Image: Die Schattenseite der DigitalisierungFERCHAUFERCHAU
TechnikCybersecurity

Die Schat­ten­seite der Digi­ta­li­sie­rung

Lesezeit ca.: 8 Minuten
Alexander Freimark

Alexander Jake Freimark

freier Journalist

Bislang wurde IT-Sicherheit privat und beruflich eher auf die leichte Schulter genommen. In einer voll vernetzten und digitali­sierten Gesellschaft können die Folgen dieser Sorglosig­keit jedoch gravierend sein. Im Visier der professio­nellen Schatten­wirt­schaft steht vor allem der Mittelstand mit großem Know-how und geringen Abwehrkräften.

20. Mai 2015

Mit einer Cyber-Attacke legten Anfang Januar prorussi­sche Hacker mehrere Internet­seiten der Bundesre­gie­rung stundenlang lahm. Wie vergangenen Freitag bekannt worden ist, kam es erneut zu schweren Hacker-Angriffen. Dieses Mal betroffen: das interne Datennetz des Bundestages. Die Aufklärung dauert noch an. Auch die BND-Affäre zieht ihre Kreise und sorgte für vielerlei Spekulationen.

Kaum eine Woche vergeht, in der nicht über einen spektaku­lären Cyber-Angriff berichtet wird. Die Nachrichten zeigen, dass das Thema „IT-Sicherheit“ mit zunehmender Vernetzung immer wichtiger wird. Zwar tauchen deutsche Unternehmen fast nie als Betroffene in den Medien auf, das Hamburger Start-up Kreditech bildet eine Ausnahme. Doch die Dunkelziffer ist gewaltig: In den letzten beiden Jahren waren rund 40 Prozent der Unternehmen in Deutschland von Computer­kri­mi­na­lität betroffen, so die Studie "e-Crime 2015" der Wirtschafts­prüfer von KPMG.

Dabei geht die größte Bedrohung für Unternehmen nicht von Geheimdiensten oder politischen und religiösen Aktivisten aus, sondern von einer professio­nellen und organisierten Schatten­wirt­schaft, die zunehmend die Produkti­ons­an­lagen der Wirtschaft ins Visier nimmt. BSI-Vizechef Andreas Könen warnte vor kurzem erst, dass beispiels­weise Wasser- und Energiever­sorger in ihren Erzeugungs- und Versorgungs­sys­temen immer stärker auf computer­ge­steu­erte Technik setzten und damit Ziele für Angriffe aus dem Internet sind.

Cybercrime ist Big Business

Rund 30 Jahre nach den ersten praktischen Versuchen mit Computer­viren haben sich die technischen Spielereien aus den Pioniertagen zu einer professio­nellen „Industrie“ entwickelt. Angreifer gehen gezielt vor, haben sich speziali­siert und sind in erster Linie daran interessiert, keine Spuren zu hinterlassen. „Das Geschäft ist zukunfts­ori­en­tiert, extrem profitabel, benötigt keine teure Infrastruktur und bietet relativen Schutz vor Strafver­fol­gung“, sagt Gordon Rohrmair, Experte für IT-Security und Professor an der Hochschule Augsburg. Seit Jahren schon kursieren Schätzungen, wonach mit Cybercrime mehr Geld zu verdienen sei als mit Drogen – selbst wenn alle publizierten Zahlen unscharf sind, ist doch die Tendenz klar: Cybercrime hat sich zu einem Big Business entwickelt.

Zwar werden in der Regel nur die spektaku­lären Angriffe auf große Unternehmen über die Medien bekannt, jedoch steht eine andere Zielgruppe im Mittelpunkt der Schatten­wirt­schaft: der Mittelstand. Einer aktuellen Studie des IT-Verbands BITKOM vom April 2015 zufolge wurde gut die Hälfte aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer digitaler Wirtschafts­spio­nage, Sabotage oder von Datendieb­stahl. Nach Berechnungen des BITKOM beläuft sich der entstandene Schaden für die deutsche Wirtschaft auf rund 51 Milliarden Euro pro Jahr. Dabei seien mittelstän­di­sche Unternehmen mit 61 Prozent am stärksten von Spionage- oder Sabotage­akten betroffen, so der Verband.

Mittelstand im Fadenkreuz der Hacker

„Vor allem innovative Mittelständler mit ihrem speziali­sierten Know-how in bestimmten Märkten und Technolo­gien wecken bei Hackern und Geheimdiensten Begehrlich­kei­ten“, sagte Bitkom-Präsident Dieter Kempf bereits im Februar. Allerdings ist hierzulande das Bewusstsein für die Bedrohung und die Konsequenzen nicht sonderlich stark ausgeprägt – unisono klagen Experten seit Jahren darüber, dass Sicherheit als technische Disziplin gesehen wird, ohne dass Prozesse und Personal einbezogen werden. Oder das Thema wird immer noch verdrängt. Dabei kann es jeden treffen: Selbst wenn das Unternehmen vor der Pleite steht, lassen sich die gehackten Konten immer noch für die Geldwäsche missbrau­chen. „Im Mittelstand rechnen sich Angreifer ein optimales Verhältnis aus Risiko und Ertrag aus“, berichtet Gordon Rohrmair.

