Überblick
Empfehlungen
Nächste Schritte
Soziale Medien
Cybercrime: die am meisten unterschätzte Gefahr der Zukunft
06. Juli 2023
Warum Unternehmen keine Zeit verlieren sollten sich dagegen zu schützen
Im digitalen Zeitalter hat sich Cybercrime zu einem der lukrativsten und am stärksten wachsenden Bereiche überhaupt entwickelt. Attacken auf Unternehmen und Staaten durch Cyberkriminelle steigen weltweit von Jahr zu Jahr massiv. Ein weiterer Schub kam mit dem Gang vieler Arbeitnehmenden ins Home Office: Cyberkriminelle hielten fast unbehelligt Einzug in die heimischen Wohnzimmer – und somit auch in Firmen auf der ganzen Welt. Warum Unternehmen keine Zeit verlieren sollten, in diesem Bereich massiv aufzurüsten und welche Cyber-Gefahren in Zukunft auf uns lauern werden, analysieren die beiden Cyber Security Experten, Thomas Stubbings, CEO der CTS Cyber Trust Services, und Richard Knowlton, ehemaliger Sicherheitsdirektor der Vodafone Group und Director of Security Studies der Oxford Cyber Academy.
Im Vergleich zum Jahr 2018 haben die österreichischen Unternehmen im Jahr 2019 laut dem Cyber Security Report des Bundeskanzleramts deutlich in Sachen Sicherheit aufgerüstet: die Hälfte der befragten Unternehmen hat das Budget aufgestockt und bei Monitoring, clientbasierten und Awareness-Maßnahmen deutlich nachjustiert. 96 Prozent der Unternehmen haben in IT-Sicherheit investiert, was auch auf gesetzliche Regularien (siehe auch Teil 1 der Cyber Security Spotlight Serie zum Thema „Cyber Security: Von der Best Practice zur Verordnung“) zurückzuführen ist. „Das sind doch eigentlich gute Nachrichten, könnte man meinen“, sagt Thomas Stubbings, CEO der CTS Cyber Trust Services und Global Executive MBA Absolvent. „Doch die Realität sieht leider anders aus.“ Cybercrime-Attacken haben insgesamt von 2018 auf 2019 um 45 Prozent zugenommen – und zwar in allen Bereichen: vor allem im Bereich von Spionage durch APTs (Advanced Persistant Threats), Ransomware und Phishing-Mails gegenüber Klein- und mittleren Unternehmen und auch bei CEO-Frauds – bei denen CEOs und Vorstände von Betrüger*innen zu Geldüberweisungen verleitet werden.
Thomas Stubbings
- CEO CTS Cyber Trust Services und Global Executive MBA Alumnus
Im Jahr 2020 hat Cybercrime durch Corona einen weiteren Aufwind erlebt. Das Bewusstsein für Cybersicherheit steigt zwar, korreliert aber nicht mit dem Lagebild, denn die Zahl der Cybercrime-Fälle steigt stetig – und zwar exponentiell.
Cybercrime als lukratives Geschäftsmodell
Die Cyberkriminalität wird solange es Computer gibt nicht wieder verschwinden – vor allem, weil es ein extrem lukratives Geschäftsmodell im Multimilliardenbereich ist. Gleichzeitig ist Cybercrime für die Täter*innen risikoarm, die Ausforschung und Aufklärungsarbeit ist sehr schwierig, denn die Kriminellen sind oft in Ländern tätig, die einen Zugriff auf sie fast unmöglich machen. Zudem gibt es miteinander verflochtene Cybercrime-Netzwerke, eine arbeitsteilige Schattenwirtschaft mit Service-Providern, die Dienstleistungen für andere Cyberkriminelle („Cybercrime as a service“) anbieten. Im Darknet finden sich laut Stubbings Amazon-ähnliche Shops mit illegalen Trojaner-Baukästen, Schadsoftware, manipulierten Hardwarekabeln und gestohlene, teils verifizierte Kreditkartendaten – bezahlt wird in Bitcoin.
