Cybersicherheit 09.03.2020, 06:12 Uhr

Mittelständler verstärkt unter ­Beschuss

Konzerne haben aufgerüstet, also sind Cyberkriminelle auf der Suche nach leichterer Beute. Diese finden sie in KMUs, da die Cybersicherheit hier oft nicht ausreicht um Angriffe abzuwehren.
(Quelle: solar22 / shutterstock.com)
An einem Wochenende Anfang Oktober liefen bei dem Schweizer Online-Marktplatz Digitec Galaxus die Server heiss: Mehrere Hunderttausend Log-in-Anfragen auf Kundenkonten trafen gleichzeitig ein, der überwiegende Anteil nutzte dabei fehlerhafte Nutzername-Passwort-Kombinationen. Wie der Online-Händler nach einer Überprüfung feststellte, erfolgten die massiven Log-in-Versuche auf die Kundenkonten ausnahmslos von Computern von ungewöhnlichen IP-Adressen, grösstenteils aus Russland oder Brasilien. Die Erklärung des Vorfalls lieferte Unternehmenssprecher Tobias Billeter einige Tage später: Offenbar hatten Angreifer im Darknet Listen mit Kombinationen von Benutzernamen und Passwörtern gekauft und diese automatisiert alle ausprobiert.
Und auch wenn die meisten Log-in-Daten nicht zu dem Shop passten: Bei immerhin 40 Konten wählten sich die Angreifer erfolgreich ein und kauften mit dem Guthaben der nichts ahnenden Kunden Software-Lizenzen im Wert von insgesamt 3200 Franken. Wenngleich die Kundendaten nicht durch eine Security-Lücke bei Digitec Galaxus, sondern anderswo im Netz entwendet worden waren, zeigte sich der Händler kulant und übernahm den Umsatz der Betrüger für seine Kunden.
Für Digitec Galaxus war der Vorfall keineswegs der erste Zusammenstoss mit Cyberkriminellen. Bereits 2017 warnte der Marktplatz 21'000 Kunden per E-Mail, dass sich Unbefugte Zugang zu ihrem Shop-Konto verschafft hatten. Auch damals wurde das Unternehmen durch massenhaft gescheiterte Log-in-Versuche auf das Problem aufmerksam. Und 2016 gehörte Digitec Galaxus zu den Opfern einer gross angelegten DDoS-Attacke auf Schweizer Unternehmen.
Das Beispiel zeigt: Cyberkriminalität gehört längst zum E-Commerce-Alltag - und jeder kann betroffen sein. Aktuelle Studien von Cybersecurity-Spezialisten wie Kaspersky, McAfee und vielen anderen malen ein erschreckendes Bild. Cyberkriminalität ist weltweit auf dem Vormarsch. Und: Nachdem jahrelang vor allem international aktive Grosskonzerne von Cyberangriffen betroffen waren - beispielsweise die Reederei Maersk, die während der grossen Wanna­cry-Ransomware-Welle Mitte 2017 einen Schaden von 200 bis 300 Millionen Euro verbuchen musste -, wenden sich die Angreifer mittlerweile zunehmend leichterer Beute zu, zum Beispiel dem deutschen Mittelstand.

