Erster Cyber-Toter in Deutschland

Deutsche Unternehmen schlampern bei der Cybersecurity

13.10.2020
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 

Schlamperei hilft Angreifern

Fast zwei Wochen waren die E-Commerce-Seiten der französischen Großreederei CMA CGM nach einem Hackerangriff offline.
Fast zwei Wochen waren die E-Commerce-Seiten der französischen Großreederei CMA CGM nach einem Hackerangriff offline.
Foto: UNIKYLUCKK - shutterstock.com

Erschütternd an diesen Beispielen ist wiederum, dass die Angreifer nicht mit sophisticated Skills vorgehen mussten, sondern lediglich längst bekannte Lücken ausnutzten. Im Falle der Reederei CMA GCM war es wieder die bekannte Citrix-Lücke: Unter dem User-Namen "Nobody" war ein Login ohne Passwort möglich. Das Unternehmen wurde am 26. September angegriffen und selbst am 9. Oktober waren die E-Commerce-Seiten des Logistikers noch offline. Der Gesundheitsversorger Universal Health Services war von Ryuk-Lösegeldforderungen betroffen, einer Ransomware, die häufig im Kombination mit dem Trojaner Emotet sowie dem Banking-Trojaner TrickBot auftritt. TrickBot erschnüffelt die Kontozugangsdaten des Unternehmens und überprüft dann die Zahlungsfähigkeit des Opfers.

Weil Unternehmen ihr Netzequipment nicht patchten, sah sich das US Cyber Command im Juli 2020 genötigt, öffentlich eine Warnung auszusprechen.
Weil Unternehmen ihr Netzequipment nicht patchten, sah sich das US Cyber Command im Juli 2020 genötigt, öffentlich eine Warnung auszusprechen.
Foto: chrisdorney - shutterstock.com

Und beim Versicherungsbroker Gallagher kamen die Angreifer im September über Equipment vom Anbieter F5 Networks, für das es seit Mitte des Jahres Security Patches gibt. Selbst das US Cyber Command (US Cybercom), die US-amerikanische Militärbehörde zur elektronischen Kriegsführung, sah sich noch am 3. Juli 2020 dazu genötigt, öffentlich vor der F5-Sicherheitslücke zu warnen. Die Cyber Warrior hatten nämlich noch immer mehr als 8.000 ungepatchte F5-Devices gefunden.

Zweistellige Millionenbeträge als Lösegeld

Im Visier der Cyber-Kriminellen stehen zunehmend Konzerne. Oft werden bereits zweistellige Millionenbeträge erpresst.
Im Visier der Cyber-Kriminellen stehen zunehmend Konzerne. Oft werden bereits zweistellige Millionenbeträge erpresst.
Foto: vchal - shutterstock.com

Wenn man sich dann vergegenwärtigt, dass es sich bei den F5-Kunden nicht um kleine Fische handelt, sondern um große Konzerne - laut F5 nutzen 48 der Fortune-50-Unternehmen ihr Equipment - verwundert es nicht weiter, dass Cybercrime mittlerweile ein lukratives Geschäft ist. Damit sind auch die Zeiten vorbei, in denen primär irgendwelche Stadtverwaltungen oder akademische Einrichtungen angegriffen wurden. Im Visier der Kriminellen stehen nun die Konzerne und es werden zweistellige Millionenbeträge erpresst.

Einfachste Maßnahmen nicht umgesetzt

Einfachste Schutzmaßnahmen würden laut Bettina Dietsche, als Vorstandsmitglied der Allianz AGCS für Operation und IT verantwortlich, ausreichen, um Cyber-Angriffe auf deutsche Unternehmen abzuwehren.
Einfachste Schutzmaßnahmen würden laut Bettina Dietsche, als Vorstandsmitglied der Allianz AGCS für Operation und IT verantwortlich, ausreichen, um Cyber-Angriffe auf deutsche Unternehmen abzuwehren.
Foto: Allianz AGCS

Eine Situation, die so nicht sein müsste. "Oftmals würden einfachste Maßnahmen ausreichen, um Cyber-Angriffe auf deutsche Unternehmen abzuwehren", konstatiert Vorstandsmitglied Dietsche, "in der Praxis können aber gerade einmal zehn Prozent aller deutschen Unternehmen einen Haken hinter die vier wichtigsten Security-Maßnahmen machen". Dabei zählt die IT-Verantwortliche zehn Maßnahmen auf, die nicht einmal viel kosten und einfach umzusetzen sind:

  • die Existenz eines umfassenden und nicht modifizierbaren Backups;

  • das zeitnahe Einspielen von Sicherheitsupdates;

  • regelmäßiges IT-Sicherheitstraining für alle Mitarbeiter;

  • Vorbereitung auf den Ernstfall (Cyber-Response-Plan);

  • Festplattenverschlüsselung (ein Windows Feature);

  • Echte Offline-Backups;

  • Passwörter nicht im Team teilen;

  • 2-Faktor-Authentifizierung aktivieren;

  • Plausibilitätscheck machen und automatische Anzeige externer Versand;

  • Bereits bestehende Filterung aller ausführbaren Anhänge nicht ausschalten.

Mit diesen Maßnahmen, so ist Dietsche überzeugt, ließe sich die Cyber-Sicherheit in der deutschen Wirtschaft deutlich erhöhen. Doch sie sieht, ähnlich wie BSI-Präsident Schönbohm noch an einer anderen Stelle Handlungsbedarf: Neben den Unternehmen müsse jeder einzelne von uns sein eigenes, privates Risiko-Management und -Bewusstsein entwickeln, um den Cyber-Kriminellen die Arbeit zu erschweren. Und mit Blick auf die Jüngsten und ihren - in Sachen Security - unbedarften Umgang mit Smartphones ist Schönbohm überzeugt, dass dies bereits in der Schule und im Elternhaus beginnen muss.

Zumindest in einer Richtung besteht Hoffnung: Ähnlich wie für die Router will das BSI für weitere Produkte, IT-Sicherheitskennzeichen entwickeln, so Schönbohm. Diese sollen den Verbraucher, aber auch den Mittelstand in die Lage versetzten, bereits beim Kauf eines Produktes erkennen zu können, wie es um die Sicherheit eines Gerätes bestellt ist und ob der Anwender etwa Security-Patches gewährleistet. Gerade in Zeiten von IoT verspricht sich Schönbohm davon einen deutlichen Sicherheitsgewinn.