen für Angreifer geworden.«
Schwachstellenanalyse
Während viele Einrichtungen mit kritischer Infrastruktur sogar gesetzlich zu kontinuierlichem IT-Security-Monitoring verpflichtet sind, haben einige Wirtschaftsbereiche diese Entwicklung verschlafen. Das proaktive Aufspüren von Sicherheitslücken und das zeitnahe Erkennen von Angriffen wird noch weitgehend vernachlässigt. »Der IT-Sicherheitsstandard bei Hotels ist weit entfernt von dem der Banken. Cyberangriffe können für die Opfer – ob Hotelgast oder Bankkunde – aber durchaus ähnliche finanzielle Schäden mit sich bringen. Ganz zu schweigen von den immensen Kosten und Reputationsschäden für das Unternehmen«, betont Polster.
Professionelles Sicherheitsmonitoring umfasst drei Bereiche: die ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Unternehmensgrenzen hinweg, eine kontinuierliche Schwachstellenanalyse von innen und außen sowie eine laufende Analyse und Korrelation von Logs der einzelnen Systeme. Schon in eigenem Interesse sollten Unternehmen in diesem Bereich möglichst rasch aufrüsten. Spätestens jedoch ab Mai 2018, wenn die Datenschutzverordnung der EU in Kraft tritt, gelten strengste Anforderungen an die IT-Sicherheit. Verstöße werden mit Geldbußen bis zu 4 % des Jahresumsatzes geahndet.
Wie aus dem aktuellen Report »M-Trends« des Sicherheitsunternehmens FireEye hervorgeht, halten sich Kriminelle in der EMEA-Region im Schnitt dreieinhalb Monate (106 Tage) in Unternehmensnetzwerken auf, bevor sie entdeckt werden. Im Vergleich zu den 469 Tagen des Vorjahres ist dies eine enorme Verbesserung – gemessen an den zerstörerischen Aktivitäten, die in dieser Zeit möglich sind, jedoch noch immer eine kleine Ewigkeit. »Die Angreifer selbst werden immer fortschrittlicher. Anhand der sinkenden Verweildauer sehen wir, dass sich Organisationen auf diese neue Bedrohungslandschaft einstellen. Allerdings gibt es noch viel zu tun, da Angreifer innerhalb weniger Tage ihre Ziele erreichen«, meint Jan Korth, Director of Security Consulting Service bei der FireEye-Tochter Mandiant. »Verglichen mit dem globalen Durchschnitt hinkt EMEA in einigen Bereichen aber noch weit hinterher. Hier sollten die Chefetagen in der Region schnell nacharbeiten.«
Bewusstsein schärfen
Die Zahl der Anzeigen wegen Internetbetrugs stieg nach Angaben des Bundeskriminalamts 2016 im Vergleich zum Vorjahr um 30,9 % auf 13.000 Fälle. Die Dunkelziffer dürfte aber zumindest unter Privatpersonen noch höher liegen. Auch betroffene Firmen scheuen häufig davor, Betrugsfälle und Angriffe auf ihr IT-System anzuzeigen.
Laut einer aktuellen KPMG-Studie wurden 30 % der befragten Unternehmen schon einmal durch ein Cybercrime-Delikt geschädigt. »Sowohl Klein- und Mittelbetriebe als auch die großen Konzerne müssen ihr Bewusstsein in Bezug auf Cybersicherheit noch schärfen«, erklärt Andreas Tomek, KPMG-Partner im Bereich Advisory. Um langfristige Abwehrstrategien zu entwickeln, müsse Cybersecurity »endlich Chefsache werden«. Bisher wird das Problem weitgehend unterschätzt, wie das Beratungsunternehmen PwC erhob. Nur 37 % der Organisationen, die im Rahmen des »Global Economic Crime Survey 2016« in 115 Ländern befragt wurden, gaben an, über einen voll einsatzfähigen Incident Response Plan, einen Plan zur Reaktion auf entsprechende Vorfälle, zu verfügen. Knapp ein Drittel hat gar keinen derartigen Plan, und 14 % der Befragten beabsichtigen auch keinen einzuführen. Das Vertrauen in die lokalen Strafverfolgungsbehörden hält sich indessen auch in Grenzen: 45 % glauben nicht, dass diese über die nötigen Fähigkeiten und Ressourcen verfügen, um Cyberkriminalität bekämpfen zu können.
