10 Strategien gegen Hackerangriffe. Georg Beham
Читать онлайн книгу.
verschlüsselten Dateien das Ziel sind, nicht mehr nach dem Prinzip von Postwurfsendungen[1] durchgeführt. Unternehmen werden immer häufiger ganz gezielt von Cyberkriminellen ausgewählt. Besonders Unternehmen, die niedrige Einstiegshürden aufgrund von Sicherheitslücken aufweisen bzw. deren Geschäftsfeld eine hohe Digitalisierung und somit eine Abhängigkeit der Wertschöpfung von der IT vermuten lässt, werden zum Opfer.
Den Grad der Digitalisierung kann ein Unternehmen heutzutage nicht reduzieren. Im Gegenteil, ist doch die Digitalisierung einer der Erfolgsfaktoren für die Zukunft. Die Hürde für Cyberkriminelle, nämlich eine funktionierende Cybersecurity, kann jedoch sehr wohl beeinflusst werden. Das Beispiel Ransomware[2] ist nur eine von vielen Varianten, wie sich Cyberkriminelle zu Lasten ihrer Opfer bereichern.
Wenn Sie nun als verantwortlicher Geschäftsführer oder als Teil des Managements in Ihrem Unternehmen dieses Buch lesen, dann sollten Sie sich die Frage stellen: „Wie hoch ist meine Hürde?”. Auch sollten Sie sich überlegen: „Wer kümmert sich für mich um dieses Risiko?” „Wer ist verantwortlich, wenn meine Produktion aufgrund einer Ransomware ausfällt?”
Sie sehen, worauf ich hinaus möchte: In den 1990er Jahren wurden IT-Bedrohungen vom IT-Verantwortlichen durch technische Maßnahmen abgewehrt. Ransomware ist zwar Software, dahinter stehen allerdings Cyberkriminelle, deren Ziel die Einnahme von Lösegeld ist. Es handelt sich hierbei nicht mehr um eine reine IT-Bedrohung, sondern um eine Unternehmensbedrohung. Auch die Maßnahmen, die das Risiko in Bezug auf derartige Bedrohungen minimieren, sind nur zum Teil technischer Herkunft. Ein Cyberangriff richtet sich nicht gegen die IT Ihres Unternehmens, sondern direkt gegen Ihr Unternehmen, für welches Sie haften.
Cybersecurity ist daher definitiv Chefsache! Übernehmen Sie selbst diese Verantwortung und delegieren Sie dieses Risiko nicht an die IT.
Als leidenschaftlicher Segler möchte ich die Kernaussage des vorliegenden Werks mit einem an ein Zitat von Aristoteles angelehnten Satz zusammenfassen:
„Wir können den Wind nicht ändern, aber die Segel richtig setzen.“
Cyberangriffen werden wir immer wieder ausgesetzt sein. In diesem Buch zeigen wir Ihnen, wie Sie Ihr Unternehmen mit höchstmöglicher Sicherheit für solche Turbulenzen rüsten bzw. es durch diese hindurch steuern können.
Georg Beham
Geschäftsführer
PwC Advisory Services GmbH Österreich
1Das massenhafte Versenden von Post an Empfängergruppen.
2Mittels Ransomware können Daten widerrechtlich verschlüsselt werden.
Einleitung
Georg Beham
An dieser Stelle möchte ich Ihnen das Thema Cybersecurity anhand meiner Erfahrungen und einer kurzen Geschichte dazu näherbringen.
Seit 1989 arbeite ich in der IT-Branche und konnte so die Digitalisierung österreichischer Unternehmen hautnah miterleben. In den frühen 1990er Jahren gab es nur wenige vereinzelte Computersysteme in Unternehmen. Ich selbst war zu dieser Zeit IT-Leiter einer Reisebürokette. EDV, so hieß die Disziplin dazumal, umfasste hauptsächlich das Auftragsbearbeitungssystem; E-Mails gab es keine. Es wurden Briefe geschrieben und Faxe versendet. Flüge und Pauschalreisen wurden zwar vereinzelt schon über vernetzte Software gebucht, fiel diese aus, dann war der Griff zum Telefonhörer eine rasche und effektive Backup-Lösung. Die kritischen Geschäftsprozesse liefen also entweder gar nicht über die IT und wenn, dann konnte ein Ausfall durch manuelle Verfahren ausgeglichen werden.
Diese Zeiten sind in fast allen Unternehmen, ob KMU oder Konzern, längst vorbei. Die wertschöpfenden Geschäftsprozesse sind weitestgehend IT-abhängig. Ein manuelles Verfahren gibt es im Regelfall nicht mehr.
