Cyberkriminalität: So schützen sich Betriebe
Auftragsdaten, Personalakten, Baupläne – das alles speichern sogar kleine Handwerksbetriebe mittlerweile digital. Das macht sie allerdings auch zu Zielscheiben für Cyberangriffe. Wie können gerade kleine Betriebe ihre Daten schützen? Darüber sprachen wir mit Frank Müller, Leiter Geschäftsbereich zentrale IT-Aufgaben bei der IKK classic.
Die Internetkriminalität ist durch die fortschreitende Digitalisierung weiter auf dem Vormarsch. Wie Auswertungen des Bundeskriminalamtes zeigen, gab es im Jahr 2019 über 100.000 Fälle von Cybercrime in Deutschland. Das bedeutet einen Anstieg der Straftaten von etwa 15 Prozent im Vergleich zum Vorjahr. Eine aktuelle Analyse zur Entwicklung der Cyberkriminalität im Corona-Jahr 2020 deutet zudem darauf hin, dass sich die Lage noch einmal verschärft hat. Auffällig waren in jüngster Vergangenheit laut BKA vor allem Webseiten, die ähnlich zu Internetportalen staatlicher Stellen mit Informationen und Beratungsgesprächen zur Corona-Soforthilfe warben. Hier ist also Vorsicht geboten. Denn die Angriffe können sowohl kleinere als auch größere Unternehmen treffen.
Welche Art von Cyberattacken besonders häufig sind, wie Betriebe sich effizient vor Angriffen im Internet schützen können und was im Fall einer Attacke zu tun ist, erklärt IT-Experte Frank Müller von der IKK classic im Interview.
Cyberkriminalität: Betriebsstörungen sind an der Tagesordnung
Eine Studie zeigt, wie teuer Cyberangriffe für kleine und mittlere Unternehmen sind und wie lange die betroffenen Firmen dadurch in ihren Geschäften beeinträchtigt werden.
9.5.2022 (verpd) Cyberschäden sind teuer, stören den Betrieb und treffen immer öfter kleine Unternehmen. Trotzdem sind die meisten Mittelständler weiterhin nicht ausreichend gegen solche Schäden versichert.
Die Cyberbedrohung nimmt zu. Immer mehr Betriebe sind betroffen. Das ist das zentrale Ergebnis der repräsentativen Befragung von 518 kleinen und mittelständischen Unternehmen (KMU) durch das Marktforschungs- und Beratungsunternehmen Sirius Campus GmbH im Auftrag eines Versicherers.
Vor allem unter den Mittelständlern mit 50 bis 250 Mitarbeitern berichtet mehr als jedes zweite Unternehmen (57 Prozent), schon mindestens einmal von einer Cyberattacke betroffen gewesen zu sein.
Cyberschäden sind teuer
Und das kostet die meisten Firmen viel Geld. So müssen 40 Prozent der Angegriffenen zwischen 25.000 Euro und 100.000 Euro sowie 19 Prozent über 100.000 Euro für den Schaden zahlen. Nur bei 32 Prozent der Betroffenen lag der Schaden unter 25.000 Euro. Nur sieben Prozent der befragten KMUs sind nach einem ihnen bekannten Cyberangriff von Betriebsstörungen verschont geblieben. Bei 18 Prozent lief der Betrieb schon im Laufe des Tages wieder. Allerdings gab es bei 21 Prozent einen ganzen Tag eine Störung und bei 51 Prozent dauerte diese teilweise deutlich länger an.
Diese Daten zeigen: Nach einer Cyberattacke läuft ein Betrieb nicht mehr rund. Die hohe Abhängigkeit von der IT, die jedes Unternehmen heute besitzt, ist vielen Entscheider noch nicht bewusst, denn nur 43 Prozent stufen die Betriebsunterbrechung als „besonders relevant“ ein. Weiterhin ist der Mensch, also der Mitarbeiter, die größte Schwachstelle bei der Cybersicherheit. So geht gut die Hälfte aller Angriffe auf Unachtsamkeit zurück.
Kleine Unternehmen immer öfter im Fokus
Die Untersuchung zeigt zudem, dass immer öfter auch kleinere Firmen attackiert werden. Gründe sind Kollateralschäden durch ziellose Trojaner-Software und der Versuch, weniger geschützte Unternehmen als Sprungbrett für den Angriff auf Großunternehmen zu nutzen. Daher dokumentiert die Studie, dass auch der Haftungsschutz für jedes KMU immer größere Bedeutung erlangt.
Übrigens gaben nur 25 Prozent der von Schäden betroffenen Unternehmen an, „umfassend“ durch eine Cyberversicherung geschützt gewesen zu sein. 30 Prozent der Befragten hatten sogar gar keinen Schutz für den erlittenen Schaden. Über ein Viertel der betroffenen Unternehmen haben sich nach deren Angaben nach dem Schaden für den Abschluss einer Cyberversicherung entschieden.