Einzelhandel als lukratives Ziel

Ende Juni 2019 musste das die Hamburger Juwelierkette Wempe schmerzlich erleben. Hacker waren in die Server des Unternehmens eingebrochen und hatten Bereiche der IT verschlüsselt. Mitarbeiter konnten keine Rechnungen mehr drucken, Mails verschicken oder Dateien öffnen. «Das war eine Geiselnahme unserer Daten auf unseren eigenen Servern», so Wempe-Sprecherin Nadja Weisweiler. Und wie bei einer echten Geiselnahme liess die Lösegeldforderung nicht lange auf sich warten: Die Hacker verlangten eine «hohe Summe» für das Passwort, das die Server wieder freischalten würde, in der Presse wurde über mehr als eine Million Euro spekuliert.
“Das war eine Geisel­nahme unserer Daten auf unseren eigenen ­Servern.„
Nadja Weisweiler, Unternehmenssprecherin bei Wempe Juweliere
Die Juwelierkette bezahlte - eine fragwürdige Reaktion, von der Cybersecurity-Experten aus Industrie und Behörden unter anderem auch bei der Melde- und Analysestelle Informationssicherung des Bundes (Melani) einhellig abraten. «Das Bezahlen der Lösegeldforderung ist eigentlich immer der schlechteste Weg», meint auch Ralf Stadler, Director Security Solution Practice & Mobility beim Security-Experten Tech Data. «Schliesslich weiss man ja nicht, ob man für das Geld tatsächlich den Key zur Freischaltung des Servers bekommt oder ob man sich damit nur wieder eine weitere Malware auf den Rechner holt.» Ausserdem seien Ransomware-Attacken «mit zusätzlichen, externen Backups und einem guten Monitoring der Server gut in den Griff zu bekommen».
Doch selbst wenn die IT-Abteilung auf der Hut ist und die nötigen Vorkehrungen getroffen wurden, können Ransom­ware-Attacken ein Unternehmen empfindlich treffen: Im Mai 2019 wurde die deutsche Buchhandelskette Osiander gehackt. Die IT-Abteilung bemerkte den Angriff zwar rechtzeitig und trennte den attackierten Server vom Netz, bevor die Hacker relevante Daten verschlüsseln konnten. Doch auch ohne Lösegeldforderung waren die Folgen verheerend: Der Webshop war mehrere Tage offline, 60 Filialen waren weder telefonisch noch per E-Mail zu erreichen, Buchbestellungen konnten nicht aufgegeben werden. «Die Umsatzausfälle sind das eine», so Osiander-Geschäftsführer Christian Riethmüller. «Zum anderen haben wir uns Unterstützung von Sicherheitsexperten geholt und jeden Rechner, jedes Programm auf Viren untersucht. Unter dem Strich wird uns das in diesem Jahr einen gehörigen sechsstelligen Betrag kosten.»

Preisgünstige DDoS-Attacken

Typisches Ransomware-Erpresserschreiben: Die Hacker informieren über die Geiselnahme und verlangen Lösegeld.
Quelle: Kaspersky
Während Ransomware-Angriffe meist von professionellen Hackerteams in grossem Stil aufgefahren werden und darauf abzielen, Lösegeld zu erpressen, entwickelt sich eine andere Angriffsmethode gerade zum Mittel der Wahl, um unliebsame Konkurrenten eine Zeit lang aus dem Geschäft zu nehmen und dabei auch noch nervlich zu zerrütten: die Distributed-Denial-of-Service-Attacke. Bei einem DDoS-Angriff wird eine Webseite so lange mit einer übermässigen Vielzahl von Anfragen bombardiert, bis der Server unter der Last zusammenbricht - und die Seite nicht mehr erreichbar ist.
Eines der in der deutschen E-Commerce-Branche prominentesten Beispiele für so eine Attacke traf Mitte vergangenen Jahres das Branchen-Blog Wortfilter. «Die DDoS-Attacke lief 14 Tage lang in mehreren Angriffswellen, insgesamt war die Seite sicherlich sieben volle Tage nicht erreichbar», berichtet Wortfilter-Betreiber Mark Steier. Von seinem grossen Massen-Hoster bekam Steier kaum Unterstützung bei der Bekämpfung der Attacke, erst ein Umzug auf einen kleineren Hoster, der auch Cluster-Lösungen im Angebot hat, sowie die Installation eines Content Delivery Networks und einer DDoS-Schutz-Software lösten das Problem.
«Nach der Attacke habe ich mir mal interessehalber 20 kleinere Online-Shops genauer angeschaut, um zu sehen, wie die wohl mit DDoS-Attacken umgehen würden - und die waren alle komplett schutzlos», so Steier. «Daran sieht man: Den meisten kleineren Unternehmern, egal ob Online-Händler oder Blogger, ist das Problem nicht voll bewusst. Die denken sich: Das betrifft mich nicht, das ist ein Problem der Grossen - bis sie dann doch mittendrin stecken.»
“Wir haben uns Unterstützung von Sicherheitsexperten geholt und jeden Rechner, jedes Programm auf Viren untersucht. ­Unter dem Strich wird uns das (…) ­einen gehörigen sechsstelligen Betrag kosten.„
Christian Riethmüller, Geschäftsführer von ­Osiander
Eine Einschätzung, die Security-Experte Stadler teilt. «DDoS-Attacken werden immer häufiger, auch weil es immer einfacher ist, solche Attacken in Auftrag zu geben», so der Tech-Data-Mann. «Einen DDoS-Server kann man ab 100 Euro aufwärts mieten, und wer sich geschickt anstellt, kann den Auftraggeber so verschleiern, dass der Weg kaum zu ihm zurückverfolgt werden kann.»
Dadurch eignet sich eine solche Attacke bestens, um unliebsame Konkurrenten eine Zeit lang aus dem Weg zu räumen - oder eine ungeliebte Website für eine Weile zum Schweigen zu bringen. «Gerade Online-Shops, die stark vom Umsatz der eigenen Plattform abhängig sind, sind hier sehr verletzlich», warnt Mark Steier.
Ralf Stadler empfiehlt daher vor allem kleineren Unternehmen, sich proaktiv bei ihrem Hoster zu informieren: «Hier hilft ein Blick in den Hosting-Vertrag: Wie sind die Service Level definiert, speziell im Angriffsfall? Wie oft werden Backups erstellt? Wie sieht die Hilfe für die Wiederherstellung der Systeme nach einem Angriff aus?» Ist vom Hoster keine Hilfe zu erwarten, kann die Lücke mit der Installation von Zusatz-Software geschlossen werden. Viele Anbieter haben kostengünstige oder sogar kostenlose Einsteigerprodukte im Portfolio. «Und die sind immerhin besser als nichts», so Stadler.

