Cyber-Angriffe auf die digitale Supply Chain nehmen zu
43 Prozent aller deutschen Unternehmen waren schon von einem Ransomware-Angriff auf ihre digitale Lieferkette betroffen. Das ist ein Ergebnis einer aktuellen Studie. Eine bessere Kommunikation zwischen Dienstleistern und Kunden könnte die Folgen lindern.
Als der Netzwerk-Toolanbieter Kaseya im Sommer 2021 Opfer einer Ransomware-Attacke wurde, verhinderte nur die Uhrzeit größeren Schaden für den europäischen Onlinehandel. Denn die - vermutlich von Russland ausgehende - Attacke auf Kaseya geschah zu einer Zeit, an der die meisten IT-Abteilungen in Europa bereits im Feierabend waren, anstatt mit Kaseya-Tools ihre Systeme fernzuwarten - und so die Ransomware weiterzuverbreiten. Bei Coop in Schweden wurde noch gearbeitet - in der Folge standen tagelang die Kassensysteme in den Coop-Filialen still. Unternehmen in den USA ging es ähnlich, dort konnte sich die Ransomware namens "Sodinobiki" ungehindert verbreiten.
Vorfälle wie der Angriff auf Kaseya werden als Attacken auf die digitale Suppy Chain bezeichnet. Und nach einer Studie des IT-Sicherheitsunternehmens Trend Micro nehmen solche Attacken zu. So waren bei 43 Prozent der befragten deutschen Unternehmen schon einmal Firmen in der Lieferkette von einem Ransomware-Angriff betroffen, weltweit liegt dieser Wert gar bei 52 Prozent. Drei von vier IT-Führungskräften gehen davon aus, dass ihre Partnerunternehmen und Kunden sie zu einem besonders begehrten Ziel für Ransomware-Attacken machen.
Wenig Kommunikation mit Partnern
Dennoch teilen nur 40 Prozent der Unternehmen in Deutschland ihr Wissen über Ransomware-Angriffe mit ihren Lieferanten. Darüber hinaus gibt ein Drittel aller Befragten in Deutschland an, dass sie potenziell nützliche Informationen über diese Cyberbedrohungen nicht an ihre Partner weitergeben. Weltweit sehen die Zahlen kaum anders aus. Dabei zeigt das Kaseya-Beispiel, dass schnelle Information helfen kann: Dadurch, dass viele europäische Kaseya-Kunden gewarnt wurden, bevor sie ihre Computer am Morgen hochfuhren, konnte viel Unheil verhindert werden.
Eine mögliche Ursache für die spärliche Kommunikation ist, dass die Unternehmen erst gar nicht über diese Informationen verfügen, um sie weiterreichen zu können. Denn ihre Fähigkeiten, verdächtige Aktivitäten im Zusammenhang mit Ransomware-Attacken zu erkennen, sind beunruhigend gering: Nur 20 Prozent der deutschen Unternehmen sehen sich dazu in der Lage - sie erkennen Ransomware-Attacke erst dann, wenn es zu spät ist. Damit sind deutsche Unternehmen international betrachtet schlecht aufgestellt, denn weltweit sehen sich 31 Prozent aller Unternehmen in der Lage, Ransomware-Attacken im Vorfeld zu erkennen.
IT-Sicherheit - Cyberangriffe auf die Kritische Infrastruktur werden überschätzt
Schon vor Beginn des Krieges ist Russland mit Cyberoperationen in Verbindung gebracht worden: Immer wieder wurden und werden Vorwürfe laut, russische Hacker attackierten die digitale Infrastruktur, wenn auch nicht so stark wie ursprünglich befürchtet.
Seit dem Überfall auf die Ukraine geht das Bundesamt für Informationssicherheit (BSI) von einer noch höheren Gefahrenlage aus . Gerade Kritische Infrastruktur, wie zum Beispiel Energieversorgung, könnte zu Zielen gehören.
Doch trotz der angespannten Situation, sei es zurzeit noch eher ruhig im deutschen Cyber-Raum: Seit dem Beginn des Kriegs gegen die Ukraine sei es in Deutschland laut BSI nur zur einzelnen „IT-Sicherheitsvorfällen“ gekommen, die mit Russland in Zusammenhang gebracht werden konnten.
Deutsche Industrie bisher verschont
Auch die deutsche Industrie ist laut Simran Mann vom IT-Branchenverband Bitkom bislang von überdurchschnittlich großen Attacken verschont geblieben. Vielmehr seien sogenannte Spill-Over-Effekte zu beobachten: Attacken aus Russland auf die Ukraine, die auch über die Grenzen hinaus Auswirkungen haben. Zum Beispiel, als ein wichtiges Satellitennetzwerk lahmgelegt wurde und dadurch auch in Deutschland die Kommunikation mit mehr als dreitausend Windkraftanlagen gestört wurde.
Das potenzielle Angriffsspektrum geht dabei von sogenannten DDoS-Angriffen, bei denen Webseiten und Server lahmgelegt werden, über Phishing, wobei Logindaten ausspioniert werden, bis hin zum Ausnutzen sogenannter Zero-Day-Lücken, also Fehlern in Betriebssystemen und Programmen, die zu einer Übernahme von Computern führen können.