Hinzu kommen spektaku­läre Angriffe auf Konzerne, die jüngst bekannt wurden: die Stilllegung der Konsolen­spiel­platt­formen zur Weihnachts­zeit, ein Kreditkarten-Hack über 45 Millionen Dollar sowie ein Einbruch bei Sony, der sich über Monate erstreckte und den Konzern Millionen kostete. Zudem wurden russische Banken durch das Programm „Anunak“ um 25 Millionen Dollar geprellt, und das „Carbanak“-Team soll über eine Dauer von zwei Jahren bis zu eine Milliarde Dollar in der Finanzin­dus­trie eingespielt haben.

Virus entwickeln allein ist zu wenig

Durch die zunehmende Vernetzung und Komplexität der Systeme reicht es heute nicht mehr aus, einen Virus zu entwickeln und ihn auf die Zielsysteme loszulassen, erläutert Gunnar Porada, der vor Jahren selbst noch als Hacker gearbeitet hat und heute Unternehmen in Sicherheits­fragen berät: „Jeder Experte arbeitet in seinem Spezialge­biet, technische Schwachstellen werden noch intensiver ausgenutzt als früher, und die Angreifer sind analytisch stark sowie sehr schnell.“ Attacken werden von langer Hand geplant und sind auf den jeweiligen Angriffs­punkt zugeschnitten: Menschliche Verhaltens­weisen werden ausspioniert, spezielle Spear-Fishing-Mails öffnen den Einstieg ins Unternehmen, Trojaner im Attachment spionieren die Infrastruktur aus und Zero-Day-Exploits lokalisieren das technische Einfallstor.

Trojaner mit nutzerfreund­li­chem Interface

Diese zunehmend arbeitstei­lige Schatten­wirt­schaft spiegelt die Struktur der „normalen“ IT-Industrie. So geben Entwickler von Trojanern inzwischen Schulungen für ihre Programme und achten auf benutzer­freund­liche Bedienober­flä­chen, damit jeder die Programme nutzen kann. Suchmaschinen wie „Shodan“ speziali­sieren sich auf ungesicherte Steuerge­räte, Hacker-Toolkits wie „Blackhole“ werden monatlich vermietet, und aktuelle Lücken in den Abwehrreihen lassen sich auf Online-Börsen im Deep Web zum Tageskurs kaufen. „Hinter diesen technischen Services hat sich eine ganze Maschinerie gebildet, die man für illegale Aktivitäten braucht“, berichtet Ex-Hacker Porada aus der Praxis. Bankkonten müssen eröffnet, Zahlungs­flüsse gesteuert, Strohmänner verpflichtet, Stellen geschmiert, Gelder gewaschen und Spuren beseitigt werden. „Die Komplexität der Angriffe erlaubt es einfach nicht mehr, dass ein oder zwei Hacker auf eigene Faust unterwegs sind.“

Schätzungen zufolge werden rund 80 Prozent der virtuellen Verbrechen nicht von einzelnen Hackern, sondern von Gruppen begangen. Auch das BKA meldete im „Bundesla­ge­bild 2013“ eine „gestiegene Komplexität der eingesetzten Schadsoft­ware“ und die zunehmende Organisa­tion der Angreifer: „Sich ständig ändernde Modi Operandi zeigen, wie flexibel, schnell und professio­nell die Täterseite auf neue technische Entwicklungen reagiert und ihr Verhalten entsprechend anpasst.“ Den Angreifern wird zugleich ein „hohes Innovati­ons­po­ten­tial“ beschieden.

Industrie 4.0 forciert Bedrohungs­lage

Mit dem Internet der Dinge, der Industrie 4.0 und der Digitali­sie­rung wird die Bedrohung für Menschen und Organisa­tionen exponentiell anwachsen. Dem Marktfor­schungs­un­ter­nehmen Gartner zufolge soll es 2020 allein in so genannten „Smart Cities“ – also im täglichen Leben urbaner Menschen – knapp zehn Milliarden vernetzte Gegenstände geben. Das können Bluetooth-gesteuerte Beinprothesen sein, Herzschritt­ma­cher mit Funksteue­rung oder WLANs in Hotels. Hinzu kommen kritische Infrastruk­turen wie Strom- und Wassernetze, aber auch die Produkti­ons­ein­rich­tungen und Lager der Industrie. „Durch die Digitali­sie­rung steigen die Abhängig­keit der Wirtschaft von den Warenströmen sowie der potentielle Schaden“, warnt der Augsburger Professor Rohrmair. „Die Motivation der Schatten­wirt­schaft ist groß, da noch aktiver zu werden.“

