TechnikCybersecurity

Die Schattenseite der Digitalisierung

Lesezeit ca.: 8 Minuten
Alexander Freimark

Alexander Freimark

freier Journalist

Bislang wurde IT-Sicherheit privat und beruflich eher auf die leichte Schulter genommen. In einer voll vernetzten und digitalisierten Gesellschaft können die Folgen dieser Sorglosigkeit jedoch gravierend sein. Im Visier der professionellen Schattenwirtschaft steht vor allem der Mittelstand mit großem Know-how und geringen Abwehrkräften.

20. Mai 2015

Mit einer Cyber-Attacke legten Anfang Januar prorussische Hacker mehrere Internetseiten der Bundesregierung stundenlang lahm. Wie vergangenen Freitag bekannt worden ist, kam es erneut zu schweren Hacker-Angriffen. Dieses Mal betroffen: das interne Datennetz des Bundestages. Die Aufklärung dauert noch an. Auch die BND-Affäre zieht ihre Kreise und sorgte für vielerlei Spekulationen.

Kaum eine Woche vergeht, in der nicht über einen spektakulären Cyber-Angriff berichtet wird. Die Nachrichten zeigen, dass das Thema „IT-Sicherheit“ mit zunehmender Vernetzung immer wichtiger wird. Zwar tauchen deutsche Unternehmen fast nie als Betroffene in den Medien auf, das Hamburger Start-up Kreditech bildet eine Ausnahme. Doch die Dunkelziffer ist gewaltig: In den letzten beiden Jahren waren rund 40 Prozent der Unternehmen in Deutschland von Computerkriminalität betroffen, so die Studie "e-Crime 2015" der Wirtschaftsprüfer von KPMG.

Dabei geht die größte Bedrohung für Unternehmen nicht von Geheimdiensten oder politischen und religiösen Aktivisten aus, sondern von einer professionellen und organisierten Schattenwirtschaft, die zunehmend die Produktionsanlagen der Wirtschaft ins Visier nimmt. BSI-Vizechef Andreas Könen warnte vor kurzem erst, dass beispielsweise Wasser- und Energieversorger in ihren Erzeugungs- und Versorgungssystemen immer stärker auf computergesteuerte Technik setzten und damit Ziele für Angriffe aus dem Internet sind.

Cybercrime ist Big Business

Rund 30 Jahre nach den ersten praktischen Versuchen mit Computerviren haben sich die technischen Spielereien aus den Pioniertagen zu einer professionellen „Industrie“ entwickelt. Angreifer gehen gezielt vor, haben sich spezialisiert und sind in erster Linie daran interessiert, keine Spuren zu hinterlassen. „Das Geschäft ist zukunftsorientiert, extrem profitabel, benötigt keine teure Infrastruktur und bietet relativen Schutz vor Strafverfolgung“, sagt Gordon Rohrmair, Experte für IT-Security und Professor an der Hochschule Augsburg. Seit Jahren schon kursieren Schätzungen, wonach mit Cybercrime mehr Geld zu verdienen sei als mit Drogen – selbst wenn alle publizierten Zahlen unscharf sind, ist doch die Tendenz klar: Cybercrime hat sich zu einem Big Business entwickelt.

Zwar werden in der Regel nur die spektakulären Angriffe auf große Unternehmen über die Medien bekannt, jedoch steht eine andere Zielgruppe im Mittelpunkt der Schattenwirtschaft: der Mittelstand. Einer aktuellen Studie des IT-Verbands BITKOM vom April 2015 zufolge wurde gut die Hälfte aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer digitaler Wirtschaftsspionage, Sabotage oder von Datendiebstahl. Nach Berechnungen des BITKOM beläuft sich der entstandene Schaden für die deutsche Wirtschaft auf rund 51 Milliarden Euro pro Jahr. Dabei seien mittelständische Unternehmen mit 61 Prozent am stärksten von Spionage- oder Sabotageakten betroffen, so der Verband.

Mittelstand im Fadenkreuz der Hacker

„Vor allem innovative Mittelständler mit ihrem spezialisierten Know-how in bestimmten Märkten und Technologien wecken bei Hackern und Geheimdiensten Begehrlichkeiten“, sagte Bitkom-Präsident Dieter Kempf bereits im Februar. Allerdings ist hierzulande das Bewusstsein für die Bedrohung und die Konsequenzen nicht sonderlich stark ausgeprägt – unisono klagen Experten seit Jahren darüber, dass Sicherheit als technische Disziplin gesehen wird, ohne dass Prozesse und Personal einbezogen werden. Oder das Thema wird immer noch verdrängt. Dabei kann es jeden treffen: Selbst wenn das Unternehmen vor der Pleite steht, lassen sich die gehackten Konten immer noch für die Geldwäsche missbrauchen. „Im Mittelstand rechnen sich Angreifer ein optimales Verhältnis aus Risiko und Ertrag aus“, berichtet Gordon Rohrmair.

