dcsimg
Cyber

„Wer ein Unternehmen schädigen will, hat dank Internet gute Chancen“

Immer häufiger werden Unternehmen von Cyber-Angriffen getroffen, die Professionalität von Hackern hat eine neue Gefährdungsstufe erreicht. Über teure Schäden und komplexe Risiken sprach Munich Re mit Florian Seitner vom Bayerischen Landesamt für Verfassungsschutz und Michael Hochenrieder vom IT­-Sicherheitsdienstleister HvS-Consulting.

16.02.2015

Michael Lardschneider (Chief Security Officer, Munich Re): In verschiedenen Branchen beobachten wir verstärkt Cyberangriffe, die hohe Schäden verursachen. Unter­nehmen investieren zunehmend in technische Infrastruktur. Schreckt das die Hacker ab?

Florian Seitner: Wir erleben derzeit eine starke Professionalisierung der Hacker. Das spiegelt sich auch in einer Arbeitsteilung wider. Knifflige Programmieraufgaben werden wie in der Wirtschaft ausgelagert, verschiedene Hackergruppierungen arbeiten sowohl für Nachrichtendienste als auch für kriminelle Auftraggeber.

Lardschneider: Herr Hochenrieder, als IT-­Sicherheitsdienstleister versuchen Sie herauszufinden, wie effektiv die Schutzmaßnahmen Ihrer Kunden sind. Im Rahmen von Schwachstellenanalysen und Penetrationstests werden Sie beauftragt, die digitalen Kronjuwelen zu stehlen. Wie läuft ein solcher fingierter Angriff ab? 

Michael Hochenrieder: Wir führen den Angriff gezielt an einer ausgewählten Stelle im Netzwerk aus und beobachten, wie die Sicherheitsmitarbeiter und die Systeme darauf reagieren: Wird Alarm geschlagen? Oder können wir uns zwei bis drei Wochen ungestört im Netzwerk bewegen und dabei permanent Daten aus dem Unternehmen absaugen?


Lardschneider: Welche Erfahrungen haben Sie dabei gemacht? Werden Angriffe schneller als früher erkannt?

Hochenrieder: Nein, leider nicht, im Gegenteil. Es dauert länger, denn die verfügbaren Tools, die für echte Angriffe genutzt werden, sind mittlerweile äußerst ausgereift. Das macht es sehr schwer, einen Angreifer mit entsprechend technischem Hintergrundwissen zu erkennen.

Seitner: Der Vorteil der Gegenseite ist, dass sie aus ihren Fehlern lernen kann, denn sie bekommt unter Umständen mit, woran ein Angriff gescheitert ist. Beim nächsten Mal wird die Software verbessert und in einem anderen Netzwerk verwendet.

Hochenrieder: Letztendlich müssen wir zugeben, dass wir bei diesem Katz-­und-­Maus-­Spiel in der Regel nur zweiter Sieger sind. Denn um zu lernen, muss ein Angriff erfolgt sein. Die Analyse des Angriffs dauert, und währenddessen werden andere Unternehmen möglicherweise mit einer ähnlichen Technologie attackiert.

Lardschneider: Unternehmen begreifen zunehmend, dass sie alle im selben Boot sitzen. Um zu verstehen, welche Angriffe erfolgt sind und welche Maßnahmen durchgeführt wurden, ist aber viel gegenseitiges Vertrauen notwendig. Nur langsam entwickeln sich unternehmensübergreifend vertrauensvolle Kreise. Das gilt auch für die Zusammenarbeit mit den IT-­Sicherheitsdienstleistern und den Produktherstellern. Wenn zum Beispiel die Gefahr besteht, dass ein Dienstleister auch für die Konkurrenz arbeitet, dann muss das Vertrauen in den Dienstleister sehr hoch und das Arbeitsverhältnis sehr eng sein. Auch die Zusammenarbeit mit dem Verfassungsschutz ist wichtig.

