Archiv/2016

MittelPunkt.

Das Magazin der BayernLB

Tatort Wirtschaft

Da ist der Wurm drin

Computerkriminalität ist die Achillesferse der modernen Welt. Doch die Wirtschaft ist den Attacken nicht wehrlos ausgeliefert. Die besten Strategien, um sich vor dem virtuellen Raub zu schützen.
von Stefan Schmortte

Der Chef ahnt nichts Böses, als er die E-Mail frühmorgens in seinem Postfach öffnet. Warum auch? Schließlich sucht er per Stellenanzeige schon länger nach Verstärkung für sein Ingenieurbüro. Und wie sich der Bewerber in seinem betont freundlichen Anschreiben präsentiert, klingt durchaus vielversprechend.

Vertrauensvoll klickt der Unternehmer auf den mitgesandten Link, um die Bewerbungsunterlagen einzusehen. Und das ist dann auch schon das Letzte, was er an diesem Morgen unternimmt. Sein Bildschirm flackert noch einmal kurz auf – danach geht nichts mehr. Stattdessen liest er nun die Erpresser-Botschaft auf seinem Monitor: „Ihre Dateien wurden verschlüsselt und sind ohne eine spezielle Schlüsseldatei nicht wiederherstellbar." Sollte das verlangte Lösegeld nicht umgehend auf dem angegebenen Bitcoin-Konto eingehen, werde man private und geschäftliche Dokumente im Internet veröffentlichen.

Neu ist solche Ransomware, die ganze Firmennetzwerke binnen kürzester Zeit lahmlegen kann, zwar nicht. Aber die Tatsache, dass die Computergangster nach den großen Konzernen nun vermehrt auch Klein- und Mittelstandsbetriebe zum Angriffsziel erklärt haben, schreckt selbst die Landeskriminalämter auf. Bundesweit warnen sie seit Ende vergangenen Jahres vor dem Computervirus Chimera – dieser besonders perfiden Betrugsmasche, die als Bewerbung getarnt auf Raubzug geht. Ein Beispiel, das zeigt, wie allumfassend die Wirtschaft mittlerweile ins Fadenkreuz der Kriminellen geraten ist.

Illustration: Ralph Bittner

Schon fast 450 Milliarden US-Dollar kosten die Folgeschäden, die Hacker jährlich anrichten – mehr als mit dem Handel von Marihuana, Kokain und Heroin weltweit verdient wird. „Computerkriminalität ist die Achillesferse unserer modernen Welt", sagt Melanie Kehr, Bereichsleiterin Group IT bei der BayernLB. „Die Unternehmen müssen die Sicherheitsarchitektur ihrer Informationstechnik deshalb ständig den neuesten Herausforderungen anpassen."

Das ist die Schattenseite der fortschreitenden Digitalisierung. Während Techniker und Softwareingenieure noch daran arbeiten, die Welt zum Internet der Dinge zu verknüpfen, wittern die Cyber-Gangster schon ihre nächste große Chance. Denn es sind die gleichen elektronischen Informationen, verpackt in Bits und Bytes, die den Fluss der Wirtschaft immer effzienter gestalten, aber auch immer verletzlicher machen.

Kaum ein Monat vergeht, an dem nicht ein neuer Angriff publik wird. Und nur selten gelingt es den Behörden, die Täter zu stellen. So wie im Fall des Finanzdienstleisters Heartland Payment Systems – bis heute einer der größten Hackerangrife in den USA.

Drahtzieher ist ein Mann namens Albert Gonzalez, dessen Geschichte beinahe so klingt wie für das Kino erfunden.

Bereits als 14-Jähriger erregt er die Aufmerksamkeit des FBI, weil es ihm gelingt, die Internetseiten der NASA zu hacken. Anfangs macht er das nur aus Spaß, bis er erkennt, dass sich damit jede Menge Geld verdienen lässt. „Get rich or die trying" – werde reich oder stirb dabei, es zumindest zu versuchen. So lautet ab sofort die Devise seines Lebens. 2003 wird er erstmals verhaftet, als er mit gefälschten Kreditkarten an einem Automaten Geld abheben will. Er schließt einen Deal mit den Behörden ab, lässt zwei Dutzend Hacker aufliegen und kommt ungeschoren davon. Für zeitweise 75.000 Dollar im Jahr arbeitet er nun als Informant für den Geheimdienst.