Hinzu kommen spektakuläre Angriffe auf Konzerne, die jüngst bekannt wurden: die Stilllegung der Konsolenspielplattformen zur Weihnachtszeit, ein Kreditkarten-Hack über 45 Millionen Dollar sowie ein Einbruch bei Sony, der sich über Monate erstreckte und den Konzern Millionen kostete. Zudem wurden russische Banken durch das Programm „Anunak“ um 25 Millionen Dollar geprellt, und das „Carbanak“-Team soll über eine Dauer von zwei Jahren bis zu eine Milliarde Dollar in der Finanzindustrie eingespielt haben.

Virus entwickeln allein ist zu wenig

Durch die zunehmende Vernetzung und Komplexität der Systeme reicht es heute nicht mehr aus, einen Virus zu entwickeln und ihn auf die Zielsysteme loszulassen, erläutert Gunnar Porada, der vor Jahren selbst noch als Hacker gearbeitet hat und heute Unternehmen in Sicherheitsfragen berät: „Jeder Experte arbeitet in seinem Spezialgebiet, technische Schwachstellen werden noch intensiver ausgenutzt als früher, und die Angreifer sind analytisch stark sowie sehr schnell.“ Attacken werden von langer Hand geplant und sind auf den jeweiligen Angriffspunkt zugeschnitten: Menschliche Verhaltensweisen werden ausspioniert, spezielle Spear-Fishing-Mails öffnen den Einstieg ins Unternehmen, Trojaner im Attachment spionieren die Infrastruktur aus und Zero-Day-Exploits lokalisieren das technische Einfallstor.

Trojaner mit nutzerfreundlichem Interface

Diese zunehmend arbeitsteilige Schattenwirtschaft spiegelt die Struktur der „normalen“ IT-Industrie. So geben Entwickler von Trojanern inzwischen Schulungen für ihre Programme und achten auf benutzerfreundliche Bedienoberflächen, damit jeder die Programme nutzen kann. Suchmaschinen wie „Shodan“ spezialisieren sich auf ungesicherte Steuergeräte, Hacker-Toolkits wie „Blackhole“ werden monatlich vermietet, und aktuelle Lücken in den Abwehrreihen lassen sich auf Online-Börsen im Deep Web zum Tageskurs kaufen. „Hinter diesen technischen Services hat sich eine ganze Maschinerie gebildet, die man für illegale Aktivitäten braucht“, berichtet Ex-Hacker Porada aus der Praxis. Bankkonten müssen eröffnet, Zahlungsflüsse gesteuert, Strohmänner verpflichtet, Stellen geschmiert, Gelder gewaschen und Spuren beseitigt werden. „Die Komplexität der Angriffe erlaubt es einfach nicht mehr, dass ein oder zwei Hacker auf eigene Faust unterwegs sind.“

Schätzungen zufolge werden rund 80 Prozent der virtuellen Verbrechen nicht von einzelnen Hackern, sondern von Gruppen begangen. Auch das BKA meldete im „Bundeslagebild 2013“ eine „gestiegene Komplexität der eingesetzten Schadsoftware“ und die zunehmende Organisation der Angreifer: „Sich ständig ändernde Modi Operandi zeigen, wie flexibel, schnell und professionell die Täterseite auf neue technische Entwicklungen reagiert und ihr Verhalten entsprechend anpasst.“ Den Angreifern wird zugleich ein „hohes Innovationspotential“ beschieden.

Industrie 4.0 forciert Bedrohungslage

Mit dem Internet der Dinge, der Industrie 4.0 und der Digitalisierung wird die Bedrohung für Menschen und Organisationen exponentiell anwachsen. Dem Marktforschungsunternehmen Gartner zufolge soll es 2020 allein in so genannten „Smart Cities“ – also im täglichen Leben urbaner Menschen – knapp zehn Milliarden vernetzte Gegenstände geben. Das können Bluetooth-gesteuerte Beinprothesen sein, Herzschrittmacher mit Funksteuerung oder WLANs in Hotels. Hinzu kommen kritische Infrastrukturen wie Strom- und Wassernetze, aber auch die Produktionseinrichtungen und Lager der Industrie. „Durch die Digitalisierung steigen die Abhängigkeit der Wirtschaft von den Warenströmen sowie der potentielle Schaden“, warnt der Augsburger Professor Rohrmair. „Die Motivation der Schattenwirtschaft ist groß, da noch aktiver zu werden.“

