11/25/2021

Cybercrime und wie Sie sich schützen können

Geringes Risiko und hohes Ertragspotenzial führen dazu, dass Cyberkriminelle aufrüsten. Der Beitrag zeigt die Bedrohungslage auf und erläutert, wie KMU das Risiko von Cyberangriffen in den Griff bekommen können.

Glauben Sie bloss nicht, dass Sie verschont bleiben werden. Ob Sie es wahrhaben wollen oder nicht, auch Sie sind von der wachsenden Cyberkriminalität betroffen. Je eher Sie sich darauf vorbereiten, desto billiger werden Sie davonkommen. Die Angriffe, die zufällige Opfer betreffen und nur die Zerstörung von Daten zum Ziel haben, sind mittlerweile selten geworden. Cyberkriminalität hat sich in den letzten Jahren zum veritablen Geschäftsmodell entwickelt. Die Angreifer agieren professionell, sind gut organisiert und haben das klare Ziel, Geld zu verdienen.

Zahlen Sie niemals!

Das Mittel zum Zweck ist dabei in der Regel Erpressung der Betroffenen. Bezahlt wird mittels anonymer Transaktionen mit Kryptowährungen. Polizeiliche Ermittlungen gehen aufgrund des sorgfältigen Vorgehens der Kriminellen regelmässig ins Leere. Vorneweg: Zahlen Sie niemals ein Lösegeld! Niemand garantiert Ihnen, dass die Zahlung den beabsichtigten Zweck erfüllt und Sie zukünftig in Ruhe gelassen werden. Durch eine Zahlung fördern und ermöglichen Sie nur kriminelle Machenschaften weltweit.

DoS-Angriffe auf Webshops

Eine gern genutzte Masche ist der Denial-of-Service-Angriff (DoS) auf Webshops. Wenn Sie einen grossen Teil Ihrer Erträge über einen Webshop generieren, sind Sie für die Attacken besonders anfällig. Kriminelle nutzen Unmengen gehackter PCs («Botnets»), um Ihre Webseite zu überlasten und reguläre Aufrufe unmöglich zu machen. Ein solcher Angriff kann als Auftragsarbeit erfolgen, wenn Konkurrenten Sie aus dem Geschäft drängen wollen. Oder Sie erhalten vor oder nach dem Angriff eine Forderung, die Sie zur Zahlung einer bestimmten Summe auffordert, damit Ihr Shop weiterhin online bleibt.

Der Schutz gegen einen DoS-Angriff ist aufwendig und erfolgt sinnvollerweise so weit weg wie möglich vor Ihren eigenen Systemen. Am effektivsten sind Massnahmen in der Netzwerkinfrastruktur Ihres Providers. Viele Provider bieten heute einen Grundschutz als Teil der Basisdienstleistung an, der bei Bedarf ausgebaut werden kann. Um gegen Angriffe gewappnet zu sein, diskutieren Sie mit Ihrem Provider angemessene Massnahmen. Die Angemessenheit ergibt sich dabei aus dem Risiko: Wie viel Umsatz generieren Sie aus dem Webshop und wie hoch ist der potenzielle Schaden, wenn dieser Vertriebskanal über mehrere Tage ausfällt? Betrachten Sie die Kosten für den Schutz vor einem Angriff dieser Art als Versicherungsprämie zur Absicherung Ihrer Existenz.

Ransomware im Firmennetz

In den Medien recht präsent sind derzeit Angriffe durch Erpressungs-Software, im Fachjargon auch Ransomware oder Trojaner genannt. Dabei platzieren Angreifer bösartige Software in Ihrem Firmennetz, wo sie Daten verschlüsseln und anschliessend eine saftige Lösegeldforderung präsentieren. In Folge des Angriffs sind schlimmstenfalls Ihre gesamten Buchhaltungsdaten nicht mehr verfügbar oder Ihr Dateiserver enthält nur noch Datenmüll. Die Höhe der Forderung richtet sich nach der Grösse der Firma und dem Wert der Daten. Hier sind schnell hohe Beträge erreicht. So wurden beispielsweise selbst sechs- bis siebenstellige Summen gefordert und auch bezahlt.

Angriffe dieser Art erfolgen in der Regel durch eine Kombination verschiedener Schwachstellen. Gerne senden die Kriminellen im ersten Schritt eine E-Mail mit einem unverdächtig aussehenden Anhang und bringen einen unvorsichtigen Empfänger dazu, diesen Anhang zu öffnen. Die entsprechenden E-Mails sind heute sehr gut gemacht, haben gerne einen bekannten Absender und sind kaum von echten Geschäfts-E-Mails zu unterscheiden.