Schutzschirm mittels Cyberversicherung
Eine Cyberversicherung übernimmt, nachdem das versicherte Unternehmen Opfer einer Cyberattacke geworden ist, diverse Folgekosten wie die Kosten für die Datenwiederherstellung und Systemkonstruktion. Im Schadenfall stellen viele Cyberversicherer zur Schadenanalyse, Beweissicherung und Schadenbegrenzung nach einem Cyberangriff zum Beispiel auch IT-Forensiker, Krisenkommunikations-Spezialisten und Anwälte für IT- und Datenschutzrecht zur Verfügung oder tragen die Kosten dafür.
Erfolgreicher Schlag gegen internationale Cyberkriminalität in der Region Hannover
REGION/NIEDERSACHSEN (red).
Am gestrigen Montag ist es den Ermittlern der Polizeidirektion Hannover und der Staatsanwaltschaft Verden gelungen, mehrere Server, von denen cyberkriminelle Gruppierungen agieren, vom Netz zu nehmen (sog. „Takedown“). Bei der groß angelegten Operation wirkten weltweit verschiedene Strafverfolgungsbehörden mit. Über zwei Jahre akribische Ermittlungsarbeit sowie die Vernetzung von zehn Ländern und zwölf internationaler Strafverfolgungsbehörden verhindern Schäden in Millionenhöhe: Der Ausgangspunkt für diesen erfolgreichen Schlag war ausgerechnet der Cyberangriff auf die Stadtverwaltung Neustadt am Rübenberge im August 2019. Zuständig für die Ermittlungen waren die Fachinspektion für Straftaten aus dem Bereich Cybercrime der Polizeidirektion Hannover in Zusammenarbeit mit der für ebenfalls diesen Phänomenbereich zuständigen Staatsanwaltschaft Verden. Das Netzwerk, von dem die Angriffe aus koordiniert wurden, wurde ausfindig gemacht und am gestrigen Montag vom Netz genommen. Dass dieser im Fachjargon genannte „Takedown“ möglich war, ist insbesondere der länderübergreifenden Vernetzung und Zusammenarbeit verschiedener Strafverfolgungsbehörden auf nationaler und internationaler Ebene zu verdanken.
Der Niedersächsische Minister für Inneres und Sport, Boris Pistorius, sagt: „Der Takedown dieses Netzwerkes, über das tausende Cyberkriminelle ihre Kommunikation und Pläne ausgetauscht haben, ist ein großartiger Erfolg für die Beamtinnen und Beamten, insbesondere für die beteiligten Beamtinnen und Beamte der Polizeidirektion Hannover. Das zeigt erneut, dass wir als Sicherheitsbehörden dazu in der Lage sind, schwerkriminellen Cyber-Netzwerken das Handwerk zu legen und tausende Straftaten im Cyberraum aufzudecken und aufzuklären. Das schärfste Schwert gegen international agierende Verbrecher ist ein gemeinsames und eng abgestimmtes Vorgehen. Damit zeigen wir den Kriminellen, dass der Staat Mittel und Ressourcen zur Verfügung hat, wirksam dagegen vorzugehen. Ich bedanke mich ganz besonders bei allen an dieser Aktion beteiligten Stellen, insbesondere natürlich bei den zuständigen Beamtinnen und Beamten der PD Hannover, mit denen ich auch schon persönlich über ihre hervorragende Arbeit sprechen konnte und mich persönlich bei ihnen bedankt habe.“ Pistorius, der auch Mitglied im Kontrollgremium von Europol ist, fügt hinzu, dass „diese Aktion ohne die herausragende Unterstützung von Europol in dieser Form nicht möglich gewesen wäre. Ein weiterer Ausbau der Kompetenzen und Mittel für Europol halte ich für zwingend. Täter agieren längst höchst dynamisch und grenzüberschreitend. Die Antwort kann nur eine starke europäische Behörde im Netzwerk der europäischen Sicherheitsbehörden sein.“
Für die Justiz äußert sich Justizministerin Barbara Havliza zu dem Ermittlungserfolg: „Cyberangriffe auf Krankenhäuser oder Verwaltungen sind eine reale Bedrohung für uns alle. Ist die Schadsoftware erstmal im System, sind die Folgen oft katastrophal. Die Lösegeldforderungen gehen in die Millionen, der Verlust sensibler Daten kann einen riesigen Schaden verursachen. Die kriminelle Energie hinter diesen Taten ist groß und maximal skrupellos! Umso mehr freut es mich, dass die Staatsanwaltschaft Verden und die Polizeidirektion Hannover mehrere Server vom Netz nehmen konnten, die von Cyberkriminellen genutzt wurden. Unsere Ermittler agieren hochprofessionell, gut vernetzt und international. Ich danke allen Beteiligten bei Polizei und Justiz für die gute Arbeit! Mit dem Takedown zeigen wir: Wir lassen es nicht zu, dass in den dunklen Ecken des Netzes rechtsfreie Räume entstehen.“ Minister Pistorius, der auch Mitglied im Kontrollgremium von Europol ist, fügt hinzu, dass „diese Aktion ohne die herausragende Unterstützung von Europol in dieser Form nicht möglich gewesen wäre. Ein weiterer Ausbau der Kompetenzen und Mittel für Europol halte ich für zwingend. Täter agieren längst höchst dynamisch und grenzüberschreitend. Die Antwort kann nur eine starke europäische Behörde im Netzwerk der europäischen Sicherheitsbehörden sein.“