Foto: Andreas Tomek, KPMG: »Sowohl KMU als auch große Konzerne müssen ihr Bewusstsein in Bezug auf Cybersicherheit noch schärfen.«
Zudem werden die Tricks immer ausgefeilter. Konnten verdächtige E-Mails früher noch leicht anhand der fehlerhaften Formulierungen, die aus den verwendeten Übersetzungsprogrammen resultierten, erkannt werden, agieren die Täter inzwischen sehr raffiniert und aufwendig. Schadsoftware wird beispielsweise als Lebenslauf getarnt in einer Zip-Datei an vorgebliche Bewerbungsschreiben angehängt. Teilweise erfolgt vorab sogar ein telefonischer Kontakt, um Zweifel auszuräumen oder an persönliche E-Mail-Adressen zu gelangen. Der E-Mail-Verkehr wird gehackt und echte Rechnungen mit falschen Kontonummern manipuliert. Ganze Webserver werden mit sinnlosen Massenanfragen lahmgelegt – Opfer eines »DDos«-Angriffs wurden im vergangenen Jahr beispielsweise der Flughafen Wien, A1, das Außenministerium und das Bundesheer.
Starke Kultur als Schutz
»Jährlich werden in Österreich Schäden von mehreren Millionen Euro verursacht«, sagt Wolfram Littich, Vorstandsvorsitzender der Allianz Gruppe in Österreich und Vizepräsident des österreichischen Versicherungsverbandes VVO. Die wenigsten Fälle machen Schlagzeilen wie der oberösterreichische Flugzeugzulieferer FACC, der im Vorjahr einem sogenannten »CEO Fraud« aufsaß. Der Finanzbuchhaltung wurde in Mails durchaus glaubwürdig eine falsche Identität vorgespielt. FACC überwies 50 Millionen Euro an Konten in die Slowakei und Asien. Eine Gewinnwarnung und eine Kapitalerhöhung wurden notwendig, zudem entließen die chinesischen Eigentümer neben Finanzvorständin Minfen Gu auch Firmengründer und CEO Walter Stephan.
»Die Reaktion auf eine Bedrohung besteht häufig in zusätzlichen Kontrollen«, sagt Kristof Wabl, Senior Manager Forensic Services bei PwC Österreich. Tatsächlich führen aber Mängel in der Datenqualität und Kompetenz der Mitarbeiter sowie fehlendes Engagement dazu, dass die bestehenden Programme zur Betrugsaufdeckung und Kontrolle ihren Zweck nicht erfüllen. Der Schlüssel liege in der Unternehmenskultur, so Wabl: »Das Vorgehen gegen Wirtschaftskriminalität erfordert eine starke Kultur und einen bewussten Ethik-Fokus sowie effektive Monitoring- und Compliance-Programme.« Interne Kommunikation kann im Kampf gegen Cyberkriminalität der entscheidende Faktor sein: Täter schlagen gerne in Unternehmen mit strenger Hierarchie zu, in denen Anweisungen des Managements ohne Widerrede befolgt werden. Bei der Analyse von Betrugsfällen zeigt sich meist, dass aufmerksame Mitarbeiter zwar Auffälligkeiten bemerkt hatten, aber keine Rückbestätigung der Chefetage einholten – weil es im Unternehmen nicht üblich war, die Anweisungen von Vorgesetzten infrage zu stellen.
