Krieg der Hacker

Der IT-Chef eines deutschen Unternehmens mit einigen Tausend Mitarbeitern erzählte der „Welt“ kürzlich in einem anonymen Interview, dass er aus Sorge vor Cyberattacken schlecht schlafe – und das, obwohl ihm ein beachtliches Budget zur Verfügung steht, um sein Unternehmen vor Angriffen zu schützen und er die Mitarbeiter so gut wie möglich für das Thema sensibilisiert. Dennoch: Auf einer zehnteiligen Skala, wobei eins sehr unsicher bedeutet, erreiche sein Unternehmen trotz aller Anstrengungen gerade mal Stufe vier.

Die Angriffe via Internet und damit auch auf die Systeme von KMU haben enorm zugenommen. Die Folgen sind oft katastrophal und vor allem sehr teuer. Darauf deuten auch die Zahlen der von IBM finanzierten Studie „Cost of Data Breach“ des Ponemon Institutes hin: Demnach belaufen sich die Kosten eines unberechtigten Zugriffs auf Daten für ein Unternehmen im Durchschnitt auf 3,62 Millionen Dollar. Je schneller auf Datenlecks reagiert werde, umso besser: Unter- TEXT ALEXANDRA ROTTER nehmen, die Datenpannen innerhalb eines Monats beheben konnten, mussten der Studie zufolge im Schnitt um eine Million Dollar weniger aufbringen als jene, die länger als einen Monat dafür benötigten. Das Dumme ist nur: Im Durchschnitt brauchen die Unternehmen mehr als sechs Monate, um eine Datenpanne überhaupt einmal zu entdecken.

Lambert Scharwitzl, Leiter des Zentrums IKT- und Cybersicherheit im Kommando Führungsunterstützung und Cyber Defence des Österreichischen Bundesheeres, berichtet, dass allein im System der Landesverteidigung pro Woche 400.000 bis 500.000 Sicherheitsalarme ausgelöst werden, die auf Cyberangriffsversuche hinweisen. Der Löwenanteil davon wird automatisiert bekämpft. Mit 300 bis 400 Angriffen setzt sich das Sicherheitsteam jede Woche näher auseinander und entdeckt auf diese Weise auch immer wieder Schwachstellen in IT-Systemen und Hardware- oder Software-Komponenten. So spürte das Team etwa im ersten Halbjahr 2016 eine bis dahin unbekannte Schwachstelle in der Software von Microsoft Office auf, die prompt von Hackern ausgenutzt wurde. Nach einer gemeinsamen Analyse des Schadcodes konnte Microsoft im Oktober durch Updates für die betroffenen Office- Versionen den Schaden beheben.

ANGREIFER: UNBEKANNT

Ist das schon ein Cyberkrieg? Schwer zu sagen, vor allem, weil bei den meisten Attacken der Angreifer nicht identifiziert werden kann. Schließlich werden solche Angriffe sehr gut verschleiert, indem sie über unzählige verschiedene Server geschickt werden, sodass die Spur kaum zurückverfolgt werden kann beziehungsweise immer die Frage im Raum steht, ob sich der Aufwand, den Täter zu suchen, lohnt.

„Im Cyberraum hat man ein großes Problem, was die Definition des Kriegszustandes betrifft“, sagt Scharwitzl. Schließlich herrschen Kriege zwischen Staaten. Wenn aber nicht klar ist, wer hinter einem Cyberangriff steckt – ob ein Staat, ein konkurrierendes Unternehmen oder ein Hacker, der sich bereichern will – kann man schwerlich eindeutig von einem Krieg sprechen. Allerdings wird der Cyberbereich bereits international als fünfte militärische Domaine – neben Land, Luft, Wasser und Weltraum – gesehen.

Cyberaspekte gehören also mittlerweile zu jeder kriegerischen Auseinandersetzung dazu. Scharwitzl: „Ob das in der Ukraine ist oder wo auch immer auf der Welt: Ich kenne momentan keine kriegerische Auseinandersetzung, wo der Cyberanteil – als ein Teil – nicht dabei ist.“ Dazu gehören etwa schon im Vorlauf Dinge wie Informations-Beeinflussung, Manipulation und Störungen wie das Abschalten von Telefonen, Radiosendern oder der Energieversorgung.