Erpressungen verursachen größte wirtschaftliche Schäden
Linus Neumann vom Chaos Computer Club hingegen bewertet potenzielle Schäden von Angriffen auf Kritische Infrastruktur als „wahrscheinlich weniger groß als man vermutet“: „Die bisherigen Ausfälle Kritischer Infrastrukturen, die durch sogenannte Cyber-Angriffe herbeigeführt wurden, waren verhältnismäßig klein und verschmerzbar. Auch in der Ukraine saßen die Leute mal sechs Stunden im Dunkeln. Das ist jetzt nichts, was eine Volkswirtschaft ruiniert.“
Die größten wirtschaftlichen Schäden kämen von Erpressungen mit Ransomware, wo Kriminelle in Systeme eindringen, Daten abziehen, verschlüsseln und von den Unternehmen oder Behörden Lösegeld fordern.
Angreifer bleiben oft unerkannt
Davor sollten sich die Unternehmen unabhängig von aktuellen Bedrohungslagen schützen, stellt der Sicherheitsanalyst Neumann klar. Hier sollte es vor allem darum gehen, Schaden zu vermeiden, unabhängig davon, wer der Angreifer ist.
Eine genaue Identifikation von Angreifern ist bei sogenannten Cyberattacken oft unmöglich. So sei oft unklar, ob es sich um staatliche Akteure handelt oder um Hackergruppen, die aus vermeintlich patriotischen oder wirtschaftlichen Gründen agieren, sagt Simran Mann vom IT-Branchenverband Bitkom:
„Wir haben dieses Jahr auch gesehen, dass die organisierte Kriminalität ganz vorne dabei ist. Aber man weiß nicht, ob sie durch den Staat gesponsert werden oder ähnliches. Das ist auch im Interesse von Staaten wie zum Beispiel Russland, da man die Angriffe nicht direkt zurückführen kann. Was dafür sorgt, dass auf internationaler Ebene eine Eskalation eher langsam vonstattengeht.“
"Cyber-Angriff" nicht vergleichbar mit einer Bombardierung
Auch Linus Neumann vom Chaos Computer Club stellt heraus, dass die oft russischen Gruppierungen zwar nicht im staatlichen Auftrag arbeiten: „Aber gewissermaßen mit so einer Art staatlichen Duldung. Denen ist sehr klar, würden sie jemanden in Russland hacken, würden sie große Probleme bekommen. Und solange sie das nicht tun, werden sie keine großen Probleme bekommen.“
Gerade weil man oft nicht wisse, wer hinter Cyberoperationen stehe, seien Begriffe wie „Cyberwar“, „Cyberangriffe“ oder „Cyberkrieg“ vor dem Hintergrund des Kriegs gegen die Ukraine nicht angemessen. Es sei auch eine Frage der Verhältnismäßigkeit: „Weil jetzt auch das Hacken von Unternehmen oder auch Kritischen Infrastrukturen natürlich bei weitem nicht in einen Vergleich zu setzen ist mit dem schweren Leid, dass mit Bomben, Raketen und Schusswaffen einhergeht. Und genau diese Rolle spielen ja dann auch die sogenannten Cyberwar-Tätigkeiten im Rahmen eines Krieges, nämlich flankierende Verwirrung des Gegners“, sagt Linus Neumann vom Chaos Computer Club.
IT-Sicherheit: die Angriffe kommen von Innen – Digital Lunch
Die Bedrohung Ihrer Sicherheit kommt meist von Intern
Mit zunehmender Digitalisierung wachsen auch die Angriffsflächen in Unternehmen.
Eine gut geplante und sichere Infrastruktur ist der erste Schritt um Angriffe von außen zu erschweren und damit die Sicherheit des internen Netzwerkes zu erhöhen. Es wird aber unterschätzt, dass die Bedrohungen häufiger innerhalb des Netzwerks, also aus dem Unternehmen selbst, ausgelöst werden.
Der finanzielle Schaden, der durch Ransomware (Schadprogramme, mit deren Hilfe ein Angreifer den Zugriff auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann) verursacht wird, steigt jährlich und beläuft sich mittlerweile auf mehrere Milliarden Euro.
Unternehmen, die von dieser gefährlichen Form der Cyber-Kriminalität betroffen sind, werden durch die Zahlung von Lösegeld, sowie den Ausfallzeiten der IT-Systeme massiv beeinträchtigt
Obwohl mittlerweile bekannt ist, dass E-Mails die Hauptgefahr für Infektionen mit allen Arten von Cyber-Bedrohungen darstellen und diese die IT-Sicherheit des Unternehmens stark beeinträchtigen, fallen noch sehr viele Mitarbeiter auf präparierte eMails herein und infizieren dadurch ganze Unternehmen mit gefährlicher Ransomware.
Allerdings liegt Ursache für eine Ransomware-Infektion auch in einer mangelhaften Ausbildung im Hinblick auf Cyber-Sicherheit, wie Wiederverwendung und Speicherung schwacher Passwörter, fehlerhafter Zugangsverwaltung und mangelndes Bewusstsein der Nutzer für die Belange von Sicherheit im IT-Umfeld.