Credential Stuffing explodiert

Selbst wenn Online-Händler ihre Webseite gegen DDoS-Attacken stärken und ihre Server gegen Hacker verteidigen, sind sie nicht vollständig vor Cyberkriminellen geschützt - denn ihre Kunden sind es auch nicht. Über 2,2 Milliarden gestohlene Nutzerdaten standen allein im ersten Quartal 2019 im Darknet zum Verkauf. Und im ersten Halbjahr 2018 wurden gestohlene Daten mindestens zehn Milliarden Mal für Log-in-Versuche auf E-Commerce-Seiten genutzt.
Credential Stuffing werden Angriffe genannt, bei denen gestohlene Kundendaten von Bots zu Hunderttausenden auf einer Seite ausprobiert werden in der Hoffnung, zumindest bei einigen das Kundenkonto übernehmen und für exzessive Einkäufe nutzen zu können - so wie bei Digitec Galaxus. Und auch wenn die Schweizer immer wieder beteuerten, dass der Fehler nicht auf ihrer Seite lag, sondern vielmehr ihre Kunden zu sorglos mit ihren Log-in-Daten umgegangen waren - indem sie etwa die gleichen Zugangsdaten für den Digitec-Galaxus-Shop wie für ein soziales Netzwerk oder eine Mail-Adresse verwendet hatten -, blieb der Schwarze Peter doch bei dem Marktplatzbetreiber hängen. «Hacker­angriff auf Digitec Galaxus» titelten mehrere Schweizer Zeitungen nach Bekanntwerden des Vorfalls, besorgte Kunden kontaktierten den Shop. «Der Imageschaden in so einem Fall ist erheblich», warnt Ralf Stadler. «Online-Shops müssen damit umgehen, dass die Daten ihrer Kunden auf ihrer eigenen Plattform und zudem auch an anderer Stelle im Internet kompromittiert werden können - und dass ihre Kunden zwischen den beiden Szenarios nicht immer unterscheiden können.»
Dabei gibt es auch für das Problem Credential Stuffing eine Lösung. Security-Dienstleister, die sich auf die Überprüfung von Credentials spezialisiert haben, können dabei helfen, Kundendaten automatisiert auf ihren Sicherheitsstatus zu überprüfen. Dafür greifen sie auf Datenbanken wie Spycloud.com zurück, die auflisten, welche Mail-Adressen von Datenlecks betroffen waren und dadurch unter Umständen kompromittiert sein könnten. «Kunden, deren Zugangsdaten dann beispielsweise als unsicher eingestuft werden, können automatisch darüber informiert und um einen Passwortwechsel gebeten werden», so Stadler.
Solche Tools sind nur einige von vielen Lösungen, die die boomende Security-Branche ihren verunsicherten Kunden anbietet. Es gibt jedoch erst wenige Dienstleister, die dem Trend, nach dem Angreifer sich zunehmend auf kleine und mittelständische Unternehmen konzentrieren, Rechnung tragen.

