Cyber-Attacken erreichen neues Risikolevel

Jüngste Cyber-Angriffe zeigen es deutlich: Die Täter nutzen nicht nur Einfallstore, die ihnen der coronabedingte Digitalisierungsschub eröffnet. Sie setzen auf künstliche Intelligenz, schrauben ihre Lösegeldforderungen hoch und machen selbst vor IT-Schmieden keinen Halt. Dabei ist gerade dort von einem professionellen Umgang mit Cyber-Security auszugehen.

Am Tag der Deutschen Einheit infiltrierten Cyber-Kriminelle das IT-Netzwerk der Software AG mit einer Schadsoftware. Das Darmstädter Unternehmen musste deshalb seine internen Systeme herunterfahren. Selbst nach einigen Tagen konnte die Malware nicht komplett isoliert werden. Klar wurde aber, dass sowohl Daten von betrieblichen Servern als auch von Mitarbeiter-Notebooks entwendet wurden. Dies berichten Medien unter Verweis auf Adhoc-Meldungen der Aktiengesellschaft.

Täter forderten Lösegeld in zweistelliger Millionenhöhe

Das IT-Unternehmen soll mit einer Lösegeldforderung in Höhe von 23 Millionen US-Dollar konfrontiert worden sein, ging auf den Erpressungsversuch aber offenbar nicht ein. Hierzu raten Sicherheitsbehörden wie das US Department of the Treasury’s Office of Foreign Assets Control (OFAC) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Grund: Cyber-Banden wählen zahlungskräftige Unternehmen teils bewusst aus, um mit dem Geld andere kriminelle Aktivitäten, terroristische Vereinigungen oder „Schurkenstaaten“ zu finanzieren. In bestimmten Fällen könnten derartige Zahlungen sogar als Straftat gewertet werden.

Gleichwohl laufen viele Angriffe mit Verschlüsselungstrojanern in der Anfangsphase automatisiert ab, sodass den Kriminellen zunächst nicht bekannt ist, wie groß das attackierte Unternehmen ist. Folglich könnte es dort aus wirtschaftlicher Sicht opportun sein, eine im Vergleich zum kompletten Neuaufbau der IT-Infrastruktur geringere Lösegeldforderung zu akzeptieren. Fakt ist aber, dass Cyber-Versicherungen keine Deckung für Lösegeldzahlungen bieten, sobald behördliche Auflagen oder gesetzliche Regelungen solche Zahlungen untersagen.

Maschinenbauer traf gezielte Attacke mit einem Krypto-Trojaner

Auch für Philip Schmersal stellte sich die Frage, ob ein möglicherweise wochenlanger Produktions- und Lieferausfall riskiert werden sollte. Der geschäftsführende Gesellschafter der K. A. Schmersal GmbH musste vor wenigen Monaten infolge eines Cyber-Angriffs sämtliche Systeme herunterfahren. Sieben Werke und über 50 Niederlassungen weltweit waren anschließend für mehrere Tage nicht mehr geschäftsfähig. Alle Kommunikationskanäle, sei es per Internet, Mail oder Telefon, waren unterbrochen, erinnert sich Schmersal in einem Podcast-Interview.

Die beauftragten Forensiker entdeckten, dass die Täter einen neuartigen Krypto-Trojaner mittels künstlicher Intelligenz programmiert hatten. Die Ransomware verbreitete sich im Active Directory, also der zentralen Zugriffsrechteverwaltung. Da sich der Schädling stets veränderte, konnten ihn gängige Virusscanner nicht erkennen, sagt Schmersal und spricht von einem gezielten Angriff auf das Unternehmensnetzwerk. Der Hauptschaden in „größerer siebenstelliger Höhe“ entstand durch die erforderliche Forensik, IT-Beratung, das Aufsetzen einer komplett neuen IT-Infrastruktur und nicht zuletzt durch die damit einhergehende Betriebsunterbrechung.

Vermehrtes Arbeiten im Homeoffice verstärkt Cyberkriminalität

Heute hat der geschäftsführende Gesellschafter keinen Zweifel, dass es jedes Unternehmen treffen kann, auch kleine Handwerksbetriebe. Dies zeigen ihm auch zahlreiche Gespräche mit anderen Geschäftsführern, die Opfer solcher Angriffe wurden, diese aber nicht öffentlich machten. Ein Plus von 15 Prozent auf 100.514 Cybercrime-Fälle registrierte das Bundeskriminalamt (BKA) für 2019. Das sind rund 275 Vorfälle pro Tag. Als wesentlichen Treiber benannte das BKA die Ausweitung von Homeoffice-Aktivitäten, beispielsweise durch Angriffe auf Fernwartungssysteme.

Über einen Citrix-VPN-Server verschafften sich Cyberkriminelle Zutritt in das Netzwerk der Universitätsklinik Düsseldorf. Die auch als „Shitrix“ bezeichnete Software wird typischerweise dafür eingesetzt, externen Mitarbeitern Zugriff auf das Betriebsnetz zu eröffnen. Das Tückische: Die (Verschlüsselungs-)Trojaner sind mit einer „Backdoor“ ausgestattet, über die sich die Täter weiterhin einhacken können, wovor auch das BSI warnte. Die nach der Systemkompromittierung aufgespielten Sicherheitspatches stellen damit nur eine scheinbare Sicherheit dar – wie auch der Cyberangriff auf das Krankenhaus zeigte.

Organisatorische Abläufe für den Ernstfall festlegen

Angesichts dieser dynamischen Entwicklungen sind Maßnahmen zur Prävention wichtiger denn je. Gleichwohl dürften umfassende Investitionen in die betriebliche IT im aktuell wirtschaftlich herausfordernden Umfeld vielfach an Grenzen stoßen. Mit Blick auf die tendenziell steigenden Schadenbelastungen kommen Unternehmen aber nicht umhin, die wichtigsten technischen Sicherheitsvorkehrungen durchzuführen und die Betriebsorganisation auf einen Ernstfall vorzubereiten: Wer muss im Ernstfall welche Schritte einleiten und wen mit welcher Zielsetzung anrufen? In welcher Form macht eine Cyberversicherung Sinn? Aon unterstützt Unternehmen beim Thema Cyber Security – angefangen bei der Risikoevaluierung mit webbasierten Tools unter Berücksichtigung anerkannter Informationssicherheitsstands, Business Impact Analysen, Optimierungsvorschlägen für die IT-Sicherheit, der Erarbeitung von Krisenplänen bis hin zur Forensik im Angriffsfall.

Zurück zur Startseite
Konstantin Bittig
Director Cyber Risk & Security, D-A-CH Cyber Solutions
+49 208 7006 2362

Thomas Pache
Head of Cyber Specialty (DACH) Commercial Risk Solutions | Cyber Solutions
+49 40 3605 2693

Newsletter von „Aon bloggt”