IT-Sicherheit ist auch ein Thema für Klein- und Mittelbetriebe. Die Angreifer werden fortwährend intelligenter und nutzen Peripherie-Geräte, wie ans Internet angeschlossene Drucker, Video-Kameras, Smartphones oder Fernseher, um illegal an geschützte Daten zu kommen.
Der klassische Banküberfall wird immer mehr von dreister Cyberkriminalität abgelöst. Neustes Beispiel: Einem Freiburger KMU wurde ein siebenstelliger Betrag gestohlen. Hierbei simulierte der Angreifer mittels gestohlener E-Mailadressen einen Geschäftspartner. Damit konnte das Opfer dazu bewegt werden, einen E-Mail-Anhang zu öffnen, der dem Angreifer durch die Installation eines Trojaners den Diebstahl ermöglichte.
Dieses Beispiel zeigt: Die Angreifer müssen sich ein Wissen über das Opfer aneignen (z.B. Mailadressen des Geschäftspartners), werden immer gescheiter und sie nutzen die Schwachstelle Mensch (Sozial Engineering), um sich gesetzeswidrig zu bereichern, Daten zu stehlen oder an Firmengeheimnisse zu gelangen. Doch wie kann und muss sich ein Unternehmen schützen?
Tobias Ellenberger, COO der Oneconsult AG (Thalwil), das Unternehmen ist mit 18 Mitarbeitenden bei mehr als 200 Unternehmen in der Schweiz, Europa und Übersee in den Bereichen IT Security, konzeptionelle Security Audits und digitale Forensik tätig: «Die meisten grossen Firmen – insbesondere Banken - sind mittlerweile derart gut gegen Angriffe von aussen geschützt, dass die Angreifer vermehrt versuchen, über Zulieferer, Subunternehmen oder Partner einen Zugang an die gewünschten Unternehmensdaten zu erhalten.»
Nicht von der Grösse abhängig
Damit ist auch klar, die Unternehmensgrösse ist nicht massgebend, wie stark der Schutz eines Unternehmens sein muss. «Wir beraten Unternehmen in der Grösse von drei Computerarbeitsplätzen bis zu über 150 000. Die Grundsatzfrage lautet: «Habe ich sensible, schützenswerte Daten? Und wenn man eingangs erwähntes Beispiel betrachtet, hat beinahe jedes Unternehmen schützenswerte Daten, wie Personaldaten, Insiderwissen oder eben auch E-Mail-Adressen von Geschäftspartnern, welche für einen weiterführenden Angriff verwendet werden können.»
Das heisst, Schutz vor unberechtigtem Datenzugriff ist heute für alle wichtig. Dies gerade dann, wenn man weiss, dass immer mehr periphere Geräte (Videokameras, Drucker, Smartphones) sowohl ans interne Netzwerk wie auch ans Internet angeschlossen werden. Ellenberger nennt aber auch das Stichwort SCADA-Systeme (Supervisory Control and Data Acquisition) sowie Industriesteuerungen, die nie für eine Einbindung ins Internet konzipiert wurden. Bei diesen Geräten liegt ein grosses Gefahrenpotenzial. Sie sind, wenn überhaupt dann nur teilweise und sehr rudimentär ausgerüstet, um böswillige Angriffe abzuwehren.
Steuerungssysteme der Industrie
Gerade die Steuerungssysteme in der Industrie waren bis jetzt in sich geschlossene Systeme, die abgekoppelt von allem andern operierten. In jüngerer Vergangenheit hat man die Geräte fit gemacht, dass sie über IP angesprochen werden können und hat sich nicht darum gekümmert, wie die Geräte sicher gemacht werden könnten. «Bei diesen Steuerungen stehen wir da, wo wir vor Jahren mit den Computern waren», gibt Ellenberger zu bedenken.
Ist der Cyberkriminelle einmal auf der Steuerung, der Netzwerkkamera, dem Drucker oder dem Fernseher ist der Schritt ins firmeninterne Netz meist nicht mehr weit. Ellenberger weist darauf hin, dass anhaltend mehr und in beständig schnelleren Zeitabständen solche Geräte auf den Markt kommen. «Deshalb sollte sich jeder IT-Verantwortliche, bevor eine neue Technologie implementiert wird, zentrale Fragen nach der Sicherheit der Geräte und welchen Schutz sie gegen Angriffe von aussen bieten, stellen.» Und Ellenberger ergänzt: «Die Basissicherheit wird erhöht, wenn die jeweiligen Sicherheits-Updates, die von der Herstellerfirma zur Verfügung gestellt werden, zeitnah aufgespielt werden. Leider dauert es teilweise lange, bis die Hersteller entsprechende Updates bereitstellen. Um sich den Risiken bewusst zu sein, ist eine technische Sicherheitsüberprüfung (sog. Penetration Tests oder Ethical Hacking) sicher sinnvoll.»
Er erinnert aber daran, dass es die 100prozentige Sicherheit nicht gibt. Ellenberger geht davon aus, dass die Schweizer Unternehmer im Bereich Internet-Security «relativ gut unterwegs» sind, dass es aber noch Luft nach oben gibt.
Und wie geschützt sind die Videoüberwachungsanlagen in der Schweiz: «Da ist es schwierig, eine klare Aussage zu machen. Sicher ist, es gibt Betriebe, die sind sich der Gefahren bewusst und sind entsprechend geschützt. Es gibt aber auch welche, die schenken dem Thema überhaupt keine Beachtung.»
Digitale Forensik
Neben den technischen Security Audits und den konzeptionellen Security Audits ist die Oneconsult auch in der digitalen Forensik tätig. Egal ob Malware-Attacken, Datendiebstahl, Mobbing oder Drohungen immer werden sie beauftragt, die Spuren der Täter zu verfolgen und Ereignisse nachvollziehbar zu machen. Übrigens ein wachsender Unternehmenszweig. Waren es bis vor Kurzem pro Monat noch ein bis zwei Vorfälle, die abgeklärt werden mussten, sind es heute im Durchschnitt zwei bis vier. Gemäss Ellenberger ist es aber je nach Vorfall schwierig, den kriminellen Akt einer bestimmten Täterschaft zuzuordnen. «Die Anonymisierung ist heute ziemlich einfach und wenn der Angreifer länderübergreifend operiert, ist die Chance, dass er erwischt werden kann, relativ gering.»
Tobias Ellenberger, COO der Oneconsult AG (Thalwil): «Angreifer versuchen vermehrt, über Zulieferer, Subunternehmen oder Partner einen Zugang zu den gewünschten Unternehmensdaten zu erhalten.» (Bild-Combo: Peter Jenni/PD)