TEIL EINER KETTE

Besonders Unternehmen, die so genannte kritische Infrastrukturen wie Strom, Wasser, Kommunikationsnetze oder Mobilität anbieten, sind in militärischen Konflikten gefährdet. Aber auch ein kleines oder mittelgroßes Unternehmen, das etwa als Zulieferer arbeitet, muss sich als potenzielles Ziel betrachten. Maximilian Burger-Scheidlin, Geschäftsführer der Internationalen Handelskammer Österreich, nennt ein Beispiel aus seiner Branche: Kaum eine Fabrik betreibe noch Lagerhaltung, weil Produkte „just in time“, also sofort nach Fertigstellung, verschickt werden. Die dann folgende Lieferkette sei ein „extrem enges Netzwerk“, das schon einmal über 30 Stufen gehen kann: „Wenn eine Stufe ausfällt, habe ich ein Riesenproblem. Das gilt für Auto-Zulieferbetriebe, für den Lebensmittelhandel und viele mehr.“ Der Experte für Wirtschaftskriminalität sieht große Sicherheitslücken: Fast kein Unternehmen habe Standby-Computer-Systeme, die über eigene Netzwerke laufen, sodass Angreifer nicht so einfach über das Internet eindringen können. Ähnliches gilt für die Energieversorgung: Wenige Unternehmen haben für Alternativen wie Solarzellen auf dem Dach gesorgt, um sich für den Fall, dass das Stromnetz lahmgelegt wird, selbst mit Energie zu versorgen. Ganz zu schweigen von Telefonnetzen: Die Kommunikation kann von Cyberangreifern sehr einfach gekappt werden.

„Ich kenne momentan keine kriegerische Auseinandersetzung, wo der Cyberanteil – als ein Teil – nicht dabei ist. Lambert Scharwitzl, Leiter des Zentrums IKT“

GROSSE DUNKELZIFFER

Offizielle Zahlen spiegeln nur einen Teil der ganzen Wahrheit wider, denn es ist davon auszugehen, dass nur die wenigsten Cyberopfer die Polizei informieren. 2016 gingen laut Innenministerium 13.103 Anzeigen wegen Cyberdelikten wie etwa Hacking, Phishing oder Internetbetrügereien ein. Meldet ein Unternehmen den Diebstahl wichtiger Informationen, könnte das als Eingeständnis eines Fehlers gewertet werden: Vermutlich hat es nicht genug getan, um internes Wissen, Daten von Kunden, Auftraggebern und Partnern ausreichend zu schützen. Burger-Scheidlin: „Die meisten Firmen werden den Teufel tun, eine solche Schwachstelle zuzugeben.“ Er schätzt, die angezeigten Fälle machen gerade einmal zwei bis fünf Prozent des tatsächlichen Kuchens aus.

Eine Schätzung der Dunkelziffer gibt man im Cybercrime-Competence- Center, einer Einheit, die seit 2011 existiert und zum Bundeskriminalamt gehört, nicht ab. Leiter Leopold Löschl sagt: „Wir gehen davon aus, dass Fälle aus unterschiedlichsten Gründen nicht der Polizei gemeldet werden – sei es aus Scham oder aus Frustration oder weil das Opfer seinen Schaden nicht bemerkt hat.“ Zudem sei auch die Hemmschwelle eine andere: Werde einem Opfer zum Beispiel im Bus Geld aus der Hosentasche gezogen, so würde das jedenfalls angezeigt werden. „Kommt ein Pullover, der im Internet nicht bestellt wurde, nicht zuhause an, wird das oftmals als ‚bekanntes Einkaufsrisiko‘ abgestempelt.“

EXISTENZ GEFÄHRDET

Dinge wie ein nicht gelieferter Pullover mögen wie Kinkerlitzchen erscheinen. Wem schon mal ein Smartphone nicht geliefert wurde oder die Euros für ein solches vom Konto abgebucht wurden, obwohl er es gar nicht bestellt hat, der betrachtet die Sache wohl anders. Solche Betrügereien können Unternehmen enormen Schaden zufügen. Passiert so etwas – speziell kleineren Unternehmen – öfter, kann ihre Existenz auf dem Spiel stehen. Und genau das könnte das Ziel eines Angreifers sein.

