Was 2023 die größte Cyberbedrohung sein wird

Erpresser*innen, die Daten stehlen und Festplatten verschlüsseln und anschließend Lösegeld fordern, damit sie die sensiblen Daten nicht weiter verkaufen: Mit diesem Szenario war 2022 nicht nur die Kärntner Landesregierung konfrontiert, sondern auch noch mindestens eine österreichische Gemeinde, eine steirische Therme, ein deutscher Wasserzähler-Hersteller, der in Österreich aktiv ist, sowie eine bekannte Forschungseinrichtung.

Die Kärntner Landesregierung ist im Mai 2022 drauf gekommen, dass sich Cyberkriminelle monatelang in ihren IT-Systemen umgesehen und wertvolle Daten gestohlen haben. Im Anschluss wurde die Landesregierung mit einer Lösegeldforderung konfrontiert. So oder so ähnlich laufen auch aktuell noch sogenannte „Ransomware“-Angriffe ab, bei denen es den Erpressern darum geht, Lösegeld zu bekommen – dafür, dass sie Festplatten wieder entschlüsseln und gestohlene Daten nicht im Darknet an den Höchstbietenden weiterverkaufen.

2023 im Fokus: Gemeinden und kleinere Betriebe

„Derartige Angriffe kommen und gehen in Wellen“, erklärt Otmar Lendl, Cybersicherheitsexperte beim Computer Emergency Response Team Austria (CERT.at). Künftig könnten vermehrt kleinere Firmen und Institution ins Visier der Hacker geraten, so Lendl. Sie haben oft nur kleine IT-Abteilungen und deswegen nur eingeschränkt Ressourcen für umfangreiche Schutzmaßnahmen. „Es ist zu erwarten, dass es 2023 verstärkt Gemeinden erwischen wird“, beschreibt Lendl. Deshalb werden die Erpresser in Österreich auch dieses Jahr viele Betriebe herausfordern, so der Experte.

Umso wichtiger ist es für Betriebe, zu verstehen, wie die Erpresser bei ihren kriminellen Geschäften eigentlich vorgehen. „Ransomware bleibt 2023 die größte Bedrohung“, sagt auch Michael Veit, IT-Sicherheitsspezialist bei Sophos, einem Anbieter für Sicherheitslösungen. Veit erklärt, dass Cyberkriminelle meist schon monatelang im Firmennetz unterwegs sind, bevor sie am Ende Daten verschlüsseln und Lösegeld erpressen.

Verstehen, wie die Kriminellen vorgehen

„Zuerst sehen sich die Kriminellen vorsichtig im Firmennetzwerk um. Dann stehlen sie geschäftsrelevante Daten zu Projekten, Kund*innen und Entwicklungen. Die Verschlüsselung der Daten mit einer Ransomware ist der allerletzte Schritt vor der Erpressung“, erklärt Veit, denn ab diesem Zeitpunkt weiß der Betrieb, dass jemand ins Netzwerk eingedrungen ist.

Dadurch haben die Cyberkriminellen auch zwei Erpressungswege: Einerseits stehen Firmen unter Druck, weil sie wieder Zugriff auf die Daten erlangen wollen, andererseits will niemand, dass Geschäftsgeheimnisse verkauft oder an Dritte weitergegeben werden. „Für Firmen ist das eine Katastrophe. Die IT-Systeme sind lahmgelegt, und müssen komplett neu aufgebaut werden - und die Daten weg“, so Veit. 

Eindringlinge tarnen sich als Systemadministratoren

Da man zu diesem Zeitpunkt nicht genau weiß, wie lange die Angreifer genau im System waren und was für Daten diese eigentlich gestohlen haben, müsse man bei den Back-ups, auf die man zurückgreift, oft „sehr weit in die Vergangenheit“ gehen, sagt der IT-Experte. Damit seien wichtige, aktuelle Geschäftsdaten möglicherweise nicht mehr zu retten und ein hoher wirtschaftlicher Schaden möglich, so der Experte. Außerdem sei es nahezu unmöglich, zu identifizieren, welche Daten genau gestohlen wurden.

„Das Problem daran: Es ist technisch gesehen, extrem schwierig, Angreifer frühzeitig im System zu erkennen. Die Erpresser nutzen dabei dieselben Zugriffswege und Systemwerkzeuge wie klassische Administratoren. Ein derartiger Zugriff lässt sich oft nicht von jenem eines normalen Anwenders unterscheiden“, sagt Veit. Mitarbeiter*innen müssen auf Daten im Netzwerk zugreifen können und daher würden hier auch Schutzlösungen wie Firewalls oder Anti-Viren-Schutz nicht greifen.

Kombi-Maßnahmen erforderlich zur Erkennung

„Es braucht künstliche und menschliche Intelligenz, um zu erkennen, ob es sich um einen normalen Zugriff im Netzwerk handelt, oder ob jemand sich ungefragt im System umsieht und Daten stiehlt“, so der Securityexperte von Sophos. Denn die Angreifer nutzen oft gestohlene Login-Daten von echten Mitarbeiter*innen, die sie über Phishing-Attacken erbeutet oder im Darknet gekauft haben. „Künstliche Intelligenz ist in der Lage, Anomalien bei Login-Versuchen zu erkennen. Doch dann braucht es Menschen, die einordnen können, ob es sich bei bestimmten Vorgängen wirklich um etwas Ungewöhnliches handelt“, sagt der Experte.

Derartiges könne aber die „normale IT-Abteilung“ in Firmen nicht leisten, so Veit. „Es reicht in so einem Fall nicht, am Montagmorgen auf die Systeme zu schauen. Man muss das innerhalb von Minuten erkennen und handeln“, so Veit. Das, wiederum, ist nicht nur ein heikler Kostenpunkt, sondern im Anbetracht des Fachkräftemangels bei kleineren und mittleren Betrieben auch nahezu unmöglich, betriebsintern zu installieren.

Crime As A Service

„Ki-Tools, die Anomalien entdecken, und unsere Expertise kann man bei uns zukaufen“, rät Veit von Sophos. „Wir verfügen über die notwendige Schwarmintelligenz und können Erkenntnisse sofort replizieren“, so der IT-Fachmann.

Kriminelle würden außerdem in vielerlei Hinsicht die Geschäftsmodelle der Web-Service-Branche nachahmen, so Veit. Ähnlich wie IT-Abteilungen in Unternehmen das "As-a-Service"-Modell für immer mehr Operationen übernehmen, kann fast alles im dunklen Bereich an "Crime-as-a-Service"-Anbieter ausgelagert werden. Das können etwa Login-Daten sein, die zugekauft werden, oder Überlastungsangriffe. Laut Veit dürfe man dies aber nicht nur den Kriminellen überlassen. „Security As A Service ist die effizienteste Art des Outsourcings“, so Veit.

Russland darf nicht unterschätzt werden

Doch was steht neben Ransomware-Angriffen 2023 noch hoch im Kurs? Lendl von CERT.at rechnet, dass wir in Österreich dieses Jahr vermehrt Cyberattacken aus Russland zu spüren bekommen könnten. „Bisher war der russische Cyberkrieg wenig effektiv, aber ich traue mich nicht vorherzusagen, dass das so bleibt“, so Lendl. Durch immer weitreichendere Attacken könnten auch österreichische Firmen ins Visier geraten, die in der Ukraine aktiv sind. Es könnten hier noch einige „Hoppalas“ passieren, so der IT-Experte.