Unübersichtlicher Markt

Tatsächlich tun sich vor allem KMUs mit begrenztem Wissen in Sachen IT-Security oft schwer mit der Suche nach der richtigen Sicherheitslösung. «Lösungen für fortgeschrittene IT-Sicherheit richten sich bislang vor allem an Konzerne», kritisierte kürzlich der White-Hat-Hacker Linus Neumann, der auch als Sprecher für den Chaos Computer Club (CCC) fungiert. «Für kleine und mittelständische Unternehmen gibt es allerlei windige Anbieter und Schlangenöl-Produkte, die letztlich unwirksam sind.» Vor allem im Freeware- und Open-Source-Bereich präsentiert sich der Markt an Tools unübersichtlich. «Open-Source-Tools sollte man kennen, um auch die Möglichkeiten richtig zu nutzen», meint Ralf Stadler, der für Tech Data auch als Tools-Scout nach neuen und vielversprechenden Security-Anwendungen sucht. «Dabei kann man schnell auf verdeckte Kostenfallen hereinfallen oder eben keine fundierte Information erhalten. Dies nutzt nur Personen, die auch eine Ahnung von Nutzen und Verwendung haben. Mir sind bisher nur wenige Tools positiv aufgefallen.» Trotzdem ist er überzeugt: «Kein Unternehmen muss sich für eine Security-Strategie überschulden.»

Besserer Informationsstand

Dazu kommt: Mit der Präsenz der Gefahr durch Cyberkriminalität in der öffentlichen Wahrnehmung steigt auch das Informationsangebot von offizieller Seite. So bietet die Allianz für Cyber-Sicherheit, 2012 vom Bundesamt für Sicherheit in der Informationstechnik ins Leben gerufen, umfassende Grundlageninformationen zur Gefahrenlage sowie zur Entwicklung wirksamer Strategien für Cybersicherheit an. Dazu zählen auch Notfallpläne für den Angriffsfall. 2700 Unternehmen und Institutionen gehören der Allianz derzeit an. Einige Industrie- und Handelskammern haben das Thema mittlerweile ebenfalls für sich entdeckt und organisieren Informationsveranstaltungen oder, in Zusammenarbeit mit Partnern aus der Security-Industrie, berufsbegleitende Ausbildungen und Trainings für IT-Security-Manager. Auch in Sachen Nachwuchsausbildung tut sich etwas: Inzwischen bieten über 20 deutsche Universitäten und Fachhochschulen Studiengänge für IT-Security an.
Die Frage bleibt, ob diese Bemühungen ausreichen. Das Problem Cybersecurity explodiert. Dadurch wird der Ruf nach Security-Experten immer dringlicher - und der Fachkräftemangel, der vor allem kleine und mittelstän­dische Unternehmen im Wachstum einschränkt, könnte bedrohliche Züge annehmen.