Nikolaus Dürk, Geschäftsführer des 18-Mitarbeiter-ITBetriebs X-Net in Linz, ist „fest davon überzeugt, dass wir eigentlich schon mitten in einem Krieg stecken“. Er meint damit allerdings nicht das, was ein Bundesheer-Mitarbeiter unter Krieg versteht, sondern: „Es geht um das Sammeln und Auswerten von Metadaten von Personen und Firmen, mit deren Hilfe man ihr Kaufverhalten beeinflussen kann.“ Aber auch ganze Unternehmen könnten übers Internet manipuliert und geschädigt werden, sodass sie zum Zusperren gezwungen wären – oder dazu, ihr Unternehmen an einen Mitbewerber zu verkaufen.

FEINDLICHE ÜBERNAHME

Dürk nennt ein mögliches Beispiel: „Nehmen wir an, ich will ein Heizungsunternehmen kaufen, aber die Firma will nicht verkaufen.“ Der Angreifer hätte keine Eile: Fünf oder sechs Jahre lang hackt er sich regelmäßig ins System des Heizungsbetriebs ein: Mal funktionieren die produzierten Heizungen, mal nicht. Dürk: „Das Heizungsunternehmen sucht und sucht und findet den Fehler nicht. Sein Supportaufwand steigt ins Unermessliche. Just in dem Moment kommt ein gutes Kaufangebot herein.“

Oder aber eine Konkurrenzfirma wird auf diese Weise „nur“ geschwächt, indem etwa in das Warenwirtschaftssystem eingegriffen und der Warenbestand verändert oder die Produktion stark hinaufgesetzt wird: „Irgendwann gibt es einen Stillstand.“ Mitarbeiter, die als Schuldige herhalten müssen, finden sich meist schnell – bis das Unternehmen draufkommt, dass etwas anderes hinter den Ausfällen steckt. „Wie bei jedem Krieg“, so Dürk, „geht es um Geld oder Macht. Wir brauchen keinen territorialen Besitz mehr, man kauft sich einfach die Unternehmen, die man haben will.“ Es gehe darum, Firmen zu besitzen und letztlich „Menschen fernsteuern zu können“. Darin sieht er eine riesige reale Bedrohung: „Privatpersonen haben ihre Daten ohnedies längst aus der Hand gegeben. Worauf wir wirklich aufpassen müssen, ist, dass der Wirtschaft nicht dasselbe passiert und sie sich dadurch einfach kaufbar macht.“

Maximilian Burger-Scheidlin, Internationale Handelskammer Österreich
Die meisten Firmen werden den Teufel tun, eine Schwachstelle ihrer Computersysteme zuzugeben.

GELD ODER DATEN

Alfred Harl, Obmann des WKO-Fachverbands Unternehmensberatung, Buchhaltung und Informationstechnologie, macht dagegen ein anderer Bereich wesentlich mehr Sorgen. Die aktuell größte Belastung im Cyberraum sieht er durch Ransomware gegeben. Sie macht durch Verschlüsselungstrojaner wichtige Daten in IT-Systemen unbrauchbar. „Ich glaube nicht, dass für Österreichs KMU Spionage das große Ding ist“, meint Harl. Aber die „plumpe Gier“ habe die Oberhand gewonnen, und mit Ransomware lässt sich viel Geld erpressen. Im Vergleich zu Spionage oder Sabotage entgeht einer Ransomware-Attacke niemand, denn die Angreifer bieten einen Deal an: Die Software entschlüsselt die Daten nur, wenn das Opfer ein Lösegeld, oft in Form von Bitcoins, bezahlt. Seit über das Darknet entsprechende Software leicht zu erwerben ist, verbreitet sich diese Form von Cyberkriminalität stark. Harl: „Das Thema ist jetzt laut geworden, seit es Ransomware gibt, mit der jeder Depp zum Erpresser werden kann.“ Von einer Person, die Ransomware auf den Markt gebracht hat, habe Harl erfahren, dass ihr Businessplan vorsieht, dass die Software schon am ersten Tag 25.000-mal über den virtuellen Ladentisch geht. Harl: „Da wird einem bewusst, was im Darknet alles passiert.“ Unternehmen, die von ihren IT-Systemen abhängig sind, eignen sich als Opfer recht gut.