Sein Doppelleben führt Gonzalez trotzdem fort und dringt schließlich in die Datenbanken von Heartland Payment Systems ein. Der Verlust ist gewaltig. Mithilfe zweier angeblich russischer Komplizen erbeutet er 130 Millionen Kreditkarteninformationen. Als er 2010 in Miami geschnappt wird, taxieren die Ankläger den Schaden für das Unternehmen auf mehr als 110 Millionen Dollar. Das Gericht verurteilt Gonzalez zu 20 Jahren Gefängnis – die härteste Strafe, die in den USA für Datenmissbrauch jemals verhängt wurde.

Illustration: Ralph Bittner

Abschreckend wirkt das Urteil allerdings nicht. In einer Branche, die für ihre heimtückischen Raubzüge weder Brechstangen noch Revolver nutzt, versagen die Methoden der klassischen Fahndung:

• Die Hacker, die etwa 2011 das Playstation-Netzwerk von Sony angreifen und dabei die persönlichen Daten von 80 Millionen Abonnenten stehlen, sind bis heute nicht gefasst.

• Und auch die Betreiber des US-Seitensprung-Portals Ashley Madison, erst im August 2015 Opfer eines besonders delikaten Cyber-Angriffs, haben bisher keine Ahnung, wer die Millionen sensibler Nutzerdaten im Netz veröffentlicht hat, nachdem sie sich weigerten, ihre Dating-Plattform freiwillig zu schließen. Nur die Kläger, die sich im Internet in der Folge mit vollem Namen, ihren Adressen und sexuellen Vorlieben bloßgestellt sahen und jetzt auf Schadenersatz pochen, sind den Geschäftsführern mittlerweile bekannter als ihnen lieb ist.

Unabhängig davon, worauf es die Computergangster im Einzelfall abgesehen haben – ob auf die Kreditkartennummern von Einzelhandelskunden oder wie bei Ashley Madison auf Erpressung aus angeblich moralisch lauteren Motiven –, eine Schwachstelle im System finden sie fast immer. Und die Gefahr erwischt zu werden, geht für sie in aller Regel gegen null. „Stellen Sie sich vor, wie hoch das Risiko ist, bei einem Banküberfall oder einem Einbruch geschnappt zu werden", sagt Hans-Peter Bauer, Deutschland-Chef des Sicherheitssoftware-Anbieters McAfee. „Sie müssen ja persönlich am Tatort sein." Bei einem Hackerangriff im Internet hingegen lassen sich die Spuren zum virtuellen Ort des Verbrechens kaum zurückverfolgen.

Das Problem ist in den Chefetagen deutscher Unternehmen wohl bekannt. Fast 90 Prozent der von der Wirtschaftsprüfungsgesellschaft KPMG in einer repräsentativen Studie jüngst befragten Entscheider geben an, dass ganz allgemein ein „hohes" oder sogar „sehr hohes Risiko" bestehe, zum Opfer von E-Crime zu werden. Allerdings glauben nur 39 Prozent, künftig selbst ins Visier der Verbrecher zu geraten. „Wir können zwei Klassen von Unternehmen unterscheiden", sagt Alexander Geschonneck, Leiter der KPMG-Forensik in Berlin. „Jene, die bereits von E-Crime betroffen sind, und jene, die es noch nicht erkannt haben."

Illustration: Ralph Bittner

Dabei gibt es mittlerweile ausreichend viele Möglichkeiten, um sich vor dem kriminellen Zugrif zu schützen. So bietet etwa die ADVA Optical Networking AG für ihre Produkte seit vorigem Jahr unter dem Namen „ConnectGuard" eine Funktionalität an, die es Unternehmen bei der Kopplung ihrer Rechenzentren erlaubt, riesige Datenmengen auf sicherem Weg von einem Standort zum anderen zu versenden – ohne nennenswerte Latenz und ohne, dass Hacker eine Chance haben. Vereinfacht gesagt werden die Daten durch sogenannte Multiplexer in Lichtimpulse umgewandelt, umfangreich verschlüsselt und erst beim Empfänger wieder decodiert. „Daten müssen heute nicht nur im eigenen Rechenzentrum geschützt werden", sagt Michael Ritter, Vice President Technical Marketing & Analyst Relations. „Mit dem Datenaustausch über mehrere Standorte hinweg oder der zunehmenden Verlagerung von unternehmenskritischen Informationen in die Cloud ist es entscheidend, dass diese Daten auf wirklich allen Übertragungswegen sicher sind."

