Wenn die Firmen-Webseite zum Viagra-Shop wird

Wer auf Google die Suchabfrage "site:at cheap viagra" eingibt, findet unter den Suchergebnissen auch zahlreiche Websites, die man üblicherweise nicht mit dem Verkauf billiger Potenzmittel in Zusammenhang bringt. Am Donnerstagnachmittag waren das etwa das Planetarium Wien oder der Höhlenverein Salzburg. Dass die Betreiber der betroffenen Websites darüber Bescheid wissen, ist unwahrscheinlich. Denn wenn sie ihre Website aufrufen, bemerken sie nichts Ungewöhnliches. Lediglich beim Ansteuern der Seite über Google wird der Firmenauftritt im Netz plötzlich zum Viagra-Vertrieb. Wie tausende andere Websites auch, wurden sie Opfer des sogenannten "Pharma Shop"-Angriffs.

Dabei wird in Websites Code injiziert, der erkennt, ob man die Adresse direkt eingibt oder die Website über Suchmaschinen aufgerufen werde und entsprechende Inhalte ausspiele, erläuterte Alexander Mitter, Geschäftsführer der oberrösterreichischen Sicherheitsfirma Nimbusec beim E-Day 2016, der am Donnerstag in der Wirtschaftskammer Österreich (WKÖ) stattfand. "Angriffe können jeden treffen", sagte Mitter. Die "Pharma Shop"-Attacke sei nur ein Beispiel von vielen.

"Jede Firma hat Sicherheitsvorfälle"

"Jede Firma hat Sicherheitsvorfälle, nur wissen nicht alle davon", sagte auch Robert Schischka, Leiter der österreichischen Anlaufstelle für Internetsicherheit, CERT.at. Im vergangenen Jahr seien Unternehmen zunehmend ins Visier von Cyberangreifern geraten. Neben DDos-Angriffen und Ransomware, bei denen Daten verschlüsselt und erst gegen die Zahlung eines "Lösegelds" wieder freigegeben werden, beobachte man auch ein Zunahme bei Schadsoftware, die in Zahlungsverkehrsterminals eingeschleust wird, sogenannte POS-Malware, sagte Schischka.

Ein weiterer Trend sei die Professionalisierung der Angreifer. Oft stünden organisierte Banden dahinter, die - wenn sich der Aufwand lohnt - auch eigene Callcenter aufbauen, um Opfern Daten zu entlocken oder mit ihnen in Kontakt zu treten.

Gute Geschäfte

Entsprechende Software und Infrastruktur kann von Angreifern auch angemietet werden. Gehe man von einem Preis von rund 2000 Dollar für Ransomware aus, würden Angriffe schnell zum Geschäft, sagte Schischka. "Bei durchschnittlichen Forderungen von 100 bis 200 Euro können in kurzer Zeit 20.000 Dollar oder mehr verdient werden." Zahlungen sind in vielen Fällen zwar billiger als professionelle Hilfe, vor ihnen wird dennoch abgeraten. "Jeder der zahlt, finanziert den Angriff auf den nächsten", sagte Schischka.

"Massive Beobachtung des Marktes"

Vor allem kleine Unternehmen würden nicht davon ausgehen, dass sie für Cyberangreifer interessant seien, sagte Konrad Kogler, Generaldirektor für öffentliche Sicherheit. "Es gibt aber eine massive Beobachtung des Marktes. Ob Angriffe Sinn machen, wird systematisch ausgeforscht."

Allein im vergangenen Jahr seien in Österreich 8400 Unternehmen von Wirtschafts- und Industriespionage betroffen gewesen, so Österreichs oberster Polizist. "Die Dunkelziffer ist wahrscheinlich doppelt so hoch."

Schwachstelle Mensch

Die Schwachstelle ist in vielen Fällen der Mensch. In der überwiegenden Mehrzahl der Fälle würden Daten nicht über das Eindringen in Systeme, sondern unmittelbar bei den Mitarbeitern abgefragt, erzählt Kogler. Nicht selten fallen Mitarbeiter auch auf Phishing-Mails herein, überweisen auf eine E-Mail-Anweisung, die scheinbar vom Chef kommt, große Summen oder stecken scheinbar "liegengelassene" USB-Sticks in einen Firmenrechner.

Mitarbeiter-Schulungen

Die Schulung der Mitarbeiter in Sicherheitsthemen ist für viele Unternehmen und Organisationen deshalb zentral. Bei der Stadt Wien, die über rund 40.000 PC-Arbeitsplätze verfügt, werden Mitarbeiter mit speziellen E-Learning-Programmen für Vorfälle sensibilisiert. Daneben werden auch Angriffe simuliert. "Wir bauen selber ein Phishing-Mail und schauen, wer das anklickt", erzählte Sandra Heissenberger, Chief Information Security Officer der Stadt Wien. Auch Social-Engineering Attacken wurden auf diese Art schon durchgespielt. "Bewusstsein für Vorfälle zu schaffen, ist eine der wichtigsten Säulen in der Unternehmenssicherheit", sagt Heissenberger

Hase-und-Igel-Spiel

"Dass Unternehmen überhaupt keine Sicherheitsvorkehrungen treffen, kommt heute kaum noch vor", sagte Josef Pichlmayr von der Sicherheitsfirma Ikarus. Die größte Herausforderung sei es, sich auf das Hase-und-Igel-Spiel einzulassen: "Jede Maßnahme führt dazu, dass auch die Angreifer aufrüsten."

Vor allem kleinere und mittlere Unternehmen sollten sich auf das Wesentliche konzentrieren und sich die Frage stellen, welche Bereiche für das Überleben des Betriebs notwendig seien und auf welche man, im Falle eines Angriffs, vorübergehend auch verzichten könne, sagte Pichlmayer: "Alle Bedrohungsfelder abzudecken, ist heute kaum noch möglich."

Fronten verschwimmen

Dass es auch Fälle gibt, in denen die Fronten verschwimmen und herkömmliche Maßnahmen nicht greifen, führte die Antiviren-Spezialistin und Malware-Forscherin Marion Marschalek in ihrer Keynote-Adresse am Nachmittag vor Augen. Als Beispiel nannte sie Spionage- und Schadsoftware, die von Firmen wie dem italienischen Hacking-Team oder der britisch-deutschen Gamma Group an staatliche Behörden verkauft und auf Netzwerkebene in die Datenströme injiziert wird. Damit könne es passieren, dass man beim Schauen von Katzen-Videos auf YouTube mit Schadsoftware infiziert wird, sagte Marschalek.

Überhaupt werde es zunehmend schwierig, zwischen Gut und Böse zu unterscheiden, meinte die Sicherheitsexpertin, die beim deutschen Softwarehaus GData tätig ist. "Wenn mein Router mit Schadsoftware infiziert wurde, die vom britischen Geheimdienst stammt, und Teil eines Botnets wird, das Ziele in China angreift, dann steh ich mittendrinnen."