Glossar: Betrugsformen im Internet
CEO-Fraud (Fake-President-Trick): Organisierte kriminelle Gruppen sammeln über Monate gezielt Informationen über international tätige Unternehmen, die Branchenstruktur und deren externe Dienstleister wie Steuerberater oder Rechtsanwaltskanzleien. Im Zuge dieser Recherchen wird der Kontakt zu jenen Personen hergestellt, die über Zahlungsbefugnis oder vertrauliche Informationen verfügen. Per E-Mail wird der/dem Mitarbeiter/in – vermeintlich vom CEO des Unternehmens persönlich – ein dringender Auftrag (Überweisung eines hohen Geldbetrags ins Ausland, Übermittlung sensibler Dokumente) angeordnet. Über den Vorgang sei Stillschweigen zu bewahren und auch keine Rücksprache zu halten. Die Anweisung ist detailliert und klingt plausibel, zudem wird explizit die Verlässlichkeit und Vertrauenswürdigkeit des Mitarbeiters/der Mitarbeiterin hervorgehoben.
Überweisungsbetrug: Hier hacken die Täter den Mailverkehr von Unternehmen und fangen deren Zahlungsanweisungen ab. Sie ändern die Kontonummer, der Empfänger bleibt gleich. Dieses Detail entgeht der Buchhaltung leicht. Der Trick wird auch bei postalisch übermittelten Rechnungen angewandt.
Unseriöses Angebot: Per E-Mail werden Unternehmen ungerechtfertigte Rechnungen oder Mahnschreiben, z.B. über die Registrierung einer Internet-Domäne oder ein »Office365-Paket«, zugestellt. Die Zahlung soll auf ein ausländisches Bankkonto erfolgen. Im kleingedruckten Zusatztext wird darauf hingewiesen, dass es sich um ein »Angebot« handelt. Die Firmenangaben im Briefkopf bzw. Impressum sind wie die Website fingiert, teilweise werden aber auch gefälschte Rechnungen mit dem Namen tatsächlich existierender Unternehmen oder Anwaltskanzleien verschickt.
Crypto-Locker: Dabei handelt es sich um eine Schadsoftware, die als gezippte Beilage per E-Mail versandt wird – z.B. durchaus glaubwürdig als Bewerbungsschreiben oder Verständigung für eine Paketzustellung getarnt. Aktiviert man den Anhang, installiert sich automatisch diese Ransomware. Für den Entschlüsselungscode oder ein Programm zur Wiederherstellung der gesperrten Dateien verlangen die Täter eine Geldüberweisung mittels BitCoin, oftmals sind die Daten jedoch unwiederbringlich.
DDos-Angriff: »Denial of Service« bezeichnet die Nichtverfügbarkeit eines Internetdienstes infolge einer Überlastung des Datennetzes. Wird die Blockade durch massenhafte, meist sinnlose Anfragen herbeigeführt, spricht man von einer »verbreiteten Verweigerung des Dienstes« (Distributed Denial of Service). Mitunter werden die Serverbetreiber zu einer Geldzahlung erpresst, damit ihre Internetseite wieder erreichbar wird.
Phishing: Mit diesem Trick wird versucht, an geheime Daten wie z.B. Passwörter oder Zugangscodes für Bankkonten zu kommen. Im Vorjahr sorgte ein vorgeblich vom Finanzministerium versendetes E-Mail für Aufregung: Das auf den ersten Blick täuschend echt erscheinende Schreiben informiert über eine Steuergutschrift, deren Überweisung online angefordert werden kann. Über einen Link gelangt man zu einem Web-Formular, das zur Eingabe von Kreditkartendaten auffordert.
Scamming: Per E-Mail oder Chat offeriert eine unbekannte Person eine hohe Erbschaft, einen Millionengewinn oder die große Liebe. Manchmal wird auch um Hilfe für einen in Not geratenen Angehörigen gebeten. Unter einem Vorwand wird das Opfer zu Vorschusszahlungen gedrängt, beispielsweise um für die Transaktion notwendige Anwaltskosten leisten zu können. Zeigt man Interesse, versuchen die Täter, ein Vertrauensverhältnis aufzubauen und persönliche Angaben zu entlocken. Das via Bargeldtransferdienst ins Ausland überwiesene Geld ist verloren; darüber hinaus können die Täter Adresse, Telefonnummer und Bankdaten des Opfers für weitere kriminelle Vorhaben nutzen.
Siehe auch: Wettrüsten für die Sicherheit