Untätigkeit könnte man den Lieferanten der Industrie aber nicht vorwerfen, so der Wissenschaftler. „Firmen wie Siemens und ABB haben in den vergangenen Jahren viel Energie und Geld investiert, um ihre Produkte sicherer zu machen.“ Allerdings seien Laufzeiten von 25 Jahren bei industri­ellen Ausrüstungen keine Seltenheit, und viele von den heute aktiven Komponenten kämen aus einer Zeit, als IT-Sicherheit in dem Bereich noch nicht relevant gewesen war. Laut Rohrmair sind offene Steuerge­räte zumeist ein Ergebnis von Unachtsam­keit und Unkenntnis: „Isoliert ist die Software vielleicht sicher, aber im Wechselspiel eines neuen Netzwerks tun sich umgehend Lücken auf – im Industrie­be­reich ist das Problem noch viel größer.“ So kann eine kleine Fertigungs­straße über rund 800 IP-fähige Komponenten von 30 unterschied­li­chen Herstellern verfügen, und zehn Lieferanten müssen sich zur Wartung während des Betriebs einwählen können. Dabei reicht es, wenn man vergisst, eine digitale Tür sicher zu verschließen.

Digitale Türen schließen

Die Brisanz des Themas ist inzwischen in den verantwort­li­chen Positionen der Politik erkannt worden. „Vertrauen ist die neue und wichtige wirtschaft­liche Währung im Internet", erklärte Bundesin­nen­mi­nister Thomas de Maizière Mitte vergangenen Jahres. Das Bundesfor­schungs­mi­nis­te­rium will bis zum Jahr 2020 insgesamt 180 Millionen Euro in Forschungs­pro­jekte zur IT-Sicherheit investieren. Ein Ziel ist es, Unternehmen dabei zu helfen, Schäden nach IT-Angriffen zu untersuchen und die Täter zu identifi­zieren. Falls die Angriffe überhaupt als solche erkannt werden, warnt Ex-Hacker Porada: „Wenn der Angriff geschickt gemacht ist und nicht registriert wird, wiegen sich die Betroffenen in einer trügerischen Sicherheit und tendieren weiter dazu, die Bedrohung zu unterschätzen.“ Getreu dem frommen Wunsch der IT-Branche: Heiliger St. Florian, verschon‘ mein Netz, greif‘ andere an.

Zehn Regeln zur Cybersicher­heit

Dr. Gordon Rohrmair, Experte für IT-Security und Professor an der Hochschule Augsburg, hat mit seinem Team zehn Best-Practices zusammen­ge­tragen, die von Institutionen wie dem Bundesamt für Sicherheit in der Informati­ons­technik oder dem „Network Information Security & Technology News“ publiziert wurden

  1. Risikoana­lysen und Penetrati­ons­tests identifi­zieren Bedrohungen und decken Schwachstellen auf.
  2. Industrie­kom­po­nenten sollen möglichst nicht öffentlich über das Internet zugänglich sein. Spezielle Suchmaschinen wie „Shodan“ finden sie und bieten Angreifern einen leichten Zugang.
  3. Netzwerke sollen segmentiert und abgesichert werden, um bei einem Vorfall den Schaden so gering wie möglich zu halten und Angreifer am Vordringen in das System zu hindern.
  4. Der Fernzugriff soll entsprechend abgesichert sein, um einen Missbrauch zu verhindern.
  5. Vorsichtiger Umgang mit Wechselda­ten­trä­gern wie USB-Sticks schützt vor ungewollter Infektion mit Viren und anderer Malware.
  6. Komponenten sollen gehärtet werden, um Missbrauch oder versehent­li­cher Fehlnutzung vorzubeugen. Bei einem HMI-Betriebs­system müssten etwa alle Benutzer­konten gelöscht und alle Dienste deaktiviert werden, die nicht benötig werden.
  7. Der Zugang zu Anlagenteilen muss beschränkt und abgesichert werden – sowohl physisch als auch für die Benutzer­ver­wal­tung und Authenti­sie­rung.
  8. Mit redundanten kritischen Komponenten kann im Notfall die Funktions­fä­hig­keit der Anlage schnell wiederher­ge­stellt werden.
  9. Security-Richtlinien und Mitarbei­ter­schu­lungen schaffen Verantwort­lich­keiten, Prozesse und ein Sicherheits­be­wusst­sein in der Organisa­tion.
  10. Systeme zur Einbruchser­ken­nung überwachen Anlagen und erkennen ungewollte Kommunika­tion.

Bonus-Tipp

Man kann Sicherheit nicht delegieren. Darauf zu hoffen, dass andere sich darum kümmern, ist ein Trugschluss, der häufig große Schäden nach sich zieht.