Mehr Schutz vor Cyber-Angriffen
5. Februar 2013
"Hallo Paul - wir haben uns ja vor vier Wochen bei eurer Party auf der Cebit etwas näher kennengelernt :) - die Caipirinhas an eurem Messestand waren nicht übel. Ich hab Dir mal noch ein paar Fotos angehängt, die ich da geschossen hatte; von Dir und Deiner netten Kollegin Susanne... Alles Gute und bis nächstes Jahr in Hannover - Rob."
Paul arbeitet bei einem großen deutschen Telekommunikationsunternehmen, an einen Rob kann er sich nicht mehr erinnern - aber tatsächlich hatte er bei der Abschlussfeier auf der Computermesse brasilianische Cocktails getrunken und einen netten Abend verbracht. Und so klickt der Angestellte ohne großes Zögern auf den Dateianhang der E-Mail. Der scheint defekt zu sein, denn es tut sich gar nichts.
Angriff per "Social Engineering"
Aber der Eindruck täuscht: In Wirklichkeit hat Paul gerade seinen Rechner und das Netzwerk seines Arbeitgebers mit einer Spionagesoftware infiziert - und zwar mit einer "maßgeschneiderten", die von herkömmlichen Anti-Viren-Programmen nicht entdeckt werden kann. Von nun an hat "Rob" Zugriff auf das IT-System des Unternehmens; die persönlichen Informationen in der E-Mail über die Messeparty hatte der Cyber-Angreifer in Pauls Facebook-Account gefunden.
"Social Engineering" nennen die Experten so eine zielgerichtete Attacke auf Firmenmitarbeiter; und die Methode ist ebenso wirkungsvoll wie gefährlich. Auch bei den kürzlich bekannt gewordenen Cyber-Angriffen auf die US-amerikanischen Zeitungen "New York Times", "Wall Street Journal" und "Washington Post" spielten verseuchte E-Mails eine wichtige Rolle - hier weisen zumindest alle Indizien darauf hin, dass China der Ausgangspunkt der Attacken gewesen sein dürfte.
Subjektive Gefahrenwahrnehmung
China, gefolgt von Russland und dem restlichen Osteuropa - das sind die Hauptgefahrenquellen für elektronische Angriffe von unbekannten Externen auf deutsche Firmen. So sehen es jedenfalls 500 Führungskräfte aller Branchen und Unternehmensgrößen, die die Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG zum Thema "e-Crime" befragt hat.
Mit endgültiger Sicherheit aber lässt sich praktisch nie beweisen, wer letztlich hinter einem Cyber-Angriff steckt, so der Leiter der Studie, Alexander Geschonneck - und die Einschätzung der deutschen Manager sei noch in einem weiteren Punkt durchaus subjektiv. In der Risikowahrnehmung der Befragten waren nämlich eher die anderen Unternehmen betroffen als der eigene Betrieb: "Die werden angegriffen, aber mich selbst trifft es nicht. Dieses Sankt-Florians-Prinzip ist schon sehr überraschend und zeugt eigentlich davon, dass sich die Unternehmen sicherer fühlen, als sie es sind."
Meldepflicht für Hacking-Angriffe?
Oft bekommen es Firmen zunächst gar nicht mit, dass sie gehackt worden sind. Schließlich werden, so Geschonneck, "Daten ja nicht physisch entwendet, sondern sie werden kopiert". Und das böse Erwachen kommt eben erst, wenn die Informationen irgendwann auftauchen - in den Händen von Erpressern zum Beispiel oder schlicht bei der Konkurrenz. Aus seiner Beratungspraxis kennt der Experte ein weiteres Problem: Viele Unternehmen scheuen im Schadensfall den Gang zur Polizei, weil ein bekannt gewordener Hackerangriff unter Umständen der Reputation schaden und Kunden verunsichern könnte.
Wenn es nach Bundesinnenminister Hans-Peter Friedrich geht, dann soll es mit der Geheimnistuerei ein Ende haben - zumindest in bestimmten Branchen: "Es geht darum, dass wir sogenannte kritische Infrastruktur schützen müssen, also Stromversorgung, Kommunikationsversorgung, Logistik, all das, was unser tägliches Leben, unseren Ablauf ausmacht", so der Minister in einem Interview mit dem WDR-Fernsehen. Der CSU-Politiker fordert daher eine Meldepflicht, "dann, wenn es erhebliche Angriffe auf ein System gibt - dann sind unsere Cyber-Abwehrkräfte auch in der Lage, möglichst schnell ein Lagebild zu erstellen und auch Abwehrmaßnahmen auf den Weg zu bringen".
Kein vollständiger Schutz möglich
Unterstützung bekam der deutsche Innenminister am Wochenende auf der Sicherheitskonferenz in München von Neelie Kroes, der EU-Kommissarin für die Digitale Agenda. Nach Plänen der EU-Kommission soll für Unternehmen in sicherheitskritischen Branchen eine Meldepflicht bei "größeren Vorfällen" eingeführt werden.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) setzt man bislang auf freiwilligen Informationsaustausch über Cyber-Angriffe - beispielsweise im Rahmen der Initiative "Allianz für Cybersicherheit". So könnten sich Unternehmen etwa bei Angriffswellen gegenseitig warnen. Einen vollständigen Schutz gegen zielgerichtete Attacken gebe es ohnehin nicht, betont Dirk Häger, beim BSI zuständig für Operative Netzabwehr. "Wir wollen ja alle IT nutzen. Wir wollen kommunizieren, und wir wollen einfach kommunizieren. Dazu gehört auch, dass wir E-Mails aus dem Internet bekommen, wo wir nicht wirklich nachprüfen: Wo kommt das eigentlich her?" Wenn man Angriffe schon nicht verhindern könne, so Häger, dann müsse man zumindest die Auswirkungen minimieren.
Interne Sicherheitslücken
Auch Alexander Geschonneck von KPMG hält die Idee einer vollständigen Abschottung für falsch und illusorisch. Er empfiehlt Unternehmen, sich auf den Schutz ihrer wichtigsten Daten, der "Kronjuwelen", zu konzentrieren.
Dabei empfiehlt sich dann übrigens auch ein kritischer Blick auf die eigenen Mitarbeiter, wie ein fast unglaublicher Fall aus den USA zeigt: Dort stellte ein Unternehmen bei einer Sicherheitsüberprüfung regelmäßige Zugriffe aus China auf sein internes Firmennetzwerk fest. Dahinter steckten allerdings keine Hacker. Ein sehr pfiffiger - oder aber sehr fauler - Angestellter des Unternehmens hatte über Monate hinweg seine Arbeit von einem chinesischen Dienstleister erledigen lassen, für einen Bruchteil seines eigenen Gehaltes. Den für den Zugang zum gesicherten Netzwerk nötigen Passwortgenerator hatte er seinen "Subunternehmern" einfach per Paketdienst zugeschickt.