Durch verschiedene Tarnmechanismen kann sich die Schad-Software auch gut vor Virenscannern verbergen. In einem zweiten Schritt werden durch die so aktivierte Schad-Software weitere Sicherheitslücken im Netzwerk ausfindig gemacht und darüber zusätzliche Arbeitsstationen und Server infiziert. Ist der Angriff einmal so weit gediehen, bleibt als einzige und letzte Gegenmassnahme häufig nur noch der Lockdown, also das vollständige Abtrennen betroffener Systeme und Netzwerke. Anschliessend müssen die Systeme komplett neu aufgesetzt werden.

Sechs einfache Schutzmassnahmen

Auch gegen solcherart ausgefeilte Angriffe kann man Vorkehrungen treffen. Die folgenden Massnahmen sollten zuerst implementiert werden:

  1. Sorgen Sie dafür, dass alle Ihre Systeme jederzeit mit den aktuellsten Sicherheits-Patches ausgestattet sind. Das Ausnutzen bekannter Sicherheitslücken spielt häufig eine grosse Rolle bei der Verbreitung von Schad-Software. Durch das regelmässige Einspielen aller Patches reduzieren Sie Ihre Angriffsfläche beträchtlich und die Kosten dafür sind vergleichsweise gering. Vertrauen Sie auch nicht darauf, dass die wichtigen Server hinter einer Firewall stehen und damit schon geschützt sind. Sicherheit heisst heute, dass alle Systeme für sich genommen sicher sein müssen (Defense in Depth).
  2. Richten Sie eine Passwort-Policy ein, sodass für sämtliche Konten sichere Passwörter genutzt werden. Sicher sind Passwörter dann, wenn sie lang sind. Länge schlägt Kompliziertheit.
  3. Sichern Sie alle privilegierten Zugänge, insbesondere Administratorkonten, mittels eines zweiten Faktors. Wenn es einem Angreifer gelingt, Passwörter abzugreifen, ist der zweite Faktor ein preiswertes und wirkungsvolles Mittel, den Missbrauch dieser Passwörter zu verhindern.
  4. Installieren Sie auf allen Rechnern eine Antiviren-Software mit jederzeit aktuellen Signaturen. Eine solche Software kann zwar nicht jede Schad-Software erkennen, aber zumindest einen grossen Teil davon.
  5. Sensibilisieren Sie Ihre Mitarbeitenden regelmässig zu den Themen sicherer Umgang mit Downloads und E-Mails. Nutzen Sie dazu mit Vorteil Security-Awareness-Trainings, die Sie kostengünstig bei spezialisierten Anbietern beauftragen können.
  6. Und zu guter Letzt: Stellen Sie sicher, dass Sie Backups nach der 3-2-1-Regel implementieren. Erstellen Sie immer drei Kopien aller Daten auf zwei unterschiedlichen Medien und lagern Sie eines davon an einem unabhängigen Standort. Wenn Ihr Netzwerk infiziert ist und die Daten auf den Online-Systemen verloren sind, haben Sie so zumindest die Möglichkeit, jederzeit Ihre wertvollen Daten problemlos wiederherstellen zu können.

Verteidigung ist möglich

Die genannten sechs Massnahmen reduzieren das Risiko beträchtlich, dass Sie Opfer einer Erpressungs-Software werden. Und wenn doch, dann bleibt das Backup als letzte Rettung. Falls Sie betroffen sind, ziehen Sie Incident-Response-Spezialisten hinzu, um angemessen zu reagieren und die Schäden einzudämmen. Eine Anzeige bei der Polizei sowie bei der Meldestelle des Bundes, Melani, hilft den staatlichen Stellen bei der korrekten Einschätzung der aktuellen Bedrohungslage.

Bei besonderem Schutzbedarf kann es auch Sinn ergeben, dass Sie ein formelles Information-Security-Management-System nach ISO/IEC 27001 implementieren und zertifizieren lassen. So können Sie auch Ihren Partnern zeigen, dass Sie die IT-Sicherheit ernst nehmen.

Zu guter Letzt sei wiederholt: Rechnen Sie jederzeit mit einem Angriff und seien Sie vorbereitet!

(Erstveröffentlichung: Computerworld 11/2021)