Cyberkriminelle sind innovativ und verstehen ihr „Handwerk“
Doch auch die Cyberkriminalität ist wie so vieles im Wandel begriffen. „Laut einer CERT EU Studie ist bei 90 Prozent aller erfolgreichen Angriffe mittlerweile Social Engineering im Spiel“, so Stubbings. Was bedeutet: Menschen wurden von den Kriminellen in die Irre geführt – um etwa einen Link in der Mail anzuklicken, oder sie wurden von Betrüger*innen via Anruf zu Geldüberweisungen überredet.
Auch Richard Knowlton, internationaler Cyber Security-Experte, ehemaliger Sicherheitsdirektor der Vodafone Group und Gründer der Richard Knowlton Associates, ortet zahlreiche Weiterentwicklungen der Cyberkriminalität in den vergangenen zehn Jahren: „Die Intensität und Frequenz der Cyberattacken hat massiv zugenommen. So wie andere Expert*innen setzen auch Cyberkriminelle zunehmend auf Künstliche Intelligenz – und nutzten die Pandemie aus, um von Mitarbeiter*innen im Home Office über Ransomware Geld zu erpressen.“ Generell hat es laut Knowlton eine Verschiebung der Kriminalität von Internetbetrug hin zu Erpressung mit Hilfe von Ransomware gegeben: Sie lähmt alle Systeme, Daten werden erst gegen Geld wieder freigegeben. Dies passiert im kleinen wie im ganz großen Stil: „Auf Konzernebene kostet das den Unternehmen Millionen. Auch die Fatalität der Ransomware nimmt zu“, sagt Richard Knowlton mit Verweis auf eine Cyberattacke im Herbst 2020, die alle IT-Systeme und lebensrettenden Geräte an der Uniklinik Düsseldorf lahmlegte, wodurch eine Frau starb.
Trend: Breite Angriffe bei den Kleinen, gezielte bei den Großen
Ein starker neuer Trend ist laut Stubbings, die Supply Chain von Unternehmen über Software-Updates anzugreifen. „So kann Schadsoftware über Softwarehersteller in Sekundenschnelle auf zigtausend Kund*innen und wiederum deren Kund*innen verbreitet werden“, warnt Thomas Stubbings. So wurde die Schadsoftware NotPetya etwa über eine ukrainische Buchhaltungssoftware exponentiell weltweit verbreitet.
Während es bei kleineren Unternehmen laut den beiden Experten vor allem breiter gestreute Angriffe über Ransomware und Phishing Mails sind, werden die inzwischen technologisch recht gut geschützten Konzerne zielgerichteter attackiert. „Das sind sehr gut gemachte, bis ins kleinste Detail geplante Kampagnen, Emails, die kaum mehr als Phishing Mail erkennbar sind. Sie kommen etwa als Antwortmail eines Kolleg*innen mit persönlichen Worten daher“, so Stubbings. Hier recherchieren die Cyberkriminellen oft monatelang in der „Reconnaissance-Phase“, um herauszufinden, wie das Unternehmen aufgebaut ist und wer die einflussreichste Schnittstelle ist. „Cyberkriminelle versuchen es mit CEO Frauds, oder sie schaffen es, durch technische Maßnahmen so weit ins System vorzudringen, bis sie an einen einflussreichen Account gelangen – und dort beispielsweise Geldflüsse manipulieren“, so Stubbings. Ein Beispiel: „In einer russischen Bank schafften es Cyberkriminellen nach einer monatelangen verdeckten Einarbeitungsphase innerhalb von 15 Minuten das Handelssystem so zu hacken, dass sie Aktienkurse manipulieren und massive Kursgewinne lukrieren konnten.“
Thomas Stubbings mahnt daher, nicht nur in Konzernen, sondern auch in Unternehmen ganz generell sensible, privilegierte Accounts ausfindig zu machen und sie mit einer Zweifaktorauthentifizierung zu schützen: „Die Realität ist: es gibt in Unternehmen häufig viele Systemaccounts, an die sich niemand erinnern kann, über die die Cyberkriminellen einsteigen können.“ Stubbings rät auch, über bestimmte Sandbox-Verfahren, interne Mails prüfen zu lassen, bevor sie weitergeleitet werden.