Untätigkeit könnte man den Lieferanten der Industrie aber nicht vorwerfen, so der Wissenschaftler. „Firmen wie Siemens und ABB haben in den vergangenen Jahren viel Energie und Geld investiert, um ihre Produkte sicherer zu machen.“ Allerdings seien Laufzeiten von 25 Jahren bei industriellen Ausrüstungen keine Seltenheit, und viele von den heute aktiven Komponenten kämen aus einer Zeit, als IT-Sicherheit in dem Bereich noch nicht relevant gewesen war. Laut Rohrmair sind offene Steuergeräte zumeist ein Ergebnis von Unachtsamkeit und Unkenntnis: „Isoliert ist die Software vielleicht sicher, aber im Wechselspiel eines neuen Netzwerks tun sich umgehend Lücken auf – im Industriebereich ist das Problem noch viel größer.“ So kann eine kleine Fertigungsstraße über rund 800 IP-fähige Komponenten von 30 unterschiedlichen Herstellern verfügen, und zehn Lieferanten müssen sich zur Wartung während des Betriebs einwählen können. Dabei reicht es, wenn man vergisst, eine digitale Tür sicher zu verschließen.

Digitale Türen schließen

Die Brisanz des Themas ist inzwischen in den verantwortlichen Positionen der Politik erkannt worden. „Vertrauen ist die neue und wichtige wirtschaftliche Währung im Internet", erklärte Bundesinnenminister Thomas de Maizière Mitte vergangenen Jahres. Das Bundesforschungsministerium will bis zum Jahr 2020 insgesamt 180 Millionen Euro in Forschungsprojekte zur IT-Sicherheit investieren. Ein Ziel ist es, Unternehmen dabei zu helfen, Schäden nach IT-Angriffen zu untersuchen und die Täter zu identifizieren. Falls die Angriffe überhaupt als solche erkannt werden, warnt Ex-Hacker Porada: „Wenn der Angriff geschickt gemacht ist und nicht registriert wird, wiegen sich die Betroffenen in einer trügerischen Sicherheit und tendieren weiter dazu, die Bedrohung zu unterschätzen.“ Getreu dem frommen Wunsch der IT-Branche: Heiliger St. Florian, verschon‘ mein Netz, greif‘ andere an.

Zehn Regeln zur Cybersicherheit

Dr. Gordon Rohrmair, Experte für IT-Security und Professor an der Hochschule Augsburg, hat mit seinem Team zehn Best-Practices zusammengetragen, die von Institutionen wie dem Bundesamt für Sicherheit in der Informationstechnik oder dem „Network Information Security & Technology News“ publiziert wurden

  1. Risikoanalysen und Penetrationstests identifizieren Bedrohungen und decken Schwachstellen auf.
  2. Industriekomponenten sollen möglichst nicht öffentlich über das Internet zugänglich sein. Spezielle Suchmaschinen wie „Shodan“ finden sie und bieten Angreifern einen leichten Zugang.
  3. Netzwerke sollen segmentiert und abgesichert werden, um bei einem Vorfall den Schaden so gering wie möglich zu halten und Angreifer am Vordringen in das System zu hindern.
  4. Der Fernzugriff soll entsprechend abgesichert sein, um einen Missbrauch zu verhindern.
  5. Vorsichtiger Umgang mit Wechseldatenträgern wie USB-Sticks schützt vor ungewollter Infektion mit Viren und anderer Malware.
  6. Komponenten sollen gehärtet werden, um Missbrauch oder versehentlicher Fehlnutzung vorzubeugen. Bei einem HMI-Betriebssystem müssten etwa alle Benutzerkonten gelöscht und alle Dienste deaktiviert werden, die nicht benötig werden.
  7. Der Zugang zu Anlagenteilen muss beschränkt und abgesichert werden – sowohl physisch als auch für die Benutzerverwaltung und Authentisierung.
  8. Mit redundanten kritischen Komponenten kann im Notfall die Funktionsfähigkeit der Anlage schnell wiederhergestellt werden.
  9. Security-Richtlinien und Mitarbeiterschulungen schaffen Verantwortlichkeiten, Prozesse und ein Sicherheitsbewusstsein in der Organisation.
  10. Systeme zur Einbruchserkennung überwachen Anlagen und erkennen ungewollte Kommunikation.

Bonus-Tipp

Man kann Sicherheit nicht delegieren. Darauf zu hoffen, dass andere sich darum kümmern, ist ein Trugschluss, der häufig große Schäden nach sich zieht.