Cybersicherheit: Wo lauern die größten Gefahren und wie kann man sich schützen?

Wir alle sind täglich im Internet unterwegs – privat, aber natürlich auch beruflich. Und wo viele Menschen und Maschinen agieren, steigt auch die Chance für Hacker, in Unternehmensnetzwerke einzudringen und teils massiven Schaden anzurichten. Unsere Kollegen der Certified Security Operations Center GmbH, eines Joint Ventures der dhpg IT-Services GmbH und der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA, zeigen, was sich in Sachen Cybersicherheit in den letzten Monaten getan hat und vor allem, wie Sie sich und Ihr Unternehmen vor Angriffen schützen können. 

Interview: Markus Müller und Joerg Lammerich

An welchen Stellen in der IT kann es überhaupt Angriffe geben?

Markus Müller: Im Grunde gibt es überall in der IT-Landschaft Möglichkeiten für Angriffe. Wichtig ist, für mögliche Einfallstore sensibilisiert zu sein, Sicherheitslücken schnellstmöglich zu entdecken und entsprechend zu schließen. So nutzen Angreifer gerne Sicherheitslücken in Software, um sich ihren Weg ins Netzwerk zu bahnen. Es geht aber auch viel einfacher und da spielt der Faktor Mensch eine entscheidende Rolle: Sogenannte Ransomware, also Schadprogramme, werden gerne als Mailanhänge oder per Links versendet. Klickt man unbedacht hierauf, ist das eigene System oft schneller kompromittiert, als gedacht.

Und wo stellen Sie die häufigsten Angriffe fest?

Joerg Lammerich: Die Pandemie hat Ransomware-Angriffe stark begünstigt. Mittels sogenannter Social-Engineering-Kampagnen machen sich Angreifer die Angst der Menschen vor dem Virus zunutze und locken sie auf präparierte Websites. Beim Klick auf den Link wird der schadhafte Code heruntergeladen. Wir haben auch viele gefälschte Termineinladungen wahrgenommen, die über Outlook versendet wurden. Dabei verschaffen sich Angreifer Zugang zum Postfach eines Mitarbeiters und geben sich anschließend als Geschäftspartner oder Kollegen aus. Die Angreifer agieren zunächst als Datensammler und stehlen die Identität verschiedener Benutzer. Das gelingt, indem die Nutzer eine Datei im Mailanhang herunterladen oder einen schadhaften Link anklicken. War der Angreifer erfolgreich, kann er die Kontrolle über das System oder das E-Mail-Konto übernehmen, um z.B. einen Angriff auf Online-Konten durchzuführen. Ziel dieser Phishing-Technik ist der Diebstahl sensibler Daten – von Kreditkartendaten, Geburtsdaten und Adressen. Diese werden anschließend verkauft oder direkt verwendet, um im Namen des Opfers Konten zu leeren oder Waren zu erwerben. 

Worauf sollte man achten, um nicht auf derartige E-Mails bzw. Termineinladungen hereinzufallen?

Müller: Sehr häufig fallen E-Mails von Cyberkriminellen durch ungewöhnliche Absenderadressen oder Tippfehler auf – hierauf sollte man als Erstes achten. Wer feststellt, einem derartigen Angriffsversuch zum Opfer gefallen zu sein, löscht am besten direkt die verdächtigte E-Mail und die gefälschte Outlook-Termineinladung. Besonders wichtig ist es, den Organisator nicht über die Ablehnung zu informieren, da der Angreifer ansonsten erfährt, dass die E-Mail-Adresse aktiv genutzt wird. Zudem sollte die IT-Abteilung hierüber umgehend informiert werden. 

Wo sehen Sie aktuell die größte Gefahr für Unternehmen?