Windows als Sicherheits-Risiko?
Warum sind Windows-Betriebssystem häufiger von Ransomware-Angriffen betroffen als andere Computersysteme? Der Grund liegt nicht im Betriebssystem selbst sondern in Art und Umfang der Nutzung. Windows-basierte Computer sind für gewöhnlich günstiger, sind im Unternehmens-Umfeld Standard und werden daher auch von wesentlich mehr Menschen benutzt. Viele Firmen haben auch keine definierten Prozesse zur Installation notwendiger Sicherheits-Updates Ihrer Betriebssysteme und Applikation. Daher ist der Schutz vor Viren und Angriffen mangelhaft und sie sind ein leichtes Ziel für Kriminelle Aktivitäten.
Auch beliebte Cloud -basierende Applikationen (SaaS – oder Software as a Service) sind Ziele für Attacken. In einer Studie mit mehreren Service-Anbietern konnte festgestellt werden, dass Dropbox, Office 365, G-Suite bzw. Google Workspace, Box und Salesforce schon in irgendeiner Form einem Cyber-Angriff zum Opfer gefallen sind.
Was kann man tun um die Sicherheit zu erhöhen?
Wir haben für Sie ein paar Punkte zusammengestellt, die ienfach umzusetzen sind, aber die Sicherheit in Ihrem Unternehmen stark erhöhen können:
Stellen Si sicher, dass ungenutzten Netzwerkdosen nicht „gepatched“ sind. Dies verhindert unberechtigten Zugriff durch einfaches Verbdinden mit dem internen Netzwerk.
Vermeiden Sie externe Datenträger wie USB-Sticks, ext. Festplatten etc. denen Sie nicht vertrauen können.
Nutzen Sie für Datensicherungen sichere Medien wie z.B. Netzwerkspeicher und verwenden Sie diese nie an anderen Systemen.
Prüfen Sie eingehende Mails genau und stellen Sie sicher, dass diese wirklich von einem vertrauenswürdigen Empfänger kommen. Folgen Sie keinen Links in eMails und öffnen Sie keine Anhänge, bei denen Sie sich nicht 1000% sicher sind.
Sollten Sie auf einem Microsoft Windows System arbeiten, nutzen Sie den integrierten Virenscanner von Microsoft (Defender). Tests haben ergeben dass der Schutz des integrierten Tools sehr gut ist und Apps von Drittanbietern nicht zwingend notwendig sind.
Legen Sie sich einen Backup Plan an. Lagern Sie die Sicherungen an einem sicheren Ort (Safe, Brandschutzraum etc.) und/oder legen Sie eine Cloud- bzw. Netzwerk-Backup an.
Machen Sie immer mehrere Datensicherungen und lagern Sie diese an unterschiedlichen Orten.
Verschlüsseln Sie die gemachten BackUps und versehen Sie diese mit einem sicheren Passwort
Versuchen Sie niemals das Backup zurückzuspielen, wenn es den Verdacht gibt, dass auf dem Rechner noch Schädlinge oder Angreifer aktiv sein könnten. Auch das BackUp könnte dadurch verschlüsselt werden.
Benutzen Sie nur sichere Passwörter, mind. 8 Stellen lang; keine Namen von Familienmitgliedern, Haustieren, Geburtstage, etc,; nutzen Sie eine Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Nehmen Sie Vorschläge von Passwortgeneratoren an oder überlegen Sie sich Sätze und bilden aus den Anfangsbuchstaben mit zusätzlichen Zahlen und Sonderzeichen ein Passwort.
Benutzen Sie zur Unterstützung Tools wie Keypass oder 1Password, aber auch hier gilt: Nutzen Sie auch hier ein sicheres Passwort. Hier geht es um ALLE Ihre Passwörter.
Notieren Sie sich niemals Passwörter auf Post-It Zetteln, unter der Tastatur oder an anderen unsicheren Orten.
Geben Sie Passwörter niemals an Dritte weiter. Jeder soll und muss mit seinem eigenen Account arbeiten.
Denken Sie dabei auch an die Passwörter Ihres WLAN’s.
Nutzen Sie, wenn es die Software erlaubt, eine 2-Faktor Authentisierung
Reduzieren Sie die Dienste auf Ihren Geräten nur auf das Notwendigste (z.B. RDP, NetBIOS etc.).
Nutzen Sie, soweit wie möglich, Cloud Anwendungen. Auch wenn diese manchmal von Angriffen betroffen sind, werden Sie lokale Systeme niemals so sicher machen können, wie professionelle Anbieter.
Halten Sie Ihre Systeme „up to date“! Regelmäßige Sicherheitsupdates sind essentiell und schützen Ihre Systeme.
Wenn Sie die oben genannten Punkte beachten, können Sie Angriffe auf ein Minimum reduzieren. Aber beachten Sie, einen 100%igen Schutz gibt es nicht.
Lesen Sie auch unseren Artikel: 5 Wege zur digitalen Kundenbindung