Klein- und Mittelbetriebe sind besonders im Nachteil. Leopold Löschl vom Cybercrime- Competence-Center sagt: „Das Thema Computersicherheit betrifft uns alle, jedoch sind Klein- und Mittelunternehmen besonders betroffen, da diese meist nicht über eigene IT-Abteilungen verfügen.“ Prävention stelle für die Unternehmen eine „enorme Gewaltanstrengung“ dar, „die in der Regel nicht messbar ist.“ Löschl verweist zusätzlich zur Computer-Hard- und -Software-Sicherheit auf den Faktor Mensch.

TECHNIK UND MENSCH

Laut Alfred Harl lässt sich der technische Sicherheitszustand in einem Unternehmen innerhalb von nur vier Stunden analysieren. Um Schutzmaßnahmen in Sachen Cybersicherheit herzustellen, seien weitere 20 bis 40 Stunden nötig, bei großen Betrieben vielleicht etwas mehr. Spezialisierte Berater werden derzeit im Rahmen von „Gemeinsam.sicher – fIT im Netz“, einer Initiative der WKO und des Innenministeriums, ausgebildet: Sie erhalten ein Zertifikat, das es Kunden erleichtert zu erkennen, wer mit Cybersicherheit besonders betraut ist. Doch zusätzlich zur Technik geht es vor allem um eine Verhaltensänderung von Mitarbeitern und Führungskräften.

Auch Maximilian Burger-Scheidlin ist der menschliche Aspekt im Zusammenhang mit Cybergefahren ein besonderes Anliegen. Seiner Ansicht nach dürfe der IT-Sicherheitschef eines Unternehmens nicht ausschließlich Techniker sein, sondern brauche vor allem psychologische Fähigkeiten. Denn Cyberspionage beginnt häufig mit dem Aushorchen von – vorzugsweise unzufriedenen – Mitarbeitern: „Ein Sicherheitschef sollte genau auf die Stimmung im Unternehmen achten.“ Frustrierte Mitarbeiter plaudern – oft nicht einmal absichtlich oder weil sie dafür Geld bekommen – etwas aus, weil sich endlich einmal jemand für ihre Probleme interessiert. Und so kommen Kriminelle an wichtige Insiderinformationen.

KEINE ABSOLUTE SICHERHEIT

Egal, wer hinter einem Cyberangriff oder einer Serie von Attacken steckt: Der Schutz davor ist entscheidend – und der scheint in vielen KMU in Österreich noch zu gering zu sein. Laut Nikolaus Dürk müssten die meisten Unternehmenschefs wesentlich mehr in die Sicherheit investieren, wobei einmalige Investitionen keine Dauerlösung sind. Besonders wichtig ist der Aufbau interner Ressourcen auf Basis einiger grundsätzlicher Überlegungen. Dürk: „Alle gehen fälschlicherweise davon aus, sie hätten ohnehin nichts zu verbergen. Aber jeder sollte überlegen, wer Interesse daran haben könnte, ihn zu schädigen und auf welche Weise das möglich wäre.“ Darauf sollten dann die Sicherheitsmaßnahmen abgestimmt werden – nicht zwingend, aber wenn nötig, mit der Hilfe externer Spezialisten. Auf der zehnteiligen Skala sei zwar die absolute Sicherheit, also eine zehn, schlicht unerreichbar, aber Stufe sieben könne ein Unternehmen durchaus erreichen.

In Unternehmen muss zudem das Bewusstsein herrschen, mit sensiblen Firmeninformationen besonders vorsichtig umzugehen. Das kann bedeuten, dass Mitarbeiter Firmenhandys und -laptops ausschließlich für Berufliches nutzen, wichtige Dateien und Informationen nicht mehr über WhatsApp oder Dropbox an Kollegen übermitteln und regelmäßig Backups aller relevanten Daten durchführen. Geld allein reicht dafür jedenfalls nicht aus. Dürk: „Die Leute glauben, sie können sich Sicherheit kaufen, aber das ist nicht möglich. Klar, sie können eine Software und eine Firewall kaufen, aber es bedarf des Aufbaus von internen Ressourcen und Know-how, um sich zukünftig ausreichend abzusichern.“ Und – vielleicht das Wichtigste überhaupt: „Sie können keine Sicherheit haben ohne Anstrengung. Cybersicherheit ist nicht bequem.“

„ Wie bei jedem Krieg geht es um Macht und Geld.
Nikolaus Dürk, Geschäftsführer X-Net “