Lammerich: Ende 2021 hat die Sicherheitslücke „Log4Shell“ in der Java-Bibliothek für großes Aufsehen gesorgt. Die Auswirkungen begleiten uns auch dieses Jahr. Java ist eine weitverbreitete Programmiersprache, die in vielen Apps, Programmen und Webanwendungen eingesetzt wird. Das bedeutet, jeder, der sich im Internet bewegt, hat gewisse Berührungspunkte hiermit. Die Bibliothek „Log4“j, die z.B. zur Protokollierung von Anwendungsanmeldungen dient, war Ziel von Angreifern. Als sogenannter Open-Source-Code ist „Log4j“ von jedem, der ihn nutzt, offen einseh- und nutzbar.  Die „Log4j“-Sicherheitslücke bietet Angreifern die Möglichkeit, auf Zielsystemen, die „Log4j“ nutzen, einen eigenen Programmcode auszuführen, der das Netzwerk kompromittiert. Im schlimmsten Fall könnten die Angreifer so weitere Schadsoftware erzeugen oder illegal Daten aus dem Zielnetzwerk abrufen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Bedrohungslage für Geschäftsprozesse und Anwendungen als kritisch ein.

Gibt es Möglichkeiten, das eigene Unternehmen vor diesem Szenario zu bewahren?

Lammerich: In erster Linie gilt es zu prüfen, ob die unternehmenseigenen Systeme eine der betroffenen Versionen von „Log4j“ verwenden, also 2.0-beta9 bis 2.14.1. In diesem Fall empfehlen wir ein Update auf die Version 2.15.0. Das Geschehen ist in diesem Bereich sehr dynamisch und auch das BSI gibt hierzu stetig Updates heraus, deshalb lohnt ein regelmäßiger Blick in die einschlägigen Veröffentlichungen. 

Ist derzeit ein Trojaner im Umlauf, von dem man einmal gehört haben sollte? 

Müller: Aktuell treibt der Erpressungstrojaner „Ryuk“ sein Unwesen. Er ist mit wurmähnlichen Fähigkeiten ausgestattet und verbreitet sich dadurch sehr rasch in einmal infizierten Netzwerken. Ein solcher Trojaner kann z.B. über einen Mailanhang ins Netzwerk gelangen. Von dort aus breitet er sich aus, sammelt vereinfacht gesagt alle IP-Adressen und verschlüsselt die identifizierten Systeme. Anschließend folgt eine Lösegeldforderung zur Entschlüsselung der Daten. Einfallstore sind häufig Phishing-Mails, was eine regelmäßige Schulung der Mitarbeiterinnen und Mitarbeiter im Unternehmen unerlässlich macht. Aber auch eine mehrstufige Authentifizierung und die Installation aktueller Betriebssystem-, Software- und Firmware-Patches ist ein probates Mittel, um es Angreifern schwerer zu machen. 

Steht Ihrer Meinung nach inzwischen häufiger eine finanzielle Motivation hinter Cyberattacken?

Müller: Die finanziell motivierten Angriffe haben definitiv zugenommen. Die Erfahrung zeigt aber auch: In erster Linie ist es wichtig, bei Lösegeldforderungen Ruhe zu bewahren. Denn Cyberkriminelle haben sich das Spiel mit der Angst zu eigen gemacht, um schnell an Geld zu gelangen. 2021 haben wir ebenso wie das Bundeskriminalamt einen gravierenden Anstieg von E-Mails mit erpresserischen Inhalten wahrgenommen. Viele entpuppten sich dabei als „trojanisches Pferd“. So erhalten Unternehmen E-Mails, in denen steht, die Absender seien im Besitz sämtlicher Daten des betroffenen Unternehmens. Diese seien verschlüsselt und würden erst nach Zahlung eines Lösegelds – oft werden Bitcoins verlangt – freigegeben. Es ist wichtig, nicht unbedacht auf derartige Forderungen einzugehen, sondern erst einmal zu prüfen, ob tatsächlich ein Zugriff von außen stattgefunden hat. 

Was ist ein SOC und wie kann es vor Cyberattacken schützen?

Lammerich: Ein SOC ergänzt die IT-Sicherheit und die Informationssicherheit in Unternehmen. Anders als herkömmliche Schutzmaßnahmen vereint es Vorzüge aus Technik und Manpower. So treffen hochentwickelte Überwachungssensoren auf spezialisierte IT-Expert:innen. Die SOC-Sensoren überwachen in Echtzeit Netzwerk und IT-Systeme des angebundenen Unternehmens und melden verdächtige Auffälligkeiten. Die IT-Expert:innen werten diese aus und können umgehend Schutzmaßnahmen einleiten. Auf diese Weise steht die Infrastruktur eines Unternehmens unter kontinuierlicher Überwachung und angebundene Unternehmen profitieren vom Erfahrungsaustausch.