„Der größte Bunker nützt nichts, wenn der Schlüssel im Schloss steckt“

Im Zeitalter der Digitalisierung steht längst nicht mehr die Frage im Vordergrund, ob ein Unternehmen Opfer eines Cyberangriffes wird. Es geht allein noch um das Wann. Zwei Drittel aller deutschen Unternehmen können bereits heute von solch einem Angriff berichten. Philipp Zeh, Leiter Competence Center & Professional Services IT-Security bei Konica Minolta, erklärt im Interview, wo die größten Risiken für Unternehmen liegen und wie sie sich schützen können.

MAKRO
Vereinfachung in der Programmierung Makros sind eine Folge von Anweisungen und vereinfachen die Programmierung in der Softwareentwicklung, indem sie mehrere Befehle zusammenfassen und gemeinsam ausführen. Die Arbeit wird so beschleunigt.


Herr Zeh, mit welchen Angriffen müssen Unternehmen rechnen?

In den letzten Jahren kommen besonders häufig klassische Ransomware-Attacken vor. Betroffene erhalten eine E-Mail mit einem Anhang, beispielsweise einer Rechnung. Klicken Mitarbeiter diesen Anhang an, starten sie ein Makro. Dieses wiederum startet ein Script, das einen Dienst implementiert und die eigentliche Malware nachlädt, die die Daten verschlüsselt. Ist dann kein Back-up vorhanden, bleibt dem Unternehmen eigentlich nur die Möglichkeit, das Lösegeld zu bezahlen, damit die Daten wieder freigegeben werden. Dazu raten wir allerdings nicht. Denn das Zahlen des Lösegeldes ist riskant und zeigt den Cyberkriminellen, dass vermutlich auch ein zweiter Erpressungsversuch erfolgreich sein könnte.


Warum erkennt denn die Antiviren-Software die Malware nicht?

Zu dem Zeitpunkt, an dem der Dienst aktiviert wird, handelt es sich nicht um einen Virus, deshalb wird er auch nicht erkannt. Das System erkennt erst einmal eine erlaubte Office-Funktion.


Wie unterstützen Sie als Security-Dienstleister Ihre Kunden in einem solchen Fall?

Wir versuchen, die Ransomware zu isolieren und einzudämmen. Wenn ein Back-up vorhanden ist, greifen wir darauf zurück und stellen die Dateien wieder her. Allerdings zeigt die Praxis, dass leider nicht immer Back-ups existieren. Einen solchen Fall hatten wir beispielsweise bei einem großen Pflegedienstleister. Auch hier gab es keine Backups. Wir konnten das infizierte System zwar identifizieren, aber nicht die vom Unternehmen unbedingt benötigten Daten wiederherstellen. Wie wir später erfuhren, hat der Kunde dann letztendlich mehrere Zehntausend Euro an den Erpresser überwiesen.


„Gleichzeitig analysiert der Trojaner die älteren E-Mails mit diesen Personen und erstellt auf Basis der dort am häufigsten verwendeten Worte einen E-Mail-Text.“


Wie geht denn eine solche Zahlung vonstatten?

Die verschlüsselten Dateien enthalten in der Regel eine Infodatei. Darin steht, wohin man sich wenden kann. Im Fall unseres Kunden war in der Infodatei eine Telefonnummer notiert, an die er sich gewendet hat. Am anderen Ende der Leitung war eine sehr freundliche, nette Dame, die ihm die Kontodaten für die Überweisung des Lösegeldes mitgeteilt hat. Nachdem das Geld überwiesen war, bekam er den Schlüssel, um die Daten wieder freizugeben.


Ist es denn nicht möglich, über die Telefonnummer den Lösegeld-Erpresser festzustellen?

Wenn der Halter in Deutschland ansässig wäre, ginge das sicherlich. Aber die Lösegeld-Erpresser sitzen meist im Ausland, beispielsweise in Osteuropa. Über die Geolokation lässt sich vielleicht noch ein Ort feststellen, aber da sie Prepaid-Nummern nutzen, die nirgendwo registriert sind, lässt sich der Halter nicht identifizieren. Außerdem besitzen die deutsche Staatsanwaltschaft und Polizei dort keine Befugnisse.


Von welchen Cyberangriffen sind Ihre Kunden denn sonst noch betroffen?

