Cybercrime: die am meisten unterschätzte Gefahr der Zukunft

05. April 2021

Warum Unternehmen keine Zeit verlieren sollten sich dagegen zu schützen

Im digitalen Zeitalter hat sich Cybercrime zu einem der lukrativsten und am stärksten wachsenden Bereiche überhaupt entwickelt. Attacken auf Unternehmen und Staaten durch Cyberkriminelle steigen weltweit von Jahr zu Jahr massiv. Die Corona-Pandemie hat dem einen weiteren Schub verpasst: Mit dem Gang ins Home-Office hielten Cyberkriminelle fast unbehelligt Einzug in die heimischen Wohnzimmer – und somit auch in Firmen auf der ganzen Welt. Warum Unternehmen keine Zeit verlieren sollten, in diesem Bereich massiv aufzurüsten und welche Cyber-Gefahren in Zukunft auf uns lauern werden, analysieren die beiden Cyber Security Experten, Thomas Stubbings, CEO der CTS Cyber Trust Services, und Richard Knowlton, ehemaliger Sicherheitsdirektor der Vodafone Group und Director of Security Studies der Oxford Cyber Academy.

Symbolbild Cybercrime
Cyberkriminalität steigt rasant an und ist längst kein Problem mehr nur für große Unternehmen.

Im Vergleich zum Jahr 2018 haben die österreichischen Unternehmen im Jahr 2019 laut dem Cyber Security Report des Bundeskanzleramts deutlich in Sachen Sicherheit aufgerüstet: die Hälfte der befragten Unternehmen hat das Budget aufgestockt und bei Monitoring, clientbasierten und Awareness-Maßnahmen deutlich nachjustiert. 96 Prozent der Unternehmen haben in IT-Sicherheit investiert, was auch auf gesetzliche Regularien (siehe auch Teil 1 der Cyber Security Spotlight Serie zum Thema „Cyber Security: Von der Best Practice zur Verordnung“) zurückzuführen ist. „Das sind doch eigentlich gute Nachrichten, könnte man meinen“, sagt Thomas Stubbings, CEO der CTS Cyber Trust Services und Global Executive MBA Absolvent. „Doch die Realität sieht leider anders aus.“ Cybercrime-Attacken haben insgesamt von 2018 auf 2019 um 45 Prozent zugenommen – und zwar in allen Bereichen: vor allem im Bereich von Spionage durch APTs (Advanced Persistant Threats), Ransomware und Phishing-Mails gegenüber Klein- und mittleren Unternehmen und auch bei CEO-Frauds – bei denen CEOs und Vorstände von BetrügerInnen zu Geldüberweisungen verleitet werden.

Portrait Thomas Stubbings

Thomas Stubbings

  • CEO CTS Cyber Trust Services und Global Executive MBA Alumnus

Im Jahr 2020 hat Cybercrime durch Corona einen weiteren Aufwind erlebt. Das Bewusstsein für Cybersicherheit steigt zwar, korreliert aber nicht mit dem Lagebild, denn die Zahl der Cybercrime-Fälle steigt stetig – und zwar exponentiell.

Cybercrime als lukratives Geschäftsmodell

„Corona wird irgendwann nicht mehr ganz oben auf der Agenda sein, die Cyberkriminalität aber wird nie wieder verschwinden – vor allem, weil es ein extrem lukratives Geschäftsmodell im Multimilliardenbereich ist. Gleichzeitig ist Cybercrime für die TäterInnen risikoarm, die Ausforschung und Aufklärungsarbeit ist sehr schwierig, denn die Kriminellen sind oft in Ländern tätig, die einen Zugriff auf sie fast unmöglich machen.“ Zudem gibt es miteinander verflochtene Cybercrime-Netzwerke, „eine arbeitsteilige Schattenwirtschaft mit Service-Providern, die Dienstleistungen für andere Cyberkriminelle („Cybercrime as a service“) anbieten.“ Im Darknet finden sich laut Stubbings Amazon-ähnliche Shops mit illegalen Trojaner-Baukästen, Schadsoftware, manipulierten Hardwarekabeln und gestohlene, teils verifizierte Kreditkartendaten – bezahlt wird in Bitcoin.