Seitner: Unternehmen können mit uns vertraulich zusammenarbeiten, sie bekommen behördliche Unter­stützung bei elektronischen Angriffen, ohne dass das gleich in ein Strafverfolgungsverfahren münden muss. Viele Unternehmen schrecken davor zurück, sich an die Polizei zu wenden. Die Polizei muss solche Vorfälle aufgrund des Legalitätsprinzips dem Staatsanwalt melden. Als Verfassungsschutz unterliegen wir diesem Legalitätsprinzip nicht. Wir garantieren den Unternehmen Vertraulichkeit.

Lardschneider: Vergangenes Jahr haben die US-­Sicherheitsbehörden 3.000 Unternehmen informiert, dass sie möglicherweise angegriffen wurden. Werden wir diese noch engere Zusammenarbeit künftig auch in Europa und in anderen Regionen sehen? 

Seitner: Wenn wir einen Angriff feststellen oder ein Angriff gemeldet wird, der aufgrund des Angriffs­musters mehr als ein Unternehmen betreffen könnte, dann geben wir Sicherheitswarnungen heraus. Darin wird der Angriff anonymisiert so beschrieben, dass jeder möglicherweise Betroffene konkret etwas damit anfangen kann. Viele Unternehmen haben aufgrund unserer Warnmeldungen Tests durchgeführt, und einige haben dadurch auch Angriffe entdeckt. Diese Fälle können wir dann in unser aktuelles Lagebild aufnehmen.

Hochenrieder: Bei den gezielten Angriffen kommen unterschiedliche Methoden zeitgleich zum Einsatz. Durchschnittlich dauert es 260 Tage, bis ein erfolgter Angriff vom attackierten Unternehmen überhaupt entdeckt wird. Manchmal bewegen sich Angreifer mehrere Jahre unbemerkt im Firmennetzwerk. 

Lardschneider: Um das zu vermeiden, hilft nur das Zusammenspiel von Technik und Mensch. Technisch kann man viel einschränken, wobei das mitunter den Arbeitsfluss der Mitarbeiter beeinträchtigt. Mitarbeiter haben hierfür Verständnis, wenn sie verstehen, warum bestimmte Funktionen abgeschaltet sind. Auch investieren wir erheblich, um unseren Mitarbeitern Know-how zu vermitteln und deren Bewusstsein für die Thematik zu schärfen. 

Hochenrieder: Aktuell sehen wir viele Spear-­Phishing-­Angriffe. Dabei werden Personen wie mit einem Speer gezielt angegriffen. Dabei fließt kein Blut, sondern vertrauliche Informationen. Spear Phishing geschieht beispielsweise über E-­Mails, die sich auf Stellenausschreibungen beziehen. Ein solches Job-­Angebot wirkt professionell, der Anhang mit dem Lebenslauf oder die verlinkte Website sind aber infiziert. Öffnet der Mitarbeiter der Personalabteilung den Anhang, ist die Tür für Hacker offen.

Lardschneider: Welche weiteren Schadenszenarien können Sie sich vorstellen?

Hochenrieder: Wenn ein Mitbewerber etwa einen Konkurrenten schädigen will, dann könnte er ihm schlichtweg alle Systeme abschalten. Ein solches Vorgehen würde aber schnell festgestellt und das Problem behoben. Viel schwieriger zu erkennen wäre der Angriff, wenn gezielt Finanzdaten manipuliert oder zum Beispiel bei einem Automobilhersteller die Maße für die Fräse nur ganz gering verändert würden. Es reicht, wenn bei wenigen Zahlen die Kommastelle verschoben oder an ein paar Stellen das Datum verändert wird. Das fällt zunächst nicht auf, hat aber fatale Folgen für das Endprodukt. Wird der Angriff erkannt, muss man sich fragen, welche Daten noch integer sind. Denn man weiß ja nicht, wie lange der Angreifer im Netz war und wann welche Stellen manipuliert wurden. Und bei einem großen Unternehmen alle Daten auf Integrität zu prüfen wird sehr komplex und teuer.

Seitner: Ich will noch einen Schritt weiter gehen. Was passiert, wenn Prozesse einer Produktionsanlage von Angreifern so beeinflusst werden, dass in dem Produkt, etwa einem Medikament, etwas verändert wurde ohne dass der Hersteller das überhaupt merkt? Auch in der Automobilindustrie würde erheblicher Schaden durch umfangreiche Rückrufaktionen mit komplizierten Haftungsfragen entstehen.