Die technischen Lösungen sind vorhanden, nur an der Umsetzung mangelt es vielerorts noch, auch im privaten Bereich. Für eine De-Mail-Adresse beispielsweise, die sichere Alternative zur konventionellen E-Mail, haben sich bislang nur gut zwei Millionen Privatnutzer in Deutschland registrieren lassen. „Im Geschäftskundenbereich sieht es deutlich besser aus, aber Nachholbedarf gibt es auch hier", sagt Jürgen Vogler, Geschäftsführer der Mentana Claimsoft GmbH, einem Tochterunternehmen der Francotyp Postalia und 2012 als bundesweit erster De-Mail-Anbieter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifziert. „Wer heute noch vertrauliche Dokumente per E-Mail verschickt, ohne Verschlüsselung, identifzierbare Sender- oder Empfängerkennung und auch ohne rechtsgültigen Versand- und Empfangsnachweis, muss sich nicht wundern, wenn seine Daten mitgelesen oder im schlimmsten Fall missbräuchlich genutzt werden."

Illustration: Ralph Bittner

Ohnehin ist es oft nur menschliche Unachtsamkeit, die es den Cyber-Gangstern so verdammt leichtmacht. Tausende Handys, Laptops oder USB-Sticks werden jeden Tag irgendwo liegengelassen. Und keiner weiß, in welche Hände die darauf abgespeicherten Informationen fallen. „Das beste IT-Sicherheitsnetz nutzt in der Praxis wenig, wenn Mitarbeiter fahrlässig mit firmenrelevanten Daten umgehen oder auf eine Phishingmail hereinfallen", sagt Heiko Jacob, Partner der Beratungsgesellschaft Baker Tilly Roelfs und spezialisiert auf Audit- und IT-Advisory. „Die Hacker gehen dabei immer gewiefter vor. Sie spionieren das persönliche Umfeld ihrer Opfer aus, machen sich deren Autoritätshörigkeit zunutze oder täuschen Identitäten vor, die gar nicht existieren."

So wie etwa im Fall von Hans Frederick. Unter diesem Namen stellte sich mal ein Security-Manager vor, der deutsche Unternehmen vor Angriffen auf das Emissionshandelssystem ETS warnte. „WICHTIG", schrieb er. „Wenn Sie eine E-Mail erhalten, in der Sie gebeten werden, Ihren Benutzernamen und Ihr Passwort anzugeben, antworten Sie NICHT. Wir würden niemals nach solchen Daten fragen."

Nur weil das Handelssystem gerade mehrfach ins Visier von Computergangstern geraten sei, sollten die angeschriebenen Manager ihre Eingaben sicherheitshalber mit einem kryptografschen Schlüssel codieren.

Um den zu erhalten, bat Hans Frederick, sich auf einer eigens eingerichteten Webseite zu registrieren – ganz unkompliziert mit Benutzernamen und Passwort. Etliche Manager fielen auf den plumpen Trick herein, gaben ihre Identifikationen preis und machten den angeblichen Security-Manager reich. Blitzschnell wurden Emissionsrechte deutscher Unternehmen im Wert von 3,2 Millionen Euro verkauft.

„Absolute Sicherheit kann es natürlich niemals geben", sagt Marc Rennhard, Professor für Informationstechnologie an der Züricher Hochschule für Angewandte Wissenschaften. „Aber die Unternehmen müssen sensibilisierende Maßnahmen ergreifen, damit ihre Beschäftigten die nötige Sorgfalt im Umgang mit Systemen, Daten und Prozessen entwickeln. Und sie müssen dafür sorgen, die eigenen Sicherheitshürden so weit zu erhöhen, dass sie als potenzielles Angriffsziel möglichst unattraktiv werden."

