New ransomware affects computers around the world
© EPA / RITCHIE B. TONGO

Digital Life

"Ransomware ist das perfekte Geschäftsmodell"

Patrick Dax

Die Industrie und produzierende Unternehmen werden zunehmend Ziel von Attacken mit erpresserischer Software. Viele hinken bei der Sicherheit hinterher.

Dieser Artikel ist älter als ein Jahr!

Die Technologieberatung BearingPoint zählt Industriekonzerne und internationale Administrationen zu ihren Kunden. Das im steirischen Unterpremstätten angesiedelte Cybersecurity-Team von BearingPoint entwickelt Sicherheitskonzepte und führt Pentests durch. Vor kurzem hat BearingPoint ein Handbuch für Cybersicherheit in der Industrie aufgelegt.

Media Markt, Salzburg Milch oder der US-Leitungsbetreiber Colonial Pipeline Sie alle wurden im vergangenen Jahr Ziel von Angriffen mit erspresserischer Software und mussten zum Teil beträchtliche Summen bezahlen, um wieder auf ihre Systeme und Daten zugreifen zu können. Entspannung sei nicht in Sicht, sagt Markus Seme, Geschäftsführer der österreichischen Niederlassung der Technologieberatung BearingPoint. Die futurezone hat mit Seme über Ransomware-Angriffe, Sicherheitslücken und Schutzmaßnahmen gesprochen.

futurezone: Im vergangenen Jahr haben Ransomware-Angriffe stark zugenommen.  Wie groß ist das Problem?
Markus Seme: Sehr groß. Es ist auch kein Ende in Sicht. Manche Branchen, etwa Banken oder Versicherungen, kennen das schon länger. Seit den vergangenen zwei, drei Jahren sind aber auch die Industrie und produzierende Betriebe massiv davon betroffen.

Das hat mit der zunehmenden Digitalisierung zu tun?
Ja, viele Unternehmen, deren Netzwerke früher isoliert waren, bauen neue digitale Geschäftsmodelle auf und sind für viele Angreifer*innen zum Ziel Nummer eins geworden. Wenn die Produktion stillsteht ist der Druck enorm groß, den Lösegeldforderungen nachzugeben.

Zuletzt wurden auch viele Angriffe auf Gesundheitsorganisationen und Krankenhäuser bekannt. Früher waren solche Bereiche tabu, es gab zumindest in Ansätzen einen moralischen Kompass. Hat sich das geändert?
Heute geht es darum, maximal Kapital aus Angriffen zu schlagen. Die Angreifer*innen sind wie große Konzerne organisiert, bei denen man sich ja auch fragt, ob gewisse Praktiken noch moralisch vertretbar sind. Gerade im Gesundheitsbereich kann man viele sensible Daten absaugen. Wird nicht bezahlt, werden sie veröffentlicht, dann drohen den Organisationen hohe Datenschutzstrafen. Die Angreifer*innen operieren von Ländern aus, wo ihnen wenig passieren kann. Es ist das perfekte Geschäftsmodell, wenn man keine ethischen Bedenken hat.

Cybersicherheits-Experte Markus Seme

© BearingPoint

Haben die Firmen eine andere Wahl, als zu bezahlen?
Wenn bezahlt wird, ist das zumindest kein Schuss ins Blaue. Die Angreifer*innen sind sehr professionell. Wer zahlt, bekommt seine Daten wieder. Wir wissen auch von Fällen, in denen Hotlines für Firmen eingerichtet wurden, die nicht wissen, wie Bitcoin-Zahlungen abgewickelt werden. Hat man allerdings bezahlt, ist man auch auf einer Liste als potenzielles Angriffsziel, das bereit ist, zu bezahlen.

Was empfehlen Sie?
Polizei und Behörden warnen davor, zu bezahlen. Das tun wir auch. Letztlich ist es aber eine unternehmerische Entscheidung. Wichtig ist, dass man sich schon davor gut aufstellt, sodass man gerüstet ist, wenn der Moment da ist.

Wie können sich Unternehmen schützen?
Die ersten Schritte kann man sehr schnell machen, etwa indem man Mitarbeiter*innen im Umgang mit Phishing-Mails trainiert. Da hat man sofort positive Resultate und der erste Schritt für Angreifer*innen wird schwieriger. Dann natürlich Systeme aktuell halten, Daten verschlüsseln sowie Back-ups und Ersatzsysteme erstellen. Auch mit technischen Schutzmaßnahmen kann man viel erreichen. Die sollten an verschiedenen Punkten ansetzen, damit Angreifer*innen, wenn eine Hürde übersprungen ist, nicht Zugriff auf alles haben. Lücken sind immer da. Man muss aber schauen, dass man nicht der Letzte in der Kette ist.

