IT-Sicherheit

Wannacry? No!

Immer wieder sorgen die Angriffe auf die IT-Systeme von Unternehmen für Schlagzeilen – beispielsweise im Frühjahr 2017 durch das Schadprogramm WannaCry. Doch es gibt Möglichkeiten, sich zu schützen – ausgerechnet Hacker helfen dabei. 

Text Tino Scholz 

Die Idee ist gut, doch die dunkle Seite hat anscheinend etwas dagegen. Visite 2.0 heißt das Projekt, mit dem das Lukaskrankenhaus in Neuss auf die Digitalisierung setzt: Ärzte und Pflegekräfte nutzen beispielsweise Tablets, um Daten direkt am Krankenbett abzurufen und einzugeben. Das sorgt für effektivere Prozesse und ist durchaus sinnvoll – solange die Daten zugänglich und sicher sind. 

Das ändert sich allerdings schlagartig, als ein Mitarbeiter den Anhang einer E-Mail öffnet und ein Virus von dort aus das Computersystem der Klinik lahmlegt – wie im Krankenhaus geschehen. Die Hacker, die den Virus losgeschickt hatten, meldeten sich und versprachen, das Problem zu lösen – für einen finanziellen Gegenwert. Statt sich erpressen zu lassen, fuhr das Krankenhaus seine Systeme herunter und schaltete um auf händischen Betrieb.

Vier Tage dauerte es, das System instand zu setzen; insgesamt zehn Tage, bis es wieder hochgefahren war. Auf rund eine Million Euro beziffert das Krankenhaus den Schaden. Ein Beispiel, das zeigt, wie nah die gute und die hässliche Seite der Digitalisierung beieinander liegen. 

Foto: Shutterstock

 

Diese Masche, mit der die Hacker an Geld kommen wollten, nennt sich Ransomware. Dr. Dirk Schlesinger, Chief Digital Officer von TÜV SÜD, bezeichnet diese Form von Hacks als „momentan größtes Problem in der Cybersicherheit. Die Hacker haben gelernt, ihre Angriffe zu Geld zu machen. Ransomware ist zu einer globalen Industrie geworden.“ Ransomware machte fast 40 Prozent der 2016 verschickten Malware-Mails aus, errechneten Forscher von IBM X-Force, den Sicherheitsexperten des IT-Konzerns. Im Jahr zuvor waren es lediglich 0,6 Prozent gewesen. Das FBI schätzt, dass 2016 ein hoher dreistelliger Millionen-US-Dollar-Betrag von den Opfern erpresst worden ist.

Prominentestes und jüngstes globales Beispiel ist der WannaCry-Angriff, der im Mai 2017 weltweit für Schrecken sorgte. Innerhalb von Stunden öffneten sich auf Hunderttausenden Desktops in mehr als 150 Ländern Textfenster, auf denen Geld für die Entschlüsselung der durch WannaCry geblockten Daten gefordert wurde. Erst nach Zahlung von 300 US-Dollar in Bitcoins wollten die Erpresser sie freigeben. Wenn nicht gleich bezahlt würde, verdopple sich die Forderung. So stürzte WannaCry unter anderem britische Krankenhäuser ins Chaos, Ticketschalter der Deutschen Bahn und Tankstellen in China wurden lahmgelegt. Bei IT-Experten löste Wannacry Kopfschütteln aus. Denn das Einfallstor war eine längst erkannte Sicherheitslücke in älteren Versionen von Microsofts Betriebssystem Windows.

Foto: iStock

 

Tatsächlich ist der Umgang mit den Gefahren aus dem Netz bisher eher inkonsistent –Deutschland steht dafür exemplarisch. Zwar ist das Risikobewusstsein gestiegen, wie die E-Crime-Studie der Beratungsgesellschaft KPMG zeigt. So sehen 89 Prozent der Führungskräfte ein hohes bis sehr hohes Risiko, dass deutsche Firmen zum Opfer werden. Doch nur 39 Prozent halten ihr eigenes Unternehmen für gefährdet. Entsprechend nachlässig gehen viele mit virtuellen Gefahren um. 71 Prozent der Unternehmen verzichten auf Cybersicherheitsrichtlinien, nur 17 Prozent haben einen zertifizierten IT-Grundschutz. Und von den Unternehmen, die laut neuem IT-Sicherheitsgesetz ein Informationssicherheits-Managementsystem aufbauen müssen, haben dies erst 41 Prozent getan. Dabei hat der Schutz einen enormen wirtschaftlichen Wert. Die Beratungsgesellschaft McKinsey schätzt den Mehrwert, der 2025 global allein durch digitale Produktion entsteht, auf 3,7 Billionen Dollar.

