Cyber-Risiken (Teil 2)

In Teil 1 haben wir die Risiken betrachtet, die für ein Unternehmen durch Cybercrime bestehen. Doch was kann Ihrem Unternehmen durch Cybercrime tatsächlich zustoßen?

Da das Thema „Cyber Risiken“ für viele immer noch wie das sprichwörtliche „böhmische Dorf“ ist, werde ich an dieser Stelle die verbreitetsten Schadensereignisse vorstellen. Ich hoffe, Ihnen damit eine Vorstellung geben zu können, welchen Bedrohungen Sie ausgesetzt sind und welches konkrete Gefahrenpotential Ihrem Unternehmen drohen kann.

Die Mailbombe

Unter einer Mailbombe versteht man das organisierte Verschicken einer Vielzahl von Emails an einen Empfänger, um dessen Emailkommunikation lahmzulegen. Mittlerweile bietet das Internet eine Vielzahl frei verfügbarer Werkzeuge, die jedermann einfach benutzen kann, um anonym tausende Emails gleichzeitig an einen Empfänger zu schicken. Das führt unweigerlich zu immensen Verzögerungen im Arbeitsablauf des geschädigten Unternehmens. Häufig dauert es Stunden, manchmal Tage, bis alle Emails (die Mailbombe wie auch Kundenmails) empfangen und sortiert werden und man wieder zur normalen Mailkommunikation zurückkehren kann. Im ungünstigen Fall wird mit der Emailkommunikation (Empfang und Versand) auch der normale Internetzugang blockiert, da sich beides in der Regel die Bandbreite des Internetanschlusses teilt. Es ist auch möglich, dass der Mailserver durch die Mailbombe komplett überlastet wird und überhaupt keine Mails mehr verarbeitet werden können.

Die DoS-Attacke (Denial of Service)

Denial of Service (DoS; englisch für „Dienstverweigerung“) bezeichnet in der Informationstechnik die Nichtverfügbarkeit eines Dienstes (Email, Web, Internetzugang, etc.), der eigentlich zur Verfügung stehen sollte. Es gibt verschiedene Gründe, warum ein Dienst nicht verfügbar ist. Bei einer DoS-Attacke ist die Nichtverfügbarkeit aber die Folge eines gezielten Angriffs auf die Infrastruktur des Betroffenen. Der Angriff kann gezielt auf Server, Rechner, Router oder sonstige Komponenten in einem Datennetzwerk erfolgen. Dabei wird das Angriffsziel mit so vielen Anfragen konfrontiert, dass es diese nicht oder nur noch mit großer Zeitverzögerung verarbeiten kann. Das hat zur Folge, das gewünschte Zugriffe nicht mehr zum Zug kommen und der Dienst daher nicht mehr dem Zweck entsprechend genutzt werden kann. DoS funktioniert im Prinzip wie eine Mailbombe, jedoch werden meist Webseiten oder Kommunikationsverbindungen damit angegriffen. Wird die Überlastung durch mehrere Angriffssysteme gleichzeitig verursacht, spricht man von einer DDoS, einer verteilten Dienstblockade (Distributed Denial of Service). Dabei werden auch fremde Systeme benutzt, um die Angriffe auszuführen. Meist sind diese selbst Opfer von Cybercrime und wurden durch die Angreifer übernommen und dann ferngesteuert.

Datenmissbrauch

Datenmissbrauch hat ebenfalls viele Facetten. Am häufigsten ist aber der betrügerische Missbrauch von Bank- und Kreditkartendaten der Kunden eines Unternehmens. Hiermit kann sehr schnell Geld ergaunert werden. Auch das Ausspionieren eines Unternehmens (Industriespionage) fällt unter diese Kategorie der Cyber-Risiken. Zugang zu den Daten können die Täter über Schadsoftware (z.B. Keylogger), Hardware (entwendete Geräte des Unternehmens) oder über Mitarbeiter (z.B. „geborgter“ oder geteilter Zugang) erhalten. Hier droht die meiste Gefahr aus dem Unternehmen selbst heraus. Ein unbedachter Klick auf einen Mailanhang oder ein infizierter USB-Stick kann fatale Folgen haben, wenn sich darüber Trojaner-Software im Netzwerk verteilt.

Datensabotage

Bei einem Datensabotageakt werden Daten des Unternehmens beschädigt, verändert oder gelöscht. Entweder über Schadprogramme, gehakte Zugänge zu Servern oder Netzwerken oder gezielt durch Eindringlinge. Schutz vor Cyber-Risiken bedeutet nicht nur, Sicherheitssoftware einzusetzen, sondern auch seine wichtigen Infrastruktursysteme (Server, Router, Datensicherungen) vor realem Zugriff durch Personen zu schützen und/oder gegebenfalls sogar redundant auszulegen. Eine entsprechende Backup-Strategie für die Unternehmensdaten kann ebenfalls vor Datenverlust schützen.

Digitale Erpressung

Digitale Erpressung kann in verschiedenen Formen auftreten. Die größte Verbreitung findet über sog. „Ransomware“ statt. Das sind Schadprogramme wie z.B. der bekannte „BKA-Trojaner“, über den hinlänglich in der Presse berichtet wurde. Über „Ransomware“ wird i.d.R. der Zugriff auf den eigenen Rechner, bzw. die eigenen Daten (durch Verschlüsselung dieser), blockiert. Es wird dem Opfer dann zugesichert, dass diese Blockade durch Zahlung eines „Lösegeldes“ aufgehoben wird. Ist das Lösegeld, meist in Form von nicht verfolgbarer Cryptowährung, bezahlt, bleiben die Daten verschlüsselt, da es für den Erpresser keinen Grund gibt, sich die Mühe zu machen, nochmal mit dem Opfer in Kontakt zu treten und sich damit der Gefahr auszusetzen, erkannt zu werden. Eine weitere Form der digitalen Erpressung ist, dem Opfer anzudrohen, mittels DDoS-Attacke (siehe oben) sein Unternehmen stillzulegen. Durch eine Lösegeldzahlung soll sich das Opfer davon freikaufen. Auch gab es bereits Erpressungen, bei denen gedroht wurde, erbeutete Kundendaten des Unternehmens zu veröffentlichen.

Wie Sie sehen, gibt es viele Angriffe, denen die IT Ihres Unternehmens ausgesetzt sein kann. Problematisch ist, dass diese Attacken mittlerweile auch durch Laien ausgeführt werden können. Die dazu notwendigen Werkzeuge sind frei im Internet oder Darknet verfügbar und können teilweise wie gewöhnliche Anwendungssoftware benutzt werden. Aber nach wie vor droht mehr Gefahr aus dem Unternehmen selbst heraus, als durch äußere Einwirkung. Unzufriedene Mitarbeiter, leichtsinniger Umgang mit Daten und fahrlässige Sicherheitseinstellungen stellen für ein Unternehmen mindestens eine genau so große Bedrohung dar, wie der Hacker von außen.

Im Rahmen der neuen EU-DSGVO sind Sie als Unternehmer verpflichtet und verantwortlich, mit den Ihnen anvertrauten Daten sorgfältig und sicher umzugehen und alles technisch Mögliche zu unternehmen, um die Sicherheit zu gewährleisten. Im Schadensfall sehen Sie sich nicht nur mit Schadensersatzforderungen Ihrer Kunden konfrontiert, sondern auch mit dem Gesetzgeber. Achten Sie deshalb darauf, die EU-DSGVO im Unternehmen umzusetzen. Prävention kostet Geld und Sicherheit ist immer unbequem. Schadensregulierung kann aber im Zweifelsfall die Existenz Ihres Unternehmens bedeuten.