Wie Cybercrime-Syndikate Unternehmen bedrohen

IT-Firmen, Krankenhäuser, Universitäten, Molkereien, sogar der Wiener Stephansdom blieb nicht verschont: Im Jahr 2021 waren zahlreiche Betriebe und Einrichtungen in Österreich von Cyberangriffen betroffen. 60 Prozent aller heimischen Unternehmen sind laut einer Studie von KPMG bereits Opfer einer Attacke geworden, der Großteil sogar mehrmals.

Welche Bedrohungen auf Firmen im Netz lauern und wie vorgebeugt werden kann, war Thema eines Branchentreffens, organisiert von der Internetsicherheits-Firma Arrow. Neben Vertreter*innen des österreichischen Bundesheers und der Nationalbank, war auch der Cybersecurity-Anbieter Checkpoint vor Ort. „Die IT-Security hat sich stark verändert“, sagt Checkpoint-Manager Roman Prinz im Rahmen eines Vortrags. „Man hat immer noch den maskierten Hacker im Kopf, der allein vor dem Computer sitzt. So passiert das heute nicht mehr“. Denn im Jahr 2022 gehe die größte Bedrohung von sogenannten Cybercrime-Syndikaten aus, also Organisationen, die „wie ein Unternehmen funktionieren“, erklärt Prinz.

Nach einjähriger Beobachtung der Aktivitäten eines solchen Syndikats habe Checkpoint dessen interne Strukturen kennen und verstehen gelernt. Neben einem „CEO“, der Cybercrime-Kampagnen leitet, gibt es laut dem Experten auch untergeordnete „Manager“, die Finanzen prüfen, Kunden akquirieren, Hacker-Personal rekrutieren und Datenanalysten anstellen. „Es wird richtiges Recruiting betrieben und geschaut, dass die besten Leute ins Team geholt werden“, sagt Prinz. Rekrutiert werde weltweit. „Das macht es auch so schwierig. Denn wenn man jemanden erwischt, ist das nur die Spitze des Eisbergs“. Selten können alle Drahtzieher*innen gefasst werden.

Angriffe als Dienstleistungen

Jedes Unternehmen braucht aber auch ein Produkt, das es verkaufen kann. Im Fall der Cybercrime-Syndikate sind das häufig sogenannte Exploit-Kits. Das sind digitale Baukästen für Schadsoftware, hergestellt von professionellen Entwicklern. Mit ihnen können auch weniger technikaffine Angreifer*innen ihre Attacken durchführen und verwalten.

„Man kann diese Tools ganz leicht online kaufen, und das um Centbeträge“, hält Prinz fest. Wer ein solches Kit im Netz ersteht, erhält nicht nur Hilfe beim Stehlen von Unternehmensdaten oder Cyberattacken, sondern der Fortschritt wird einem sogar grafisch aufbereitetet. „Kunden bekommen ein Dashboard ausgespuckt, das Charts und Grafiken liefert, die zeigen, wie viele Webseiten man erwischt hat“, sagt Prinz. „Wir reden hier mittlerweile über Cybercrime „as-a-Service“, also eine Dienstleistung."

In Datenflut Sicherheitslücken erkennen

Wie können Firmen gegen eine solche organisierte und kommerzialisierte Cyberkriminalität vorgehen? Ein Teil der Lösung liegt laut Philipp Putz, Vizepräsident des Datenverarbeitungsspezialisten Splunk, in der Aufbereitung und Analyse von Unternehmensdaten. „Jedes Handy, jeder Laptop, jede Firewall liefert kontinuierlich Daten, aber kaum jemand zieht Nutzen daraus“, sagt Putz.

Viele Firmen könnten aus rund 350 verschiedene Datenquellen Informationen gewinnen. Informationen, die womöglich auf Cyberangriffe hindeuten. In jedem Protokoll liegen für die IT-Sicherheit relevante Daten, die genutzt werden könnten, so der Experte. Ziel sei es, Firmen resilienter und weniger verwundbar zu machen.

Verwundbar sind Betriebe laut Checkpoint-Manager Prinz vor allem über einzelne Nutzer*innen, also ihre Angestellten. „Der Schutz im Data-Center ist nicht mehr so zentral. Im Homeoffice ist der User an sich ins Zentrum gerückt“, erklärt Prinz. Webseiten, E-Mail-Programme oder Services wie Microsoft Teams und Zoom seien typische Einfallstore für Kriminelle. Gerade bei diesen „alltäglichen Verwundbarkeiten“, gelte es, Sicherheitslücken in Unternehmen zu schließen, sagt der Experte.