Die internationale Arbeitsteilung der kriminellen Hacker

Interview mit Sebastian Schreiber, CEO SYSS, The Pentest Experts

Cyberangreifer können in Unternehmen immer höhere Schäden anrichten. Die Digitalisierung macht die Unternehmen anfälliger, hinzu kommen Software-Fehler. Kumulrisiken belasten auch Versicherungen.

Herr Schreiber, Ihre Firma simuliert Cyberangriffe, um Ihren Kunden Lücken im Sicherheitssystem aufzuzeigen und hat dadurch einen großen Überblick über die aktuelle Gefahrenlage. Der aktuelle Cyber Readiness Report macht für das Jahr 2020 weltweit zwar höhere Einzelschäden, aber weniger Cyberangriffe aus. Entspricht dieser Trend auch Ihrer Wahrnehmung?

Das kann ich nicht bestätigen. Gerade wurde die größte Ölpipeline der USA gehackt, das führte zu Versorgungsausfällen und Aktienschwankungen. Dann wurde das Gesundheitssystem in Irland angegriffen. In Deutschland wurde die Supermarktkette Tegut geknackt, wodurch es zu leeren Ladenregalen kam. Schon der Blick in die Presse zeigt uns doch eigentlich, dass es heute mehr Cyber-Angriffe gibt als je zuvor.

Ist das nach Ihrer Einschätzung ein allgemeiner Trend oder liegt es vor allem an Corona, Stichwort Home Office?

Seit 15 Jahren formieren sich immer mehr Angriffe weltweit. Hinzu kommt jetzt der Sondereffekt Corona – vor allem dadurch, dass viele Täter durch den Lockdown mehr Zeit haben. Die Hacker können abends nicht in die Clubs, Restaurants oder Konzerte gehen, daher greifen sie verstärkt an. Zudem ist es für die Täter sehr attraktiv geworden, Kryptowährungen zu erpressen. Wenn die Hacker die Verfügungsgewalt über fremde IT-Systeme gewonnen haben, können sie schon das zu Geld machen  – in Bitcoin oder anderer Währung. Sie brauchen dazu nur Systeme zu verschlüsseln und Lösegeld Kryptowährungen verlangen.

Wie können sich Unternehmen gegen diese Cyber-Erpressung von Kryptowährungen am besten schützen?

Sie müssen ihre eigenen IT-Systeme härten. Als Klassiker bietet sich an, einen Penetrationstest einzusetzen, einen Spezialisten zu beauftragen, der die IT angreift, um damit die Schwachstellen im System zu finden und ein sicheres Netzwerk herzustellen.

Damit haben Sie ja Erfahrungen, haben Sie im Laufe Ihrer Arbeit festgestellt, dass sich die Masche der Angreifer wandelt?

Zunächst einmal hat sich der Einsatz der IT in den letzten fünf Jahren stark verändert: Jedes Unternehmen möchte digitalisieren, jeder Industriebetrieb will aus der Ferne auf seine Maschinen und Anlagen zugreifen und entsprechende Daten sehen. An die IT-Systeme wird immer mehr angeschlossen: das Smartphone, immer mehr IOT-Geräte, die Daten-Cloud. Das heißt, auch die traditionellen Branchen sind immer stärker abhängig von der IT. Dadurch können die Täter bei einem Angriff einen immer größeren Schaden anrichten. Die aufgerufenen Lösegelder werden immer höher.

Erfolgt der Angriff meist über Mails oder schadhafte Software?

Hacker greifen über Mails an, über Funktastaturen, über Systeme, die nicht entsprechend geschützt sind, wie beispielsweise die Fernzugriffssoftware Citrix oder über App-Applikationen. Aktuelle Angriffsziele sind beispielsweise Microsoftsysteme, wie der Exchange Server, der besonders spektakulär im März von einer chinesischen Hackergruppe Namens Hafnium angegriffen wurde. Der Hafnium-Angriff ist zwar vorbei, aber seitdem sind wieder andere Lücken im Microsoft Exchange Server gekannt geworden.

Wie sollten denn Versicherungen mit derartigen Kumulrisiken umgehen?

Bei dem Hafnium-Angriff waren nach Meldung des Bundesamts für Sicherheit in der Informationstechnik 29.000 deutsche Unternehmen betroffen. Bei einem einzelnen Unternehmen kann die Versicherung auch einen sehr großen Schaden sehr leicht tragen. Aber wenn eine Sicherheitslücke nicht nur ein Unternehmen betrifft, sondern zehntausende, dann kommt auch ein starkes Versicherungskonzept schnell ins Wanken.

Was für einen Rat würden Sie Versicherungen geben, die Cyberangriffe versichern?

Ich finde die Versicherung von Random-Attacken schwierig. Denn die Versicherung dieser Lösegeldschäden kann das Geschäft der Täter zusätzlich antreiben. Wenn der Täter weiß, dass das angegriffene Unternehmen gegen diese Schäden versichert ist, kann er davon ausgehen, dass das Lösegeld auch zügig gezahlt wird. Gerade wenn diese Erpressungen mit Kryptowährungen verbunden sind, ist das ein heißes Geschäft. Denn wenn die Übergabe des Lösegelds im Darknet stattfindet, kann im Zuge der Lösegeldübergabe nur schwer jemand verhaftet werden.

Sie waren schon bei Lösegeldübergaben ihrer Kunden dabei, haben sie dabei auch etwas über die Herkunft der Täter in Erfahrung gebracht?

Wir rühmen uns nicht dafür, aber wir waren bei vier Lösegeldübergaben dabei. In dieser schwierigen Situation mussten wir den Kunden beistehen. Dabei haben wir mit den Tätern kommuniziert, ohne zu wissen, wo sie sitzen. Die Täter gehen heute oft arbeitsteilig vor. Der eine Täter beispielsweise in Südkorea schreibt das Exploit, zeigt also die Schwachstelle im System auf, die für den Angriff genutzt werden kann. Der nächste Täter in Russland dringt in die Systeme ein, der dritte macht irgendwo auf der Welt etwas anderes. Um die Angriffe herum hat sich ein globaler Markt entwickelt, ähnlich wie bei einem Auto, stammen die einzelnen Komponenten eines Hacks von Lieferanten aus aller Welt. Die Arbeitsteilung im Hackergeschäft hat sich ähnlich international wie in anderen Branchen entwickelt.

Damit spüren Sie mit Ihren Sicherheitsschecks einem immer stärker verschachtelten Tätergewerbe hinterher, empfinden deren Arbeitsweise nach und müssen gleichzeitig ihnen schon immer einen Schritt voraus sein, um die künftigen Attacken vorwegzunehmen. Wo soll das denn langfristig hinführen?

Ja das ist spannend. Langfristig streben wir natürlich an, die Sicherheit der IT-Systeme in den Griff zu bekommen und hoffen, dass das Desaster mit Software, die so viele Fehler hat, einmal vorbei ist. Dann sollten wir auch überall vier-Augen-Prinzipien und zwei-Faktor Authentifizierungen einsetzten.

Machen Sie sich damit nicht überflüssig?

Wenn wir einmal diese schöne sichere IT-Welt haben, dann gehe ich gerne in Rente.

       Die Fragen stellte Sabine Haupt