Der Banking-Trojaner war im Dezember 2018 eine große Bedrohung, der damals auch einige unserer Kunden heimgesucht hat. Eigentlich gibt es diesen Trojaner schon mehr als ein Jahr, aber er ist mittlerweile „schlauer“ geworden und deshalb noch gefährlicher. Ist ein System damit infiziert, liest Emotet automatisch die Adressbücher aus und versendet sich eigenständig an die Personen, mit denen das Opfer besonders viel Kontakt hat. Gleichzeitig analysiert der Trojaner die älteren E-Mails mit diesen Personen und erstellt auf Basis der dort am häufigsten verwendeten Worten einen E-Mail-Text. Dadurch ist es für den Empfänger gar nicht so einfach, zu erkennen, dass es sich bei einer E-Mail um einen Trojaner handelt.


Was macht Emotet konkret?

Wir hatten einen Fall, bei dem ein Kunde eine Rechnung per PDF an einen seiner Kunden gesandt hatte. Als er dann keinen Zahlungseingang feststellte, kontaktierte er seinen Ansprechpartner. Dieser konnte belegen, dass das Geld an die Bankverbindung auf der Rechnung überwiesen worden war. Dennoch konnte unser Kunde keinen Zahlungseingang verzeichnen, weil Emotet aktiv war und die Rechnung als Man-in-the-Middle-Attacke abgefangen hat. Der Trojaner hatte in einem nächsten Schritt den Footer der Rechnung verändert und dort andere Bankdaten eingegeben. Der Endkunde hat somit direkt an das Konto der Angreifer überwiesen, die es dort umgehend abgezogen hatten. Eine Rückbuchung war also nicht möglich. Unternehmen bleiben dann oftmals auf dem entstandenen Schaden sitzen. Auch wenn sie eine Versicherung haben, weist diese eine Erstattung meist zurück, weil sie grobe Fahrlässigkeit oder mangelnde Schutzmechanismen nachweisen.
 
RANSOMWARE
Erpressungssoftware Ransomware ist eine bestimmte Art von Software, die zur Erpressung von Lösegeld genutzt wird. Meist verschlüsselt das Programm die Daten des Opfers und verlangt dann Geld für die Entschlüsselung.


Wie können sich Unternehmen vor diesen Cyberattacken schützen?

Einen 100-prozentigen Schutz gibt es nicht. Aufgrund der gestiegenen und hochkomplexen Gefahrenlage empfiehlt es sich, mit einer strategischen Herangehensweise für die notwendige Reaktionsgeschwindigkeit und Transparenz zu sorgen. Denn nur, wenn Firmen einen Angriff entdecken, können sie auch darauf reagieren. Dazu benötigen sie neben einem entsprechenden Monitoring auch eine geeignete Prozesskette, um Vorfälle zu analysieren. Die Grundlage hierfür schafft ein strategischer Ansatz, der aus Prozessen, Menschen und Technologien besteht. Nur wenn diese drei Aspekte integriert werden, lässt sich der Sicherheitsgrad erhöhen.


Wo können Unternehmen als Erstes ansetzen?

Ein ganz wichtiger Punkt ist dabei die Sensibilisierung der Mitarbeiter und Mitarbeiterinnen. Denn in der Regel wird eine Ransomware installiert, weil Mitarbeiter etwas anklicken oder E-Mail-Anhänge öffnen, ohne sich Gedanken über die damit verbundenen Risiken zu machen. Daher ist es ganz wichtig, die Mitarbeiter aufzuklären – unter anderem auch über die Vergabe von Passwörtern. Wir haben schon oft mit Penetrationstests bei unseren Kunden festgestellt, dass die Passwörter oft zu schwach sind. Es kommt tatsächlich noch immer vor, dass das Passwort ‚12345‘ vergeben wird. Ein solches Passwort lässt sich mit einem entsprechenden Programm innerhalb von Sekunden knacken. Es nützt nichts, den größten Bunker zu bauen, wenn der Schlüssel im Schloss steckt.


„Er dachte, wenn er niemandem davon erzählt, dann weiß das ja keiner und so wird auch schon niemand darauf zugreifen.“


Dann sind Mitarbeiter also nach wie vor auch ein Risiko für Unternehmen?