Angriff auf die Politik

Selbst die Politik ist nicht sicher: Hacker aus den Vereinigten Arabischen Emiraten sollen angeblich mit einer Cyberattacke Katar in eine Krise gestürzt haben, indem sie die staatliche Nachrichtenagentur des Emirats infiltrierten und gefälschte Meldungen veröffentlichten. Hacker sollen zudem die Wahl in den USA manipuliert haben, und sie leakten Material, dass den französischen Präsidenten Emmanuel Macron kurz vor der Wahl belasten sollte. Dass es Versuche geben wird, den Bundestagswahlkampf im September zu beeinflussen, gilt als sehr wahrscheinlich.

Und die Risiken nehmen täglich zu. Schadsoftware ist im Internet in unzähligen Varianten frei verfügbar. Angriffstools lassen sich im Darknet kaufen – oft sind sie sogar mit Erfolgsgarantie erhältlich. „Bei Viren entstehen jeden Tag Tausende neue Formen“, sagt TÜV SÜD-Experte Dirk Schlesinger. Kein Wunder: Hinter digitalen Angriffen stecken oft kriminelle Banden mit professionellem Personal. So kursieren Statistiken, die auflisten, wie viele Server mit einem leicht mutierten Virus infiziert werden müssen, um dann zwischen 10 und 30 Millionen US-Dollar zu verdienen

Die Gefahr für Unternehmen und kritische Infrastrukturen kann allerdings minimiert werden. Schlesinger fordert dafür ein ganzheitliches Denken. „Es geht bei den Mitarbeitern los. Diese sind oft das schwächste Glied in der Kette. Sie müssen geschult werden, etwa nicht sorglos USB-Sticks zu verwenden oder unbekannte Mailanhänge zu öffnen“, rät der Experte. „Es gibt Tests, da wurden USB-Sticks mit der Aufschrift Urlaubsfotos ausgelegt. Die Frage war, wie Mitarbeiter eines Unternehmens darauf reagieren würden. Ein paar Minuten später war der USB-Stick im System. Wenn er einen Virus getragen hätte, dieser auch.

 

1) Quelle: Bitkom Research, Mehrfachnennungen möglich. Basis: Alle befragten Unternehmen, die in den vergangenen zwei Jahren von Diebstahl von sensiblen digitalen Daten betroffen waren.

Oft ist es auch so, dass kleinere und mittelständische Unternehmen denken, sie seien gar nicht interessant genug für Angriffe. „Das ist falsch gedacht“, so Schlesinger. „Ransomware beweist, dass alle betroffen sein können. Globale Konzerne genauso wie der kleine Handwerksbetrieb auf dem Land. Jedes Unternehmen generiert mittlerweile eine Vielzahl an Daten,  die für Erpresser interessant sein können. Und wenn nicht, kann man mit deren Verschlüsselung eben Lösegeld erpressen.“ Natürlich brauche man nicht jeden Mittelständler im Schwarzwald so sicher machen wie die Bank von England, erklärt Schlesinger weiter. „Aber ich kann mir sehr wohl überlegen, welche Daten im Haus schützenswert sind und welche eben nicht. Diese Differenzierung ist extrem wichtig. 

Hier unterstützen unabhängige Prüfunternehmen wie TÜV SÜD. Denn viele Kleinunternehmer oder Mittelständler haben für Evaluationen dieser Art wenig Expertise im eigenen Haus. TÜV SÜD zertifiziert Unternehmen dann nach dem globalen Standard ISO 27001. Diesem liegen neben der Analyse der Ist-Situation auch Anforderungen an das „Soll“ zugrunde. Der Standard bietet so die Basis für Prozessverbesserungen. „Diese Zertifizierung kann aber nur eine Grundlage für Cybersecurity sein“, sagt Schlesinger. „Erst ein Penetrationstest oder eine noch tiefergehende Sicherheitsanalyse der Systeme und Anwendungen deckt weitere Schwachstellen auf. Dafür haben wir bei TÜV SÜD unsere eigenen Hacker. Diese greifen Unternehmen von außen wie auch über interne Schnittstellen an. Darauf aufbauend wird dann ein Schwachstellenbericht verfasst.

GEFAHR DURCH COMPUTER MIT RÄDERN

Es sind Hacker wie Marcel Mangel im TÜV SÜD-Kompetenzzentrum in München, von denen Schlesinger spricht. Oder auch Artem Vorobiev. Der Russe arbeitet für TÜV SÜD in Singapur, er nennt sich selbst „Ethical Hacker“. Und er sagt: „Neben Ransomware sind es vor allem die Geräte des  Internet of Things (IOT), die mir immer mehr Sorgen bereiten. Bei der Herstellung und Zulassung macht man sich nicht viele Gedanken um Sicherheit.“ Dann stöhnt er auf. „Das WWW steht immer öfter für Wild Wild West.

