Dass das Internet Gefahren birgt, ist mittlerweile so gut wie allen bewusst. Geht es darum, präventiv etwas gegen diese Gefahren zu unternehmen, besteht in Österreich jedoch noch viel Aufholbedarf. Jedes dritte Unternehmen erkennt IT-Sicherheitsvorfälle nicht einmal, wie aus einer Analyse des KSV 1870 Nimbusec hervorgeht.

Dabei ist das Thema allgegenwärtig, in den vergangenen Wochen traf es mit Magenta, Rosenbauer und der GIS beispielsweise drei prominente Namen. Dennoch haben zahlreiche Unternehmen nach wie vor kaum bis keine Sicherheitsvorkehrungen getroffen oder überschätzen die eigenen Maßnahmen. Vor allem Klein- und Mittelbetriebe hätten großen Aufholbedarf, heißt es in der aktuellen Analyse.

Kriminelle betreiben ihr "Geschäftsmodell" schon lange auf einem sehr professionellen Niveau, zuletzt nahm aber auch die Effizienz noch einmal deutlich zu. "Mittlerweile verschaffen sich Angreifer mit Ransomware-Attacken innerhalb von vier Tagen Zugang zu Firmensystemen. Vor zwei Jahren hat das noch zwei Monate gedauert", sagt Charles Henderson, Leiter der IBM-Cybersecurity-Abteilung X-Force, im Gespräch mit dem STANDARD. Vor allem sogenannte Backdoors, die Fernzugriffe auf IT-Systeme ermöglichen, hätten sich vergangenes Jahr zur bevorzugten Angriffsmethode entwickelt.

Wer als Unternehmen einmal bezahlt, bleibt langfristig ein beliebtes Ziel für Cybercrime-Angriffe.
Foto: APA/ROLAND SCHLAGER

Ertragreiche Backdoors

Diese Hintertüren lassen sich schnell und ertragreich monetarisieren. "Backdoor-Zugänge werden für bis zu 10.000 US-Dollar verkauft – gestohlene Kreditkartendaten im Vergleich dazu für weniger als zehn US-Dollar pro Karte", erklärt Henderson. Nur den Zugang zu verkaufen sei effizienter und weniger riskant als den ganzen Angriff durchzuführen. "Cyberkriminellen geht es nicht darum, was die angegriffenen Unternehmen produzieren oder wo sie sitzen. Es geht nur um schnelles Geld."

Laut IBM sind IT-Sicherheitsvorfälle 2022 global geringfügig zurückgegangen, weil Unternehmen Attacken etwas erfolgreicher erkannt und abgewehrt haben. In Österreich steigen die Zahlen jedoch kontinuierlich. Im Jahr 2021 gab es laut Cybercrimereport des Bundeskriminalamts 46.000 Anzeigen wegen Internetkriminalität, das sind mehr als fünfmal so viele Fälle wie noch im Jahr 2012 (damals 8.900 Fälle). Für das vergangene Jahr gibt es noch keine offiziellen Zahlen.

Hohe Kosten, hoher Druck

Kriminelle sperren Systeme und versuchen mit hohem psychologischem Druck, die Opfer zur Zahlung zu zwingen. Wegen der hohen Kosten einer stillstehenden Fabrik hat sich die Fertigungsindustrie zu einem der beliebtesten Ziele dieser Erpressungen entwickelt. Industrieunternehmen hätten sich in der Verteidigung zwar verbessert, das Momentum liege aber nach wie vor bei den Kriminellen, heißt es bei IBM. Die meisten Attacken beobachtete der US-Konzern in der Asien-Pazifik-Region, an zweiter Stelle liegt Europa und an dritter Nordamerika. Das Interesse an Finanzunternehmen hingegen habe deutlich abgenommen.

IBM-Security-Experte Charles Henderson rät Unternehmen dazu, Cyberangriffe regelmäßig durchzuspielen. "Trainieren als wären sie Feueralarm."
Foto: Harald Klemm

Häufig wollen Angegriffene schnellstmöglich in den Normalmodus zurück sowie öffentliche Aufmerksamkeit vermeiden. Und deswegen bezahlen sie. Das erhöht vor allem die Dunkelziffer solcher Erpressungsfälle.

Weniger Unternehmen bezahlen

Der Trend zum Bezahlen nimmt laut IBM-Experte Henderson etwas ab, dennoch warnt er eindringlich davor, auf Forderungen einzugehen: "Wer einmal zahlt, bleibt ein attraktives Ziel. Außerdem muss man Kriminellen vertrauen, die einen gerade erpresst haben." Auch die KSV-Analyse zeigt, dass bei 90 Prozent der attackierten Websites auch nach einem Monat noch Schadsoftware vorhanden ist und dieses ein erhebliches Sicherheitsrisiko darstellt.

Probleme entstehen nicht erst, wenn Systeme bereits infiziert sind. Unternehmen verbinden immer mehr unterschiedliche Hard- und Softwaresysteme miteinander. Das macht die eigene IT-Struktur von Haus aus komplizierter als nötig und erschwert dementsprechend auch die Absicherung.

Zudem warnen IT-Sicherheitsexperten durch die Bank vor mangelnder Übung für den Ernstfall. "Es ist extrem teuer, aus eigenen Fehlern zu lernen", sagt Henderson. "Viele Unternehmen verlassen sich auf Handbücher, die aber nie jemand liest, und im Ernstfall weiß keiner, was zu tun ist. Solche Abläufe gehören regelmäßig geübt wie ein Feueralarm."

Gekaperte E-Mails

Ebenfalls im Aufwärtstrend liegt das sogenannte E-Mail-Thread-Hijacking, also das Kapern von Mail-Konversationen. Angreifer nutzen kompromittierte Konten, um sich in den laufenden Mailverkehr einzuklinken, als ursprüngliche Teilnehmer auszugeben, verhängnisvolle Links zu verschicken oder Zahlungen in Auftrag zu geben. Schadsoftware wie Emotet, Qakbot oder IcedID, die häufig zu Ransomware-Infektionen führen, wurden so verbreitet. Programme wie ChatGPT spielen Kriminellen dabei in die Karten, um sprachliche Barrieren zu umgehen. Auf der anderen Seite hilft KI auch dabei, Gegenmaßnahmen zu entwickeln oder Angriffe abzuwehren. (Andreas Danzer, 15.3.2023)