Zudem drehte sich die Geschäftswelt in den 1990er Jahren viel langsamer. Gerade die fehlende IT-Durchdringung und die vielen Medienbrüche durch manuelle Tätigkeiten wirken im Rückblick geradezu entschleunigend. Zu dieser Zeit machten sich KMUs keine Gedanken über „Business-Kontinuität”. In großen Unternehmen wurden zumindest regelmäßig Datensicherungen durchgeführt und jährlich wurde die Wiederherstellung von Daten und Systemen nach einem Notfall geübt. Die Sicherheitsmaßnahmen fanden hauptsächlich auf technischer Ebene statt. Die größten Bedrohungen in dieser Zeit waren defekte Festplatten und dadurch verursachter Datenverlust oder Naturereignisse wie Überschwemmungen im Serverraum. Diese Bedrohungen wurden von den meisten IT-Abteilungen identifiziert und die Risiken durch technische Maßnahmen mitigiert. Dass die Informationssicherheit in der alleinigen Verantwortung der IT-Abteilung liegt, hat niemand bezweifelt.
Das Millennium änderte meine Sicht zum Thema Informationssicherheit. Ende der 1990er Jahre gab es großes Aufsehen durch das Auftreten eines Computerfehlers: des sogenannten Millennium Bugs. Es handelte sich dabei um ein Problem verursacht durch alte Computersysteme, die nur zwei Stellen für die Jahreszahlvariable im Datumsfeld reserviert hatten. Die teilweise berechtigte Angst war, dass Software nach Vollzug der Jahrtausendwende falsch rechnen und dadurch ganze Systeme am 1. Januar 2000 lahmgelegt werden würden. Der Digitalisierungsgrad war in meinem damaligen Unternehmen bereits verhältnismäßig hoch. Jeder Mitarbeiter war mit einem Computer ausgestattet und die Geschäftsprozesse liefen ausschließlich über diese – zumindest in der notwendigen Effizienz. Die Bedrohung durch den Millennium Bug war für mich und meinen damaligen verantwortlichen Vorgesetzten offensichtlich. Daher wurde ein großes IT-Projekt zur Behebung des Problems durchgeführt. Dass nicht alle Bedrohungen so einfach zu identifizieren sind, zeigt meine nächste Erfahrung. Im Mai 2000 bekam ich an einem späten Nachmittag ein E-Mail von einer Mitarbeiterin bei Microsoft, mit der ich seit einiger Zeit in einem anderen Projekt zusammengearbeitet hatte. In der Betreffzeile stand „ILOVEYOU“. Aus einem Affekt heraus öffnete ich das E-Mail in Outlook per Doppelklick, um den Text zu lesen. Dies war mein erstes und hoffentlich letztes Mal, dass ich Opfer eines Cyberangriffes wurde.
Innerhalb von nur wenigen Minuten nach Aufruf des E-Mails läutete mehrfach mein Telefon. Einige Kollegen und auch mein Vorgesetzter fragten mich nach der Bedeutung des ominösen E-Mails mit dem Betreff „ILOVEYOU“, das sie eben von mir erhalten hatten. Gemeinsam mit vielen meiner Outlook-Kontakte wurde ich Opfer des Computerwurms „Loveletter”, entwickelt von einem jungen philippinischen Programmierer. Für mich war diese – wenn auch unangenehme – Erfahrung sehr wertvoll. Die gesamte darauffolgende Nacht arbeitete ich daran, all die unfreiwillig generierten E-Mails aus dem Mailserver zu entfernen, um zu verhindern, dass Kollegen, die an diesem späten Nachmittag nicht mehr im Büro waren, am nächsten Morgen in dieselbe Falle tappen würden. Der Schaden hielt sich in Grenzen. Der Computerwurm war, verglichen mit heutzutage kursierender Schadsoftware, absolut harmlos. Der Programmierer hatte keine kriminellen Absichten; er wollte lediglich Aufmerksamkeit erregen.
Seit 2017 erlebe ich immer wieder ähnliche Situationen wie im Fall „Loveletter“. Ich treffe immer mehr neue Opfer, die durch einen Cyberangriff einen Paradigmenwechsel vollzogen haben. Sie realisieren, dass auch ihr Unternehmen im Fokus der Cyberkriminellen steht.
Diese Cyberangriffe wurden von Hackern meistens mittels sogenannter Ransomware[3], ausgeführt. Dabei handelt es sich um Schadsoftware, mit deren Hilfe Daten und Systeme in „Geiselhaft“ genommen werden können. In der Praxis bedeutet dies, dass alle Daten, die diese Schadsoftware findet, verschlüsselt werden. Den Schlüssel zum Dechiffrieren geben Cyberkriminelle gegen Lösegeldzahlung preis. Warum erinnert mich Ransomware an „ILOVEYOU“? Das Thema Cybersecurity bekommt plötzlich eine hohe Aufmerksamkeit von Vorständen und Geschäftsführern. Dachten viele bis vor kurzem noch „Mein Unternehmen ist doch unwesentlich. Was soll ein Hacker von mir wollen?”, so wird im Falle der Ransomware klar: Cyberkriminelle wollen Geld!
Die erste große Welle an Ransomware wurde durch die Schadsoftware „WannaCry“ und deren Nachfolger ausgelöst. Diese Software funktionierte wiederum nach dem Prinzip von Postwurfsendungen: Sie verbreitete sich wahllos und massenhaft auf Windows-Systemen, und zwar sowohl auf Firmen- als