Sie testen auch, wie gut Unternehmen geschützt sind. Welche Defizite stechen hervor?
Kleinere Unternehmen, die erste Automatisierung in ihre Systeme einbauen, wollen Wartungen extern ermöglichen und müssen dazu Zugänge schaffen. Auch Lieferanten brauchen solche Zugänge von außen. Wenn man das nicht von Anfang an plant, passiert ein Workaround nach dem anderen, es entstehen unzählige solcher Übergänge und der Überblick geht verloren. Deshalb sollte es auch für kleinere Unternehmen der erste Schritt sein, dass man Verantwortliche für die Produktionssicherheit implementiert, die wirklich auf das Thema fokussieren können.

Was sind die gängigsten Einfallstore?
80 Prozent der Angriffe gehen über Mitarbeiter*innen, den Faktor Mensch. Das ist oft sehr einfach. Dann haben die Angreifer*innen einen Fuß in der Tür. Viele Angriffe funktionieren mittlerweile auch vollautomatisch. Wenn wir einen neuen Server ins Netz stellen und er ist nicht hinter einer Firewall, dauert es weniger als eine Minute, bis er auf Schwachstellen gescannt wird. Sind sie vorhanden, werden sie auch automatisiert ausgenutzt.  

Sicherheitslücken gibt es zuhauf, besonders bei vernetzten Geräten. Warum?
Wir haben schon Industriebetriebe gesehen, die eine Webcam in die Firma gestellt haben, damit sie den Produktionsprozess beobachten können. Viele dieser Geräte sind anfällig. Die Anbieter stehen unter Druck. Sie müssen billiger werden und sparen deshalb oft bei der Sicherheit. Der Endnutzer wird zum Betatester. Wenn man eine Lücke entdeckt, kann man Tausende Geräte unter Kontrolle bringen.

Zuletzt sorgte auch eine kritische Lücke in der Software Log4J für Aufregung, die weit verbreitet ist. Wie hat sich das bei Ihren Kunden bemerkbar gemacht?
Die Schwachstelle in Log4J ist die problematischste Sicherheitslücke der vergangenen Jahre. Log4J wurde über Jahre hinweg in unzählige Softwaremodule eingebaut. Wir haben sie auch verwendet. Wir wissen, wo wir sie eingebaut haben. Viele Endkuden wissen aber nicht, dass in ihren Geräten irgendwo eine solche Komponente steckt und machen sich deshalb auch keine Gedanken. Die Schwachstelle wurde am 9. Dezember vergangenen Jahres bekannt, am 10. Dezember gab es bereits erste Angriffe. Eine Woche später gab es bereits einen Wurm, der die Lücke  automatisiert ausnutzte. Wir hatten viele Kund*innen, die die Urlaube ihrer Wartungsteams aufheben mussten.

Während der Pandemie waren viele Mitarbeiter im Homeoffice. Welche Auswirkungen hat das auf die Sicherheit gehabt?
Mitarbeiter*innen, die zuvor hinter der Firewall im Unternehmen saßen, waren plötzlich zuhause im eigenen WLAN. Nicht wenige Firmen haben ihre Mitarbeiter*innen auch mit eigener Ausrüstung arbeiten lassen, oft ohne Schutzprogramme. Schutzgürtel müssen heute nicht nur um das Unternehmen, sondern um die Nutzer*innen und ihre Geräte aufgebaut werden. Das kann mit Virenscannern passieren oder anderen Methoden. Neue Anti-Malware-Clients, die mit künstlicher Intelligenz arbeiten, suchen nicht mehr nach Virensignaturen, sondern an Anomalien auf den Geräten, die durch die Schadsoftware verursacht werden.

Setzen auch Angreifer künstliche Intelligenz ein?
Das würde derzeit noch vollkommen über das Ziel hinausschießen, weil es noch immer so viele schlecht geschützte Unternehmen da draußen gibt. Man kommt mit herkömmlichen Methoden weit genug. Es reicht, sich die am wenigsten geschützten Firmen herauszufischen.  

Welche Bedrohungen kommen auf uns zu?
Dort wo viel Geld im Spiel ist, besteht auch für Angreifer*innen viel Potenzial. Kryptowährungen sind so ein Beispiel. Solange sich nur ein paar Early Adopter damit auseinandergesetzt haben, war das uninteressant. Wenn die breite Masse aufspringt, wird das lukrativ. 

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 23.02.2022, 6:00 Uhr

Patrick Dax

pdax

Kommt aus dem Team der “alten” ORF-Futurezone. Beschäftigt sich schwerpunktmäßig mit Innovationen, Start-ups, Urheberrecht, Netzpolitik und Medien. Kinder und Tiere behandelt er gut.

mehr lesen
Patrick Dax

Mehr zum Thema

Kommentare