Experten: Das ist die größte Cybersecurity-Gefahr 2022
Krankenhäuser, Treibstoff-Leitungssysteme, Molkereien, große Handelsketten: Im Jahr 2021 waren zahlreiche Betreiber wichtiger Systeme, kritischer Infrastruktur und Dienstleister von Cyberangriffen betroffen. Erpresser legten dabei die Firmennetze lahm und verschlüsselten Dateien im System so, dass niemand mehr darauf zugreifen und sie Lösegeld erpresst konnten. Die Software, die bei solchen Angriffen zum Einsatz kommt, wird Ransomware genannt und sie uns auch 2022 weiterhin beschäftigen.
„Das Geschäftsmodell dahinter entwickelt sich weiter“, sagt Wolfgang Lauer, österreichischer Country Manager des Sicherheitsdienstleisters Sophos im Gespräch mit der futurezone. „Die Bedrohungsszenarien professionalisieren sich immer mehr und oft schließen sich Gruppen zusammen. Ransomware-Angriffe sind ein eigener Wirtschaftszweig geworden, die Softwareentwicklung wird im negativen Sinne betrieben“, so Lauer.
Angriffe als Dienstleistung
Cyberkriminelle bieten verschiedene Elemente für einen Angriff "as-a-Service" wie eine Dienstleistung an. Sie stellen dabei genaue Anleitungen, Werkzeuge und Techniken zur Verfügung, mit denen weitere Gruppen ihre Ransomware-Attacken durchführen können, heißt es im "Threat Report" von Sophos. Bereits 2021 konnte von den Sicherheitsforscher*innen beobachtet werden, wie Kriminelle Schadcodes und Infrastruktur vermietet haben, um potentielle Opfer zu finden und anzugreifen.
"Das Geschäftsmodell, das für die Cyberkriminellen hinter Ransomware steht, ist derzeit leider immer noch zu
einträglich, als dass es in der nächsten Zeit verschwinden könnte. Die Bedrohung wird aber auch immer noch viel zu oft zu einem echten Schadensfall, weil immer noch zu wenig Bewusstsein dafür existiert, wie man sich im digitalen Raum sicher verhält", bestätigt auch Wolfgang Rosenkranz vom CERT.at, der "Internet-Feuerwehr" Österreichs, die Unternehmen regelmäßig vor aktuellen Bedrohungen warnt.
„Bei den Geschäftsführer*innen und Vorständen gibt es nach wie vor oft erst ein zartes Bewusstsein für die Bedrohungen, und oft wird nicht der Ansatz verfolgt, der hier notwendig wäre, um möglichst nicht angegriffen zu werden“, warnt Lauer. „Vielen Verantwortlichen ist noch immer nicht bewusst, was es bedeutet, wenn ihr Unternehmen wochenlang stillsteht“, sagt Lauer von Sophos.
Prominente betroffene Fälle aus 2021
Doch genau dies ist etwa dem Treibstoff-Leitungsbetreiber Colonial Pipeline passiert, bei dem eineinhalb Wochen die Hauptleitungen stillstanden und es zu Engpässen bei der Treibstoffversorgung in manchen US-Staaten kam. Auch bei Salzburger Großmolkerei Salzburgmilch und der Handelskette Media Markt kam es zu Produktionsstopps und eingeschränktem Service.
Bei Salzburgmilch waren etwa von den Cyberkriminellen alle Passwörter geändert worden, so dass es zu einem Totalausfall der IT-Systeme kam. Auch Bestellungen waren dadurch nicht mehr möglich. Beim Media Markt haben die Erpresser zunächst 240 Millionen US-Dollar Lösegeld verlangt, bis die Summe auf 50 Millionen verringert worden war.
Managed Services für Unternehmen
„Für Unternehmen ist es wichtig, dass sie auf derartige Angriffe nicht nur reagieren, sondern sich aktiv davor schützen“, erklärt Lauer. Deshalb sei es wichtig, dass Infrastruktur prophylaktisch rund um die Uhr überwacht wird, um Eindringliche zu identifizieren. „Cyberkriminelle sind oft wochen- oder monatelang in den betreffenden IT-Systemen unterwegs, um alles auszukundschaften. Wenn sie am Tag X, meistens freitags oder samstags, zuschlagen, wissen die Täter*innen ganz genau, was sie tun und erst dadurch entstehen die große Schäden“, sagt Lauer.