Kasten: Checkliste für den Ernstfall

Checkliste für den Angriffsfall
Stehen KMUs unter dem Beschuss von Cyberangreifern, gilt das Motto: Ruhe bewahren und methodisch vorgehen. Die folgende Checkliste hilft bei der Abarbeitung aller notwendigen Schritte:
  • Wurden erste Bewertungen des Vorfalls durchgeführt, um festzustellen, ob es sich um einen Cyberangriff oder lediglich um einen technischen Defekt handelt?
  • Haben Sie kontinuierlich Ihre Maßnahmen abgestimmt, dokumentiert und an alle relevanten Personen und Verantwortlichen kommuniziert?
  • Wurden Systemprotokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?
  • Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt? Wurden betroffene Systeme vom Netzwerk getrennt? Wurden Internetverbindungen zu den betroffenen Systemen getrennt? Wurden alle unautorisierten Zugriffe unterbunden?
  • Wurden Backups gestoppt und vor möglichen weiteren Einwirkungen geschützt? Wurden Maßnahmen ergriffen, um den gesamten Umfang der Ausbreitung festzustellen? Wurden alle angegriffenen Systeme identifiziert?
  • Wurden die bei dem Cyberangriff ausgenutzten Schwachstellen in Systemen oder (Geschäfts-)Prozessen durch relevante Maßnahmen adressiert und behoben?
  • Wurden - nach Abstimmung - die Polizei oder relevante Behörden (etwa Datenschutz, Meldepflichten) benachrichtigt?
  • Wurden die Zugangsberechtigungen und Authentisierungsmethoden für betroffene (geschäftliche und gegebenenfalls private) Accounts überprüft (zum Beispiel neue Passwörter, Zwei-Faktor-Authentifizierung)?
  • Wird das Netzwerk nach dem Vorfall weiter überwacht, um mögliche erneute Anomalien festzustellen?
  • Wurden die betroffenen Daten und Systeme wiederhergestellt oder neu aufgebaut?
Quelle: Allianz für Cyber-Sicherheit

Interview mit Ralf Stadler, Tech Data

Ralf Stadler: Director Security Solution Practice & Mobulity bei Tech Data
Quelle: Tech Data
Ralf Stadler berät Unternehmen bei der Entwicklung einer an Bedrohungslage und Umsatz angepassten IT-Security-Strategie.
Computerworld: Mittelstän­dische Unternehmen geraten aktuellen Studien zufolge immer stärker ins Fadenkreuz von Cyberkriminellen. Sind sich diese Unternehmen der Gefahr bewusst?
Ralf Stadler: Mittelständische Unternehmen, die noch nicht von einem Angriff betroffen waren, haben oft kein Problembewusstsein in Sachen Cybersecurity. Sie halten ihr Unter­nehmen für zu klein, als dass es ins Visier von Hackern geraten könnte, und nehmen das aus ihrer Sicht geringe Risiko lieber in Kauf, anstatt Geld in den nötigen Schutz zu inves­tieren. Dabei sind gerade kleinere Unternehmen von einem längeren Ausfall oft besonders dramatisch betroffen.
Computerworld: Vor allem solche kleineren Unternehmen schrecken allerdings häufig vor den Kosten für eine Security-Lösung zurück. Was müssen Firmen für ihre Sicherheit aus­geben?
Stadler: Kein Unternehmen muss sich für eine Security-Strategie überschulden. Es gibt für jedes Unternehmen in jeder Grösse ein gesundes Mittelmass, bei dem die Security-Kosten zum Umsatz passen. Unsere Kundenausgaben rangieren beispielsweise zwischen drei- und siebenstelligen Monatsbeträgen.
Computerworld: Security-Spezialisten betonen seit Jahren, der menschliche Benutzer sei das grösste Sicherheitsrisiko. Sind Mitarbeiter mittlerweile nicht geübter darin, nicht auf dubiose Anhänge zu klicken?
Stadler: Der Mensch ist und bleibt die grösste Schwachstelle für die Cybersecurity eines Unternehmens; und nur wenn Mitarbeiter regelmässig aufgeklärt werden und im Arbeits­alltag auch genügend Freiräume haben, um den Sicherheitsvorkehrungen zu folgen, kann man Schadensfälle verhindern. Das Thema Mitarbeiter-Awareness darf im Rahmen einer umfassenden Security-Strategie auf keinen Fall fehlen.



Das könnte Sie auch interessieren