Schlamperei hilft Angreifern
Erschütternd an diesen Beispielen ist wiederum, dass die Angreifer nicht mit sophisticated Skills vorgehen mussten, sondern lediglich längst bekannte Lücken ausnutzten. Im Falle der Reederei CMA GCM war es wieder die bekannte Citrix-Lücke: Unter dem User-Namen "Nobody" war ein Login ohne Passwort möglich. Das Unternehmen wurde am 26. September angegriffen und selbst am 9. Oktober waren die E-Commerce-Seiten des Logistikers noch offline. Der Gesundheitsversorger Universal Health Services war von Ryuk-Lösegeldforderungen betroffen, einer Ransomware, die häufig im Kombination mit dem Trojaner Emotet sowie dem Banking-Trojaner TrickBot auftritt. TrickBot erschnüffelt die Kontozugangsdaten des Unternehmens und überprüft dann die Zahlungsfähigkeit des Opfers.
Und beim Versicherungsbroker Gallagher kamen die Angreifer im September über Equipment vom Anbieter F5 Networks, für das es seit Mitte des Jahres Security Patches gibt. Selbst das US Cyber Command (US Cybercom), die US-amerikanische Militärbehörde zur elektronischen Kriegsführung, sah sich noch am 3. Juli 2020 dazu genötigt, öffentlich vor der F5-Sicherheitslücke zu warnen. Die Cyber Warrior hatten nämlich noch immer mehr als 8.000 ungepatchte F5-Devices gefunden.
Zweistellige Millionenbeträge als Lösegeld
Wenn man sich dann vergegenwärtigt, dass es sich bei den F5-Kunden nicht um kleine Fische handelt, sondern um große Konzerne - laut F5 nutzen 48 der Fortune-50-Unternehmen ihr Equipment - verwundert es nicht weiter, dass Cybercrime mittlerweile ein lukratives Geschäft ist. Damit sind auch die Zeiten vorbei, in denen primär irgendwelche Stadtverwaltungen oder akademische Einrichtungen angegriffen wurden. Im Visier der Kriminellen stehen nun die Konzerne und es werden zweistellige Millionenbeträge erpresst.
Einfachste Maßnahmen nicht umgesetzt
Eine Situation, die so nicht sein müsste. "Oftmals würden einfachste Maßnahmen ausreichen, um Cyber-Angriffe auf deutsche Unternehmen abzuwehren", konstatiert Vorstandsmitglied Dietsche, "in der Praxis können aber gerade einmal zehn Prozent aller deutschen Unternehmen einen Haken hinter die vier wichtigsten Security-Maßnahmen machen". Dabei zählt die IT-Verantwortliche zehn Maßnahmen auf, die nicht einmal viel kosten und einfach umzusetzen sind:
die Existenz eines umfassenden und nicht modifizierbaren Backups;
das zeitnahe Einspielen von Sicherheitsupdates;
regelmäßiges IT-Sicherheitstraining für alle Mitarbeiter;
Vorbereitung auf den Ernstfall (Cyber-Response-Plan);
Festplattenverschlüsselung (ein Windows Feature);
Echte Offline-Backups;
Passwörter nicht im Team teilen;
2-Faktor-Authentifizierung aktivieren;
Plausibilitätscheck machen und automatische Anzeige externer Versand;
Bereits bestehende Filterung aller ausführbaren Anhänge nicht ausschalten.
Mit diesen Maßnahmen, so ist Dietsche überzeugt, ließe sich die Cyber-Sicherheit in der deutschen Wirtschaft deutlich erhöhen. Doch sie sieht, ähnlich wie BSI-Präsident Schönbohm noch an einer anderen Stelle Handlungsbedarf: Neben den Unternehmen müsse jeder einzelne von uns sein eigenes, privates Risiko-Management und -Bewusstsein entwickeln, um den Cyber-Kriminellen die Arbeit zu erschweren. Und mit Blick auf die Jüngsten und ihren - in Sachen Security - unbedarften Umgang mit Smartphones ist Schönbohm überzeugt, dass dies bereits in der Schule und im Elternhaus beginnen muss.
Zumindest in einer Richtung besteht Hoffnung: Ähnlich wie für die Router will das BSI für weitere Produkte, IT-Sicherheitskennzeichen entwickeln, so Schönbohm. Diese sollen den Verbraucher, aber auch den Mittelstand in die Lage versetzten, bereits beim Kauf eines Produktes erkennen zu können, wie es um die Sicherheit eines Gerätes bestellt ist und ob der Anwender etwa Security-Patches gewährleistet. Gerade in Zeiten von IoT verspricht sich Schönbohm davon einen deutlichen Sicherheitsgewinn.