Lardschneider: Darüber hinaus gibt es immer häufiger Angriffe, die man als Cyberterrorismus bezeichnen könnte.

Seitner: Angriffe dieser Art richten sich primär gegen die Versorgungsinfrastruktur. Wenn beispielsweise ein einzelnes Blockheizkraftwerk für ein Neubauviertel angegriffen wird, dann kann der Versorger das vielleicht noch kompensieren. Werden aber mehrere Blockheizkraftwerke mit derselben Steuerungsanlage angegriffen und fallen aus, dann kann das schon systemrelevant sein.

Lardschneider: Den Angriff auf das eigene System empfinden Unternehmen als regelrechte Kriegserklärung. Für die Firmen steht mehr als deren Reputation auf dem Spiel. Gerade in der Finanzindustrie werden Kunden immer mehr darauf achten, wie Unternehmen mit ihren Informationen umgehen und ob die Unternehmen bereits angegriffen wurden. Für Firmen, die mit vertraulichen Informationen umgehen, entsteht daraus aber auch eine große Chance, mit gezielten Maßnahmen und geeignetem Versicherungsschutz einen Vorteil gegenüber anderen Unternehmen im Markt zu erlangen. 

Hochenrieder: Unternehmen müssen verstehen, dass sie nicht alles schützen können, zumal sich die Angriffsziele und -­methoden ständig verändern. Sie benötigen daher ein abgestuftes Sicherheitskonzept, um die essenziellen Werte wirksam zu schützen. Hier muss man genau Kosten, Nutzen und Risiken abwägen. Dazu gehört auch eine maßgeschneiderte Versicherungsdeckung von Cyberrisiken.

Lardschneider: Wie wird sich das Thema Cyberrisiken in den nächsten Jahren entwickeln? 

Seitner: Militärische Konflikte werden sich immer mehr in den Cyberspace ausweiten, das müssen wir sehr genau beobachten. Auch die Unternehmen und Behörden müssen sich besser aufstellen und eine starke, breite Allianz des Vertrauens schaffen. Nur so lassen sich elektronische Angriffe schneller erkennen und abwehren.

Hochenrieder: Unternehmen müssen flexibel mit der neuen Situation umgehen. Man kann sich nach wie vor schützen, aber dazu wird eine neue Denkweise benötigt. Bisher haben wir immer versucht, hohe Mauern zu bauen. Da wir wissen, dass das heute nicht mehr ausreicht, ist unsere neue Strategie ein Schutzmodell nach dem Zwiebelschalen-­Prinzip. Eine Sensibilisierung der Mitarbeiter und Administratoren für Informationssicherheit und Cyberrisiken sowie die Implementierung von Frühwarnsystemen lassen sich recht schnell umsetzen. Maßnahmen wie eine am Schutzbedarf orientierte Segmentierung der Netze, die Verbesserung des Schutzes privilegierter Kennungen sowie die Identifizierung, Klassifizierung und Ergreifung besonderer Schutzmaßnahmen für die Kronjuwelen benötigen Zeit, zum Teil mehrere Jahre. Gerade deshalb sollten Unternehmen heute damit anfangen und gleichzeitig in entsprechende Cyber-Deckungen investieren, um sich zukunftssicher aufzustellen.

Wir verwenden Cookies um Ihr Internet-Nutzungserlebnis zu verbessern und unsere Websites zu optimieren.

Mit der weiteren Nutzung unserer Website stimmen Sie der Verwendung von Cookies dieser Website zu. Weitere Informationen zu Cookies und dazu, wie Sie die Cookie-Einstellungen in Ihren Browsereinstellungen anpassen können, finden Sie in unsereren Cookie-Richtlinien.
Sie können Cookies deaktivieren, aber bitte beachten Sie, dass das Deaktivieren, Löschen oder das Verhindern von Cookies Ihre Internet-Nutzung beeinflussen wird.