Cybersicherheit Wie viel ist Ihnen Ihre Produktion wert?

Angriffe auf Unternehmens-IT-Netze nehmen beständig zu. Wir haben mit Unternehmen gesprochen, die betroffen waren – trotz Vorkehrungen.

Firma zum Thema

Bei einem Code-Injection-Angriff hinterlässt ein Hacker Code auf einer Webanwendung. Damit kann er beliebig Scripts und Datenbanken manipulieren.
Bei einem Code-Injection-Angriff hinterlässt ein Hacker Code auf einer Webanwendung. Damit kann er beliebig Scripts und Datenbanken manipulieren.
(Bild: WSF - stock.adobe.com)
  • IT-Sicherheitsbeauftragte berichten über (versuchte) Angriffe auf ihr Unternehmen.
  • Der Angriff über E-Mail-Anhänge ist veraltet. Hacker kommen inzwischen über versteckten Code auf Webseiten Dritter.
  • Man lernt aus der Vergangenheit: Fremde Servicetechniker dürfen nur vom Unternehmen zur Verfügung gestellte Laptops nutzen.

Die Gefahr eines Angriffs auf Ihre Fertigung ist bereits vorhanden. Elisabeth Werner, verantwortlich für die IT-Sicherheit eines mehrere Tausend Mitarbeiter zählenden Unternehmens in der Nähe von Stuttgart, war betroffen: „Im vergangenen Jahr sind wir im Rahmen einer weltweiten kriminellen Angriffswelle gehackt worden.“ Danach folgten Geldforderungen, die man jedoch ablehnen konnte, weil man nach dem Abschalten der Systeme diese überprüfen, bereinigen und wieder in Betrieb setzen konnte. Dabei war der erste Weg, sich sofort mit der örtlichen Kriminalpolizei in Verbindung zu setzen. Diese hat, zumindest in Baden-Württemberg, auf Cyberkriminalität spezialisierte Fachleute. Dieser Angriff war von einer organisierten kriminellen Vereinigung geplant worden, davon ist Werner überzeugt: „Die haben mehr Personal als wir.“ Denn zeitgleich sind in einer Welle zahlreiche Unternehmen angegriffen worden.

Im vergangenen Jahr waren dies hauptsächlich Malware-Angriffe, die den Unternehmen den Zugriff auf ihre Daten über eine Verschlüsselung verwehrten. Wer sein System aus „unverseuchten“ Back-Ups, die vor dem Angriff erstellt wurden, neu aufsetzten konnte, konnte die Zahlung verweigern. „Es handelt sich um organisierte Bandenkriminalität, die man nicht unterschätzen darf. Das kann man sich wie eine international organisierte Mafia vorstellen“, ist sich Werner sicher. Damals waren es E-Mail-Anhänge, die die Schadsoftware übertrugen.

Vorsicht vor Links auf Webseiten anderer

Inzwischen hat sich das Vorgehen verändert: Statt E-Mail-Anhänge nutzen Kriminelle nun Links in E-Mails, um Malware herunterzuladen, oder es wird Schadsoftware unbemerkt auf nicht sicheren Seiten von Unternehmen versteckt. Sie sind ein reiches Beutefeld für die Hacker. Angriffsfelder sind ungeschützte Formulare oder veraltete Java-­Scripts. Geht jemand auf eine solche Seite, holt er sich den ersten Teil des Angriffs, den „Drive-by“ ab. Dieser kann noch ungezielt sein. Dabei „informiert” sich die Hacker-Software über das jeweilige Unternehmen. Erscheint das Unternehmen groß genug und hinreichend zahlungsfähig, geht der Angriff weiter. Die Hacker oder deren Auftraggeber entscheiden, ob sie einen gezielten Angriff planen oder nicht.

Werner kennt einige Unternehmen, die auch in diesem Jahr angegriffen wurden. „Diese Angriffe sind noch perfider gewesen.“ Sie hatten zum Ziel, prägnante Daten des Unternehmens zu übernehmen, sogar ganze Verzeichnisse von den Mitarbeitern, um sich genaue Kenntnis vom Unternehmen zu verschaffen. Anschließend folgte die Forderung nach Bitcoins oder anderer digitaler Bezahlung, sonst werde man die Daten an die Öffentlichkeit oder Konkurrenten weitergeben. Für einen Zulieferer der Automobilindustrie, der Vertraulichkeit bei der Entwicklung zugesichert hat, ist das natürlich undenkbar.

Firewall und Updates reichen nicht aus

Bernd Huber verantwortet die IT eines kleineren Unternehmens mit 150 Mitarbeitern, das Hebeeinrichtungen für die Industrie liefert. Er sichert bisher sein Unternehmen dadurch, dass er über die Betriebssysteme Linux und Windows arbeitet. Dazu nutze man eine Firewall und lasse die Daten über verschiedene Virenscanner laufen. „Außerdem achten wir stets darauf, die von Microsoft angebotenen Sicherheitsupdates sofort zu installieren. Darüber hinaus nutzen wir ein Back-Up-Konzept, das komplett über einen Linux-Server läuft“, sagt Huber. „Wir tun, was wir können.“ Für das Back-Up verwende man LTO-Bänder (Linear Tape Open), also eine Speichertechnik für ½-Zoll-Magnetbänder mit offenem Format.

Um sein Sicherheitskonzept zu testen, verrät er uns, hat er auch schon daran gedacht, dieses von einem professionell arbeitenden Hacker testen zu lassen. Beispielsweise führe das Würzburger Unternehmen Bitbone solche Tests durch. Das sollte man jedenfalls sobald wie möglich durchführen. Denn, so berichtet Werner, das habe man bei ihrem Unternehmen auch durchführen lassen, die finalen Ergebnisse der Analyse lagen zwar erst vor, während der Angriff im Gang war, man konnte dadurch jedoch gezielte Maßnahmen einleiten.

Auch Huber berichtet über einen Versuch, Geld zu transferieren. Dabei stand auf einer offiziell aussehenden Mail vom Firmen­inhaber die Anweisung an die Buchhaltung, Geld auf ein Konto zu überweisen. Zum Glück roch der Mitarbeiter den Braten, denn alle Mitarbeiter des Unternehmens werden regelmäßig zu Themen der IT-Sicherheit geschult, um so etwas wie diesen CEO-Fraud zu verhindern. Bei der Schulung habe man auch darauf hingewiesen, USB-Medien vor dem Einsatz stets zu überprüfen.

Werner geht sogar weiter: Bei ihrem Unternehmen dürfen fremde Servicetechniker von Wartungsfirmen nur eigene, vom Unternehmen zur Verfügung gestellte Laptops nutzen. Darüber hinaus ist die gesamte Produktion fein segmentiert, so könne sich ein Angriff nur begrenzt auswirken. Der Einsatz von USB-Medien ist gar nicht erlaubt.

(ID:46811316)