Sophos bietet seit zwei Jahren einen derartigen Schutz als „Managed Services“-Dienstleistung an, bei der genau darauf gesetzt wird, IT-Systeme zu schützen. „Dieser Trend wird 2022 massiv zunehmen“, glaubt Lauer. Bisher habe man in zwei Jahren rund 6000 Kund*innen gewonnen, heißt es seitens Sophos. Oft sei es für Unternehmen nämlich schwierig, geeignete Mitarbeiter*innen zu finden, und gerade bei IT-Sicherheit sei es wichtig, dass Expert*innen die Systeme regelmäßig beobachten und sofort reagieren, wenn etwas Verdächtiges im Firmennetzwerk zu sehen sei.
Dass es einen akuten IT-Fachkräftemangel im Bereich Security gäbe, bestätigt auch Rosenkranz vom CERT.at. "Je komplexer die IT wird, umso schwieriger wird es, für diese IT-Expert*innen zu finden, die Angriffe erkennen und abwehren können. Wir haben schon 2021 gesehen, dass es nicht mehr ausreichend Expert*innen gibt, um rasch auf Angriffe reagieren zu können und 2022 ist noch keine Verbesserung dieser Situation in Sicht", so Rosenkranz.
Frühzeitiges Erkennen der Eindringlinge verhindert das Schlimmste
„Man muss aber in Echtzeit beobachten, was passiert, um rasch eine Quarantäne für bestimmte Dienste und Files aussprechen zu können, wenn man einen Eindringling entdeckt hat“, sagt Sebastian Kaiser, IT-Experte bei Sophos. Ransomware-Angriffe haben sich als äußerst lukrativ erwiesen, da viele Firmen nicht ausreichend vorbereitet seien und daher auch das Lösegeld bezahlt werde.
„Cyberkriminelle springen außerdem auf jede Schwachstelle im System auf, um damit Geld zu erpressen. Ein Eindringling lässt sich aber in der Regel frühzeitig erkennen, mit einfachen Mitteln drastisch reduzieren und sogar stoppen“, so Kaiser. „Wir haben die Werkzeuge dafür, aber wir müssen sie auch nutzen“, so der IT-Experte. Firmen hingegen würden häufig das Budget, das sie für IT-Sicherheit einplanen sollten, auf „nächstes Jahr“ hinausschieben.
Statt Lösegeld zahlen Expert*innen hinzuziehen
Wer dies tut und von einer Ransomware-Attacke getroffen wird, bezahlt dies meistens teuer: Denn neben Lösegeld-Forderungen müssen dann häufig IT-Notfallteams ausrücken, um die Probleme wieder gerade zu biegen. Auch dies bietet Sophos als Dienstleistung an. „Hier stellen wir im Einsatz häufig fest, dass es im Firmennetzwerk schon 30 Tage vorher Auffälligkeiten gegeben hat, die aber ignoriert worden sind“, sagt Kaiser.
Statt sofort auf Lösegeld-Forderungen einzugehen, sei es aus Sicht der Sophos-Expert*innen aber wichtig, den Weg zu Sicherheitsspezialisten zu suchen, um den Angriff zu analysieren und Lösungen zu suchen, wie man da wieder rauskommt. Das sei der „sicherere Weg“. „Erst nach einer Bestandsanalyse sollte man entscheiden, wie man weiter vorgeht, rät Kaiser. „Speziell kleinere Betriebe greifen schnell zu Zahlungen. Das schützt aber nicht vor Wiederholungen und schon bald können die nächsten Erpresser die Lücken ausnutzen“, warnt Lauer.
Denn in speziellen Internet-Foren, in denen sich Cyberkriminelle austauschen, werden sämtliche Sicherheitslücken zum Verkauf angeboten, um Firmennetzwerke zu infiltrieren. „Wenn man sich Zugriff verschaffen kann, wird das ausgenutzt werden“, sagt Kaiser. Firmenchefs seien daher gut darin beraten, das Thema IT-Sicherheit 2022 ernster zu nehmen als bisher.