Die Gefahren der Zukunft
Laut Richard Knowlton sollten sich die CEOs der Konzerne und auch die Politik stärker mit den Cybergefahren der nahen Zukunft auseinandersetzen: „Der Einfluss der Quantentechnologie auf Cyberattacken wird enorm sein“, prognostiziert Knowlton. Wenn ein Quantencomputer künftig etwa tausend Mal schneller rechnet als ein gegenwärtiges Modell, könnten auch derzeit noch als ausgeklügelt geltende Verschlüsselungstechnologien binnen kürzester Zeit geknackt werden.
Richard Knowlton
- Director of Security Studies der Oxford Cyber Academy
Das wird einen massiven Einfluss auf Krypto-Verschlüsselungen haben, über die ja Geheimdienste kommunizieren, oder auch Geldtransfers von Konzernen abgewickelt werden. Quantencomputer werden in zehn Jahren produziert werden können, wir müssen uns heute schon auf sie vorbereiten.
Unternehmen seien sich womöglich nicht bewusst, was auf sie zukommt: „Auf Managementebene wird das eher als „geeky stuff“ abgetan.“ Die Gefahrenquellen werden künftig steigen: „Wenn durch die zunehmende Digitalisierung auch Industrie- oder gar Kriegsroboter und selbstfahrende Autos gehackt werden, ist das sehr beunruhigend“, so Stubbings abschließend.
Cybersicherheit auf einen Blick: So geht’s
„Cybersicherheit ist ein Zwiebelschalenmodell: man darf sich nie nur auf einen Layer verlassen, sondern muss viele Schichten („Defence in depth – Konzept“) aufsetzen – vor allem in großen, komplexen Unternehmen“, sagt Thomas Stubbings.
Hier die wichtigsten Schritte in aller Kürze:
- Cyber-Expert*innen ins Unternehmen holen
- Je nach Unternehmensgröße eine interne Abteilung aufbauen oder externe Berater*innen holen. Wichtig: Cyber Security muss als ein strategisches Thema der Unternehmensführung implementiert werden.
- Basis-Sicherheit herstellen
- Firewalls, Monitoringsysteme und je nach Bedarf auch tiefergehende Cyber-Technologien für Mailsysteme und sensible Bereiche aufsetzen. Regelmäßige Updates und Schutz vor Schadsoftware gewährleisten. Sicheres Passwort- und Berechtigungsmanagement und Zweifaktorauthentifizierung hinterlegen.
- Mitarbeiter*innen regelmäßig schulen und sensibilisieren
- zum bewussten und sicheren Umgang mit Mails, Datenabfragen, Passwörtern. „Gerade der Umgang mit Passwörtern lässt oft zu wünschen übrig, wenn sie etwa innerhalb der Abteilung weitergegeben, auf mehreren Systemen dieselben verwendet werden, oder so einfach gestaltet sind, dass man sie sich merkt“, so Stubbings.
- Eine Cyber Security-Kultur etablieren
- „Eine Onlineschulung pro Jahr für alle Mitarbeiter*innen reicht nicht“, sagt Richard Knowlton, „Cyber Security muss Teil der täglichen Kultur und des Joballtags sein und regelmäßig in Meetings thematisiert werden – auch in kleineren Unternehmen.“
- Notfallplanung und Resilienzkonzept
- Analysieren, wo die größten Risiken und Schadensszenarien liegen und diese antizipieren: Schaffen präventiver und reaktiver Maßnahmen für den Fall der Fälle.
Update for Leaders
Schließen Sie sich 15.000+ Abonnent*innen an und erhalten Sie regelmäßige Updates zu Führungs- und Managementthemen. Lernen Sie jedes Mal etwas Neues.