Cyberkriminelle sind innovativ und verstehen ihr „Handwerk“

Doch auch die Cyberkriminalität ist wie so vieles im Wandel begriffen. „Laut einer CERT EU Studie ist bei 90 Prozent aller erfolgreichen Angriffe mittlerweile Social Engineering im Spiel“, so Stubbings. Was bedeutet: Menschen wurden von den Kriminellen in die Irre geführt – um etwa einen Link in der Mail anzuklicken, oder sie wurden von Betrügern via Anruf zu Geldüberweisungen überredet.

Mail App Icon Symbol für Phising in Cybercrime
Phishing Mails sind eigentlich schon Alltag im Cybercrime. Foto © CC0 Licence

Auch Richard Knowlton, internationaler Cyber Security-Experte, ehemaliger Sicherheitsdirektor der Vodafone Group und Gründer der Richard Knowlton Associates, ortet zahlreiche Weiterentwicklungen der Cyberkriminalität in den vergangenen zehn Jahren: „Die Intensität und Frequenz der Cyberattacken hat massiv zugenommen. So wie andere Experten setzen auch Cyberkriminelle zunehmend auf Künstliche Intelligenz – und nutzen die Pandemie aus, um von MitarbeiterInnen im Home Office über Ransomware Geld zu erpressen.“ Generell hat es laut Knowlton eine Verschiebung der Kriminalität von Internetbetrug hin zu Erpressung mit Hilfe von Ransomware gegeben: Sie lähmt alle Systeme, Daten werden erst gegen Geld wieder freigegeben. Dies passiert im kleinen wie im ganz großen Stil: „Auf Konzernebene kostet das den Unternehmen Millionen. Auch die Fatalität der Ransomware nimmt zu“, sagt Richard Knowlton mit Verweis auf eine Cyberattacke im Herbst 2020, die alle IT-Systeme und lebensrettenden Geräte an der Uniklinik Düsseldorf lahmlegte, wodurch eine Frau starb.

Trend: Breite Angriffe bei den Kleinen, gezielte bei den Großen

Ein starker neuer Trend ist laut Stubbings, die Supply Chain von Unternehmen über Software-Updates anzugreifen. „So kann Schadsoftware über Softwarehersteller in Sekundenschnelle auf zigtausend KundInnen und wiederum deren KundInnen verbreitet werden“, warnt Thomas Stubbings. So wurde die Schadsoftware NotPetya etwa über eine ukrainische Buchhaltungssoftware exponentiell weltweit verbreitet.

 Fake Software Update als Cybercrime
Schadsoftware über falsche Updates ins System schmuggeln - ein neuer Trend. Foto © CC0 Licence

Während es bei kleineren Unternehmen laut den beiden Experten vor allem breiter gestreute Angriffe über Ransomware und Phishing Mails sind, werden die inzwischen technologisch recht gut geschützten Konzerne zielgerichteter attackiert. „Das sind sehr gut gemachte, bis ins kleinste Detail geplante Kampagnen, Emails, die kaum mehr als Phishing Mail erkennbar sind. Sie kommen etwa als Antwortmail eines KollegInnen mit persönlichen Worten daher“, so Stubbings. Hier recherchieren die Cyberkriminellen oft monatelang in der „Reconnaissance-Phase“, um herauszufinden, wie das Unternehmen aufgebaut ist und wer die einflussreichste Schnittstelle ist. „Cyberkriminelle versuchen es mit CEO Frauds, oder sie schaffen es, durch technische Maßnahmen so weit ins System vorzudringen, bis sie an einen einflussreichen Account gelangen – und dort beispielsweise Geldflüsse manipulieren“, so Stubbings.  Ein Beispiel: „In einer russischen Bank schafften es Cyberkriminellen nach einer monatelangen verdeckten Einarbeitungsphase innerhalb von 15 Minuten das Handelssystem so zu hacken, dass sie Aktienkurse manipulieren und massive Kursgewinne lukrieren konnten.“

Thomas Stubbings mahnt daher, nicht nur in Konzernen, sondern auch in Unternehmen ganz generell sensible, privilegierte Accounts ausfindig zu machen und sie mit einer Zweifaktorauthentifizierung zu schützen: „Die Realität ist: es gibt in Unternehmen häufig viele Systemaccounts, an die sich niemand erinnern kann, über die die Cyberkriminellen einsteigen können.“ Stubbings rät auch, über bestimmte Sandbox-Verfahren, interne Mails prüfen zu lassen, bevor sie weitergeleitet werden.

