Düsseldorf Was die Konkurrenz da auf den Markt brachte, sah irgendwie bekannt aus. Ein Hersteller von Baumaschinen musste feststellen, dass ein Unternehmen aus China die Konstruktionszeichnungen gestohlen hatte. Die Daten besorgte der Nachmacher übers Internet: Er machte einem Ingenieur über LinkedIn ein scheinbar attraktives Jobangebot – und schickte eine E-Mail mit Schnüffelsoftware hinterher. Der Plan ging auf: Mit den Zugangsdaten sah sich der kriminelle Konkurrent in aller Ruhe im Netzwerk um.
Wichtige Daten sind weg, und keiner weiß, wie das passiert ist: Viele Firmen fühlen sich gegen solche Angriffe hilflos. Sie sind es aber häufig nicht, wie ein aktueller Bericht der US-Firma Verizon aufzeigt: In ihrem renommierten Data Breach Investigations Report (DBIR) kommt sie zu dem Ergebnis, dass kriminelle Hacker in neun von zehn Fällen nach bekannten Angriffsmustern vorgehen – auch im vorliegenden Fall. „Die Strategien der Angreifer sind bekannt“, sagt Verizon-Experte Lorenz Kuhlee im Gespräch mit dem Handelsblatt. „Viele Unternehmen sind leichte Opfer.“ Andere Untersuchungen bestätigen dieses Bild.
Es ist ein Bericht, der die IT-Sicherheitsszene regelmäßig aufmerken lässt. In diesem Jahr sind allein mehr als 100.000 Vorfälle eingeflossen, davon mehr als 3100 mit bestätigten Datenverlusten. Die Informationen stammen von Verizon-Kunden und Partnern. Angesichts der großen Stichprobe, der langen Zeitreihe von zehn Jahren und der vielen Beispiele gilt der DBIR als aufschlussreicher Blick in die digitale Unterwelt.
Der Report zeichnet ein bedrohliches Bild. Die Angreifer dringen in kürzester Zeit ins Netzwerk ein, zumindest in den äußeren Bereich – per Phishing stehlen sie beispielsweise die Zugangsdaten von Mitarbeitern, um sich anschließend im Netzwerk Zugriff auf weitere Ressourcen zu verschaffen.
In fast allen Fällen gelingt die Infiltration innerhalb eines Tages, das Herausschleusen von Daten geschah innerhalb von einigen Tagen. Bis die Unternehmen etwas bemerken, ist es meist zu spät – wenn sie es überhaupt selbst bemerken: In neun von zehn Fällen geben die Polizei oder andere einen Hinweis.
Große Defizite auch in Deutschland
Dabei wären viele Schutzmaßnahmen relativ einfach umzusetzen. Die Forscher beobachten beispielsweise, dass Angreifer häufig lange bekannte Sicherheitslücken ausnutzen, um in die Netzwerke einzudringen. Wenn die IT rechtzeitig Updates einspielt, hilft das schon. Zudem kommen in vielen Fällen gestohlene Zugangsdaten zum Einsatz. Mithilfe der Zwei-Faktor-Authentifizierung lässt sich das Eindringen vermeiden: Die Nutzer müssen dann neben Nutzername und Passwort beispielsweise eine PIN eingeben, die sie aufs Handy geschickt bekommen.
Nicht zuletzt ist es sinnvoll, die Mitarbeiter zu schulen und ihr Verhalten regelmäßig zu überprüfen, etwa mit fingierten Phishing-Angriffen. Mit einem besseren Sicherheitsbewusstsein hätte der Ingenieur der Baufirma vielleicht nicht auf das infizierte Dokument geklickt.
„Es gibt neun typische Angriffsmuster“, berichtet Kuhlee. Die Szenarien seien von Branche zu Branche unterschiedlich – gegen die häufigsten Attacken könnten sich Unternehmen daher relativ einfach schützen. „100-prozentige Sicherheit gibt es nicht, es ist aber wichtig, den Aufwand und die Kosten für Angriffe nach oben zu setzen.“
In den Verizon-Bericht fließen Daten aus aller Welt ein. Nach Einschätzung des Technologieverbands Bitkom gibt es aber auch in vielen deutschen Unternehmen große Sicherheitsdefizite. Einer aktuellen Umfrage zufolge sichert nur jede dritte Firma (35 Prozent) das Firmennetzwerk gegen Datenabflüsse von innen ab, weitere 7 Prozent planen es zumindest konkret. Erweiterte Verfahren zur Benutzeridentifikation verwenden 30 Prozent, weitere 11 Prozent planen es. Zu diesem Techniken zählt beispielsweise die Absicherung von Geräten mit einem Fingerabdrucksensor oder die Zwei-Faktor-Authentifizierung, bei der neben Nutzername und Passwort etwa zusätzlich ein Code aufs Smartphone geschickt wird.
Auch organisatorisch könnten die Unternehmen mehr tun: So schult nur ein Viertel die eigenen Mitarbeiter zu Sicherheitsthemen, nur die Hälfte hat ein Notfallmanagement, um schnell auf den Abfluss sensibler Daten, digitale Wirtschaftsspionage oder Sabotage reagieren zu können.
Bei der IT-Sicherheit reiche der gängige Basisschutz nicht mehr aus, sagte Bitkom-Präsidiumsmitglied Winfried Holz: „Die IT-Angriffe sind immer komplexer geworden. Häufig werden sie gar nicht erkannt und der Abfluss der Daten bleibt unbemerkt.“ Deshalb seien zusätzliche Maßnahmen wie die Verschlüsselung von Netzwerkverbindungen erforderlich.
Dass Angriffe sich nicht komplett abwenden lassen, hat Verizon indes selbst erleben müssen: Unbekannte veröffentlichten im März in einem Untergrundforum eine Datenbank mit 1,5 Millionen Kontaktdaten von Geschäftskunden des Konzerns. „Niemand ist gegen Datenmissbrauch immun“, sagt Kuhlee dazu. Es sei aber wichtig zu wissen, welche Daten wo im Netzwerk gespeichert sind, um schnell Angriffe entdecken zu können. In den aktuellen Bericht ist der Vorfall nicht eingeflossen – aber im kommenden Jahr sollen sich die Zahlen im Report niederschlagen.
