Sicherheitsprofi Christian Schaaf, Chef der Spezialunternehmensberatung Corporate Trust aus München, warnt vor einem neuen Hacker-Phänomen, das besonders gravierend für die Unternehmen ist: Die Angreifer dringen in jeden IT-Winkel vor, sind nicht mehr heraus zu bekommen und setzen sich dauerhaft fest.
Herr Schaaf, welche neue Bedrohung stellen Golden-Ticket-Attacken für Unternehmen dar?
Christian Schaaf: Eine Golden-Ticket-Attacke ist so heikel für Unternehmen, weil sie nur sehr schwer zu verhindern ist. Dabei werden ganz normale Systemabläufe ausgenutzt, die täglich tausendfach bei der Kommunikation der Computer innerhalb eines Netzwerkes passieren. Wenn es die Täter erst mal geschafft haben, in den Besitz eines Golden Tickets zu kommen, können sie sich praktisch frei im Netzwerk bewegen und haben fast überall ungehinderten Zugriff.
…sind sie vergleichbar mit einem Generalschlüssel?
Ja, und das größte Problem dabei ist, dass man sich mit einem Golden Ticket überall im System einnisten kann, meist an ganz vielen unterschiedlichen Stellen, und von dort aus über lange Zeit operieren kann. Dies kann an fünf, an zehn aber auch an 50 Stellen sein. Von dort aus wird dann ein immer fortwährender Datenabfluss gesteuert. Findet man ein solches Versteck, in dem sich die Täter eingenistet haben, heißt das noch lange nicht, dass man das Problem gelöst hat. Denn dann befinden sich immer noch zig weitere Verstecke im System.
Wer sind die Hacker?
Diese Angriffe sind vor allem für Spionage interessant, weil über einen längeren Zeitraum sämtliches relevantes Know-how immer wieder aus dem Unternehmen transferiert werden kann. Man ist immer ganz aktuell auf dem neuesten Stand. Angreifer sind daher häufig ausländische Nachrichtendienste, die sich für neueste Entwicklungen, Patente oder Produktionsverfahren interessieren.
Diese Cyber-Gefahren gilt es zu entschärfen
Friedrich will die Bürger schneller vor Risiken warnen und den Informationsaustausch zwischen Unternehmen über neu entdeckte Angriffsstrategien verbessern.
Großkonzerne treiben teils großen Aufwand, Geschäftsgeheimnisse gegen digitalen Diebstahl zu sichern. Kleineren Unternehmen aber fehle oft das Risikobewusstsein, moniert der Innenminister.
Die Nationale Strategie zum Schutz kritischer Infrastrukturen stammt von 2009. Sie soll Strom-, Wasser- oder Telefonnetze absichern. Ihre Umsetzung zieht sich hin.
Friedrich will Telefon- und Internet-Verbindungsdaten EU-konform sechs Monate speichern. Bundesjustizministerin Leutheusser-Schnarrenberger geht das zu weit.
Und davor sind selbst die größten Unternehmen – nehmen wir mal die Dax-Konzerne mit riesiger IT-Abteilung – nicht sicher?
Nein, das sind sie nicht. Bei der IT-Sicherheit ist der heutige Standpunkt leider immer noch, dass man sich gegen die Angriffe so umfassend schützen muss, dass nichts passieren kann. Was aber, wenn doch? Beim vorbeugenden Brandschutz beispielsweise wird auch viel getan, um den Ausbruch eines Feuers zu verhindern. Deswegen schaffen wir aber noch lange nicht die Feuerwehr ab. Wir haben alle im Hinterkopf, dass es trotz aller Vorsichtsmaßnahmen zu einem Brand kommen kann und sind dafür gewappnet.
Genauso ist es bei der Sicherheit. Trotz aller hohen Zäune und Zutrittsbeschränkungssysteme haben wir auch einen Werkschutz, der ständig patrouilliert, ob die Sicherheitseinrichtungen noch intakt sind und sich niemand unberechtigt im Werksgelände bewegt. Dieses Schema müssen wir auch auf die IT übertragen und Ressourcen dafür schaffen, ständig zu überprüfen, ob irgendwo Eindringlinge sind.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Je eher man solche Angriffe erkennt, umso höher ist die Chance, dass man den Schaden gering hält. Wenn die Hacker erst mal über einen längeren Zeitraum die Möglichkeit hatten, sich an zig verschiedenen Stellen im System einzunisten, dann ist das Auffinden und Wieder-Beseitigen meist eine Herkules-Aufgabe.
Was muss dann passieren?
In solchen Fällen hilft dann eigentlich nur noch die Abschaltung des Systems und ein komplettes Neu-Aufsetzen. Die ganze Firma muss komplett vom System genommen werden. Der Aufwand ist gewaltig, würde vermutlich mehrere Wochen dauern und ist in der Regel aufgrund der täglich erforderlichen Abläufe im Unternehmen – etwa in der Produktion – gar nicht so einfach möglich.
Was schätzen sie, würde ein Unternehmen so etwas kosten – an Ausfall und IT-Ausgaben?
Von den reinen Hardware- und Personalkosten für die Installation und Neukonfiguration mal abgesehen, kämen auch immense Ausfallkosten und Imageschäden dazu. Stellen Sie sich vor, ein produzierendes Unternehmen mit festen Kunden- und Zulieferverträgen könnte über Wochen oder Monate nicht arbeiten, weder Waren oder Dienstleistungen annehmen noch Produkte ausliefern.
Zumal: Auch der Imageschaden wäre enorm. Ich gehe sogar davon aus, dass es den Kurswert eines Unternehmens sehr nachhaltig beeinflussen könnte.