Insbesondere die älteren Semester, die noch nicht mit Computer und Internet aufgewachsen sind, haben nicht das Bewusstsein für die aktuellen Cybergefahren. Außerdem kommt noch ein anderer Aspekt hinzu: Es gibt auch Mitarbeiter, die ihrem Unternehmen bewusst schaden möchten. Das ist gar nicht so selten. Wir hatten beispielsweise einen Fall, bei dem ein Mitarbeiter seine Firma sabotierte, indem er komplette Vorgänge im System nach der Auslieferung der Ware einfach verschwinden ließ. Unser Kunde hat sich dann gewundert, dass er keine Zahlung über seine Lieferung erhalten hat. Der Endkunde wiederum teilte ihm mit, dass er nicht zahlen könne, weil die Lieferung ohne Lieferschein und Rechnung angekommen sei.


Was geschah dann?

Als unser Kunde in seinem ERP-System nach dem Vorgang suchte, hat er dann festgestellt, dass der Vorgang durch den Administrator gelöscht wurde. Das ließ sich revisionssicher im System nachvollziehen. Da nur drei Personen Adminrechte hatten, war der Schuldige zwar schnell gefunden, beweisen konnte man ihm aber nichts. Unser Kunde musste dann tatsächlich die Ware zu hohen Kosten bei seinem Kunden wieder abholen lassen, neu einbuchen und dann den kompletten Vorgang wiederholen. Das ist nur ein Beispiel, was Mitarbeiter, die Adminrechte haben, anrichten könnten.


Und was können Unternehmen in einem solchen Fall tun?

Es ist sehr wichtig, die Zugriffsrechte klar zu regeln. Jeder Mitarbeiter sollte nur das durchführen dürfen, was er für seine Tätigkeit benötigt. Damit lässt sich schon vieles eindämmen. Mitarbeiter, die Adminrechte besitzen, erhalten natürlich besondere Freiheiten, die jedoch ebenfalls kontrolliert werden müssen. Aber eines sollte immer klar sein: Wenn eine Person einem Unternehmen schaden will, wird sie immer einen Weg finden, das auch zu tun.


Sind Unternehmen in dieser Hinsicht noch immer zu blauäugig?

Ja, wir stellen leider immer wieder fest, dass gerade kleine und mittelständische Unternehmen die Gefahren nicht kennen. Wir wurden beispielsweise von einem Kunden beauftragt, einen Penetrationstest durchzuführen, um durch gezielt ausgeführte Angriffe die Empfindlichkeit von Netzwerken oder IT-Systemen gegenüber Einbruchsund Manipulationsversuchen festzustellen. Hier kommen ähnliche Methoden und Techniken zum Einsatz, wie sie auch Cyberkriminelle verwenden. Dabei haben wir beim Kunden einen Netzwerkbereich gefunden, bei dem die IP-Zugänge ohne Eingabe eines Passwortes nutzbar waren. So konnten wir direkt auf die Produktionsanlage zugreifen und online die Oberfläche der Maschinensteuerung sehen.


Welche Konsequenzen kann das haben?

Wenn wir gewollt hätten, wäre es für uns ein Leichtes gewesen, die Maschine zu manipulieren oder komplett auszuschalten. Ein solcher Ausfall kann für KMUs existenzbedrohend sein. Unser Kunde wusste gar nicht, dass es diese Zugänge gibt. Wir kontaktierten dann den Hersteller der Maschine, der uns bestätigte, dass es sich hier um Wartungszugänge handelt. Er dachte, wenn er niemandem davon erzählt, dann weiß das ja keiner und so wird auch schon niemand darauf zugreifen. Das ist aber weit gefehlt. Mit heutigen Scannern ist es relativ einfach, diese Zugänge zu finden und auszunutzen.


Kämpfen große Unternehmen mit ähnlichen Problemen?

Konzerne sind in der Regel besser geschützt und verfügen über ein ganzheitlicheres Sicherheitskonzept. Denn durch eine einfache Ansammlung von Sicherheitsprodukten lassen sich die heutigen Cybergefahren längst nicht mehr eindämmen. Firmen müssen strategisch an ihre Unternehmensicherheit herangehen. Externe Sicherheitsexperten wie Konica Minolta unterstützen auch kleinere und mittlere Unternehmen bei der Umsetzung eines nachhaltigen Security-Konzeptes.

Focus Security

WannaCry?

Der größte Bunker nützt nichts, wenn der Schlüssel im Schloss steckt

Wie viele Tage dauert es, eine Cyberattacke zu erkennen?

Wenn das Botnetz die Kamera hält