Beteiligt an der Operation waren die europäische Polizeibehörde Europol und die europäische Justizbehörde Eurojust. Diese stellten den Kontakt zu Ermittlern aus den Niederlanden, Kanada, der Tschechischen Republik, Frankreich, Ungarn, Lettland, der Ukraine, dem UK und den USA her. Die Federführung hatten dabei die Ermittler aus Hannover inne. Logistische und technische Unterstützung wurde dabei von Europol, z. B. in Form der nötigen Infrastruktur für den Austausch der beteiligten Länder, bereitgestellt. Finanzielle Förderung erhielt die Ermittlungsgruppe über die Plattform EMPACT (European Multidisciplinary Platform Against Criminal Threats), die als Instrument für die Bekämpfung der organisierten und schweren Kriminalität auf europäischer und internationaler Ebene dient. Eingebunden in die Operation waren auch europäische Gerichte, die die jeweiligen Beschlüsse für alle ergriffenen Maßnahmen erließen.
Es wurden alle 15 Standorte der Server ermittelt. Diese Server gehörten zu einem Internetdienstleister, der seinen Kunden sogenanntes VPN (englisch für Virtual Private Network) zur Verfügung stellt. Ein VPN gewährleistet den Nutzenden geschützte und anonyme Kommunikation, sowie den ebenso abgesicherten Zugang zum Internet. Dabei wird der Datenverkehr über Server an anderen Standorten als denen der genutzten Endgeräte verschlüsselt und weitergeleitet. Der hier betroffene Dienstleister bot seinen Kunden auch Double VPN an. Die Onlineaktivitäten werden dabei nicht nur hinter einem, sondern gleich zwei Servern versteckt. Der Datenverkehr wird vom Endgerät auf einen entfernten VPN-Server geschickt. Von dort wiederum auf einen anderen VPN-Server mit anderem Standort. Anschließend gelangt man mit dem Endgerät an das gewünschte Ziel im Internet. Diese Dienste werden von vielen Anbietern weltweit bereitgestellt und auch für legale Zwecke genutzt, um sich vor jeglicher Nachverfolgung zu schützen (wie s. B. von im Ausland tätigen Journalisten als Schutz vor dem Zugriff eines Regimes, über das sie berichten). Seit diesem Montag aber sehen alle Nutzenden des betroffenen Dienstleisters nun anstelle der gewohnten Oberfläche einen sog. „Splashscreen“ – ein Text der mit dem Satz „This domain has been seized“ eingeleitet wird und die behördlichen Ermittlungen skizziert. Bei der im hier vorliegenden Fall über die Server verschickte Schadsoftware handelt es sich um die Schadsoftware „Ryuk“. „Ryuk“ wird international durch kriminelle Vereinigungen genutzt, um Behörden, Firmen und Einrichtungen zu attackieren und von diesen, Lösegeld zu erpressen, damit deren digitale Infrastruktur wieder nutzbar wird. Bei einem Angriff mit dieser Schadsoftware verursachen die Täter immer wieder Schäden in Millionenhöhe. Über die nun abgeschalteten Server vernetzten sich etliche kriminelle Gruppierungen, bauten organisierte Strukturen auf und begingen Attacken auf Krankenhäuser, Universitäten und Unternehmen auch mit diverser anderer Ransomware als nur „Ryuk“.
„Ein wichtiger Aspekt dieser Maßnahme besteht auch darin, zu zeigen, dass diese Dienste nicht sicher sind, wenn der Dienstanbieter rechtswidrige Handlungen unterstützt und keine Informationen über rechtliche Ersuchen der Strafverfolgungsbehörden übermittelt. Diese Operation zeigt das Ergebnis einer wirksamen Zusammenarbeit der internationalen Strafverfolgungsbehörden, die es ermöglichen, ein weltweites Netzwerk zu schließen und solche Dienste zu zerstören“, äußert sich der Präsident der Polizeidirektion Hannover, Volker Kluwe, zur erfolgreichen Operation. Die Zusammenarbeit der verschiedenen Behörden in diesem Verfahren hat nicht nur dazu beigetragen, die von den Servern ausgehenden kriminellen Aktivitäten zu unterbinden, sondern auch das funktionierende Netzwerk der internationalen Strafverfolgungsbehörden weiter zu verdichten und Ansätze für weitere Ermittlungsverfahren im Bereich Cybercrime zu erlangen.