Illustration: Ralph Bittner

Wahlweise können die Unternehmen ihre Kronjuwelen natürlich auch gleich in kompetente Hände legen. Ein Service, den beispielsweise die DATEV anbietet – eine Genossenschaft mit rund 40.000 Mitgliedern, die auf IT-Dienstleistungen für Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und deren Mandaten spezialisiert ist. „Unser Online-Datensicherungssystem ermöglicht es den Kunden, ihre Datenbestände automatisch und sicher verschlüsselt über Nacht an unser Rechenzentrum zu übertragen", sagt DATEV-Chef Dieter Kempf. „Einen besseren Schutz vor Datendiebstahl oder -verlust kann es kaum geben. Die Dateien lagern extern, sind jederzeit wieder herstellbar und selbst im unwahrscheinlichen Szenario eines Ausfalls kann nichts verloren gehen, weil eine komplette zweite Serverlandschaft bei uns dafür sorgt, dass alle Daten doppelt abgesichert sind."

Investitionen in eine solch fundierte Sicherheitsarchitektur sind sinnvoll, weil Cyber-Kriminelle schnell auf andere Ziele ausweichen, wenn sie auf ein Netz mit durchdachter Abwehrstrategie treffen. Leichtere Beute finden die Angreifer zuhauf. Und die Liste ihrer Ziele könnte bald sogar noch sehr viel länger werden. Schon warnen Experten davor, dass die Hacker künftig nicht nur Kunden- und Kreditkartendaten stehlen, sondern auch die Strom- und Wasserversorgung sabotieren könnten.

„Alles, was wegen Geld attackiert werden kann, wird attackiert werden", sagt Jewgeni Kaspersky, Chef der gleichnamigen Sicherheitsfirma und weltweit einer der profundesten Kenner für Computersicherheit. Es sei „nur eine Frage der Zeit", bis Kriminelle „das gesamte Internet der Dinge" unter Beschuss nehmen würden, auch unsere Smart Cars und Smart Homes.

Szenarien, die eine Welt beschreiben, in der Computergangster die Energieversorgung lahmlegen, so wie erst kürzlich in der Ukraine geschehen, erinnern an düstere Katastrophenfilme. Aber spätestens seit bekannt wurde, dass ein Computerwurm namens Stuxnet selbst in iranische Atomanlagen eindringen konnte, markieren nur noch die Grenzen der Vorstellungskraft die Dimensionen des möglichen Ernstfalls.

Das haben mittlerweile auch die Parlamentarier erkannt und im Juli 2015 das neue IT-Sicherheitsgesetz beschlossen. In einem ersten Schritt werden nun die Betreiber kritischer Infrastrukturen – darunter die Energie- und Wasserversorger – darauf festgelegt, Mindeststandards beim Schutz ihrer Datennetze einzuhalten und Vorfälle umgehend an das BSI zu melden. In einem zweiten Schritt sollen dann auch neue Standards für Transport- und Verkehrsdienstleister, Banken und Versicherungen definiert werden.

„Das Gesetz ist der richtige Impuls", sagt Jörg Freiherr Frank von Fürstenwerth, Vorsitzender der Hauptgeschäftsführung des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). „Die Bereiche der Wirtschaft, deren Ausfall das gesamte gesellschaftliche Leben stark einschränken würde, werden zu Recht besonders in die Pflicht genommen."

Illustration: Ralph Bittner

Zwar unterliegen Versicherer und Banken schon länger besonderen IT-Sicherheitsregeln, die etwa von der Bundesanstalt für Finanzdienstleistungen (BaFin) eingefordert werden. Doch ausruhen wollen sich die Anbieter darauf nicht. „Die Sicherheit unserer IT-Systeme bleibt eine der großen Herausforderungen", sagt Fürstenwerth. „Ich befürchte aber, das ist leider noch nicht überall angekommen. Viele kleine und mittlere Unternehmen nehmen die Bedrohung noch immer nicht ernst genug."

Sollten sie aber. Es existieren mittlerweile Marktplätze, auf denen Schadprogramme gehandelt werden wie anderswo Briefmarken oder Bücher: eine Art eBay für Kriminelle. Alles ist dort zu haben: Angriffssoftware, Viren oder sogenannte Phishing-Programme. Hauptabnehmer sind gewöhnliche Kriminelle, aber nicht hinter jeder Cyber-Attacke müssen sich die üblichen Verdächtigen verbergen. „Staaten wie Russland oder China machen keinen Hehl daraus, ihre Geheimdienste zur Förderung der heimischen Wirtschaft einzusetzen", sagt Florian Seitner vom Cyber-Allianz-Zentrum, einer Spezialeinheit beim Bayerischen Landesamt für Verfassungsschutz. „Schwer erarbeitete Technologievorsprünge können für die betroffenen Unternehmen so mit einem Schlag zunichtegemacht werden."