Die Gefahren der Zukunft

Laut Richard Knowlton sollten sich die CEOs der Konzerne und auch die Politik stärker mit den Cybergefahren der nahen Zukunft auseinandersetzen: „Der Einfluss der Quantentechnologie auf Cyberattacken wird enorm sein“, prognostiziert Knowlton. Wenn ein Quantencomputer künftig etwa tausend Mal schneller rechnet als ein gegenwärtiges Modell, könnten auch derzeit noch als ausgeklügelt geltende Verschlüsselungstechnologien binnen kürzester Zeit geknackt werden.

Portrait Richard Knowlton

Richard Knowlton

  • Director of Security Studies der Oxford Cyber Academy

Das wird einen massiven Einfluss auf Krypto-Verschlüsselungen haben, über die ja Geheimdienste kommunizieren, oder auch Geldtransfers von Konzernen abgewickelt werden. Quantencomputer werden in zehn Jahren produziert werden können, wir müssen uns heute schon auf sie vorbereiten.

Unternehmen seien sich womöglich nicht bewusst, was auf sie zukommt: „Auf Managementebene wird das eher als „geeky stuff“ abgetan.“ Die Gefahrenquellen werden künftig steigen: „Wenn durch die zunehmende Digitalisierung auch Industrie- oder gar Kriegsroboter und selbstfahrende Autos gehackt werden, ist das sehr beunruhigend“, so Stubbings abschließend.

Cybersicherheit auf einen Blick: So geht’s

„Cybersicherheit ist ein Zwiebelschalenmodell: man darf sich nie nur auf einen Layer verlassen, sondern muss viele Schichten („Defence in depth – Konzept“) aufsetzen – vor allem in großen, komplexen Unternehmen“, sagt Thomas Stubbings. 

Hier die wichtigsten Schritte in aller Kürze:

Cyber-ExpertInnen ins Unternehmen holen
Je nach Unternehmensgröße eine interne Abteilung aufbauen oder externe BeraterInnen holen. Wichtig: Cyber Security muss als ein strategisches Thema der Unternehmensführung implementiert werden.
Basis-Sicherheit herstellen
Firewalls, Monitoringsysteme und je nach Bedarf auch tiefergehende Cyber-Technologien für Mailsysteme und sensible Bereiche aufsetzen. Regelmäßige Updates und Schutz vor Schadsoftware gewährleisten. Sicheres Passwort- und Berechtigungsmanagement und Zweifaktorauthentifizierung hinterlegen.
MitarbeiterInnen regelmäßig schulen und sensibilisieren
zum bewussten und sicheren Umgang mit Mails, Datenabfragen, Passwörtern. „Gerade der Umgang mit Passwörtern lässt oft zu wünschen übrig, wenn sie etwa innerhalb der Abteilung weitergegeben, auf mehreren Systemen dieselben verwendet werden, oder so einfach gestaltet sind, dass man sie sich merkt“, so Stubbings.
Eine Cyber Security-Kultur etablieren
„Eine Onlineschulung pro Jahr für alle MitarbeiterInnen reicht nicht“, sagt Richard Knowlton, „Cyber Security muss Teil der täglichen Kultur und des Joballtags sein und regelmäßig in Meetings thematisiert werden – auch in kleineren Unternehmen.“
Notfallplanung und Resilienzkonzept
Analysieren, wo die größten Risiken und Schadensszenarien liegen und diese antizipieren: Schaffen präventiver und reaktiver Maßnahmen für den Fall der Fälle.

Mit unserem Programmangebot rund um Digitalisierung und Transformation können Sie sich ideal für die digitale Gegenwart und Zukunft rüsten. Für mehr Informationen, klicken Sie bitte hier.

Seite teilen