Foto: iStock

Vorobiev muss es wissen. Er führt jene Penetrationstests durch, die solche Probleme aufdecken. Momentan stellt er zusammen mit einem Kunden das Honeynet-Projekt nach, mit dem TÜV SÜD 2015 ein Wasserwerk imitierte. Die Angriffe kamen aus aller Welt, nach wenigen Monaten waren es bereits um die 10.000. „Es gibt immer irgendwo Schwachstellen. Hacker sind spezialisiert darauf, diese zu finden“, sagt er.

Ein großes Projekt ist für ihn momentan auch die vernetzte Mobilität. „Künftig werden Autos vor allem eins sein: Computer mit Rädern. Dementsprechend gibt es mehr digitale Angriffsflächen. Vor allem in der Kommunikation zwischen den einzelnen Bestandteilen“, sagt Vorobiev. „Angriffe, die sogenannte Exploits nutzen, werden zum Beispiel über das Antivirusprogramm des Autos gefahren. Das Problem ist, dass dieses Programm das gesamte Auto schützt. Wenn der Hacker es also schaffen sollte, wie auch immer, dieses zu knacken, gewinnt er die Kontrolle über das Antivirusprogramm – und damit über das gesamte Auto. Bingo!“

Jüngst demonstrierten drei Sicherheitsforscher in den USA, wie sich Autos über Infotainmentsysteme hacken lassen. Laut dem US-Cert, dem United States Computer Emergency Readiness Team, kann die Sicherheitslücke von Angreifern aus der Ferne dazu ausgenutzt werden, um das Infotainmentsystem eines Fahrzeugs zu deaktivieren und funktionelle Features des Fahrzeugs zu beeinflussen. Die Autohersteller, die davon betroffen sind, betonten allerdings, dass keine „kritischen Sicherheitsfeatures“ manipulierbar seien.

 

Den Hackern die Lust nehmen

Solche Exploits zu programmieren, kann Monate dauern. Ist das aber geschehen, können Hacker innerhalb von Sekunden zuschlagen. Sie könnten Autos manipulieren, sodass diese Unfälle bauen. Sie könnten Ampeln umschalten, sodass Chaos droht. Preise bis zu einer Million Euro werden für solche Exploits aufgerufen. Vorobiev fordert: „Wir müssen Standards für die Zulassung von IOT-Geräten entwickeln, damit solche Gefahren erst gar nicht entstehen. Sonst haben wir weiter die Wild-Wild-West-Situation. Und das will keiner.“

In diese Richtung denkt auch Dirk Schlesinger, der auf einen Hack im November 2016 verweist. Seinerzeit waren über eine Million DSL-Router der Deutschen Telekom von einem Angriff betroffen. Der Hacker agierte im Auftrag eines liberianischen Telekommunikationsunternehmens – aus den gekaperten Geräten sollte ein Botnetz aufgebaut werden. Mit diesem sollte dann wiederum eine weitere Angriffswelle gestartet werden, was Gott sei Dank nicht wie geplant funktionierte. „Die Struktur solcher Angriffe wird immer weiter von leistungsstarken Computern auf IoT-Devices verlagert werden. Die Gefahr ist absolut da“, sagt Schlesinger.

Daher wird es für Unternehmen, die in einem vernetzten Umfeld arbeiten, immer wichtiger, in die eigene IT-Sicherheit zu investieren – und auf externe Dritte wie TÜV SÜD mit dem Know-how von Experten wie Artem Vorobiev zu setzen. Ethical Hacker wie Vorobiev wissen, wie die kriminellen Hacker von der dunklen Seite denken und arbeiten. Die Argumentation vieler Experten ist folgende: Zwar kann eine hundertprozentige Sicherheit nicht garantiert werden. Doch gelingt es, den Hackern das Leben so schwer wie möglich zu machen, steigt die Wahrscheinlichkeit, dass sie die Lust verlieren. Und das Risiko für die Unternehmen sinkt. 

Dafür muss die IT-Sicherheit im eigenen Unternehmen allerdings ständig hinterfragt und analysiert werden. Nur dann ist der größtmögliche Schutz realistisch. Denn: „Cybersecurity ist ungefähr so etwas wie eine Grippeimpfung“, sagt Dirk Schlesinger. „Es ist nicht so, dass keiner mehr krank wird – aber weniger und nicht so schwer. Das muss das Ziel sein.“