Cyberwar heißt der martialische Begriff dafür, die Fortführung des Kriegs mit den Mitteln der Informationstechnik. Doch welche Maßnahmen sollen die Unternehmen ergreifen, um diesen Krieg für sich zu entscheiden? Wie können sie sich gegen Wirtschaftsspionage und Computergangster wirksam schützen? „Man muss denken wie ein Hacker", sagt KPMG-Forensik-Experte Geschonneck. „Man muss die Sicherheitslücke herausfinden, indem man sich selbst wie ein Angreifer durch das zu testende IT-System bewegt." Solche Penetrationsexperimente, mit denen sich die Sicherheitsexperten selbst auf krumme Wege begeben, um mögliche Schwachstellen zu identifizieren, sind heute längst gang und gäbe.

Die Ruhr-Universität Bochum etwa bietet für ihre Studenten in der Fachrichtung Informationstechnik regelmäßig ein „Hackerpraktikum" an. Und auch an der Fachhochschule Aachen lernen die Security-Manager von morgen, wie sich ganz legal eine Firmenwebseite angreifen lässt.

„Nur wer weiß, wie man in die Systeme eindringt, kann Technologien entwickeln, die eben das verhindern", sagt Walter Kirchmann, Geschäftsführer der FinanzInformatik Technologie Service GmbH, dem zentralen IT-Infrastrukturdienstleister der BayernLB. „Wir selbst führen regelmäßig solche simulierten Angriffe mithilfe externer Dienstleister durch, um die Immunität unserer Systeme zu testen."

Und wenn trotzdem etwas Unvorhergesehenes passiert? Wenn die beste Firewall den Angreifern nicht standhält? Oder sich eine Lücke im System auftut, die kein Test zuvor simuliert hat? „Eine Cyber-Versicherung kann eine robuste IT-Security keinesfalls ersetzen", sagt Chris Fischer Hirs, Vorstandschef des Industrieversicherers Allianz Global Corporate & Specialty. „Aber sie schafft eine zweite Verteidigungslinie, um die negativen Folgen von Cyber-Angriffen abzufedern."

Auch wenn derzeit erst weniger als zehn Prozent der Unternehmen eine solche Police abgeschlossen haben, erwartet Hirs in den kommenden zehn Jahren einen regelrechten Boom für diesen speziellen Versicherungsschutz. Das Prämienaufkommen, so seine Prognose, wird sich bis 2025 glatt verzehnfachen – auf dann mehr als 20 Milliarden US-Dollar. Ebenfalls ein Indiz dafür, wie das Risikobewusstsein in den Unternehmen langsam wächst.

Illustration: Ralph Bittner

Die größte Schwachstelle allerdings ist und bleibt der Mensch. Das weiß auch Dieter Kempf aus leidvoller Erfahrung. Der noch bis April amtierende Vorstandschef des Nürnberger IT-Dienstleisters DATEV und Ex-Präsident des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien, kurz Bitkom, sitzt im Mai vorigen Jahres im ICE auf dem Weg zu einem Sicherheitskongress in Bonn, als ihm auf einem Zwischenstopp sein Blackberry gestohlen wird. Ausgerechnet ihm, dem höchsten IT-Repräsentanten Deutschlands.

Da hält er jahrelang Vorträge darüber, wie sich die mobile Kommunikation sicherer machen lässt, und dann wird gerade er zum Opfer. „Ich habe mich am meisten über mich selbst geärgert", sagt er. Immerhin: Die Täter dürften mit seinem Handy nicht viel anzufangen gewusst haben. Kempf hatte sein Blackberry mit einem komplizierten, neunstelligen Zugriffscode gesichert und auch den Zugang ins Firmennetzwerk gesperrt.

Eine relativ simple Vorsichtsmaßnahme, aber trotzdem nicht sehr weit verbreitet. Das beliebteste Passwort der Internetnutzer – so offenbart es die jüngste Statistik der US-Firma SplashData, die regelmäßig eine Hitparade der erschreckend einfallslosen Zugangscodes veröffentlicht – lautet wie schon in den Jahren zuvor: 123456.