«Solange die Angriffe rentieren, werden sie zunehmen»

Nathalie Weiler, wie oft werden Unternehmen weltweit und in der Schweiz aktuell Opfer von Cyberangriffen?
Wie die offiziell gemeldeten Fälle des Nationalen Zentrums für Cybersicherheit zeigen, steigen die Vorfälle seit Beginn der Corona-Pandemie rasant; und wir sehen hier nur die offiziell gemeldeten in der Statistik. Vor allem Angriffe über die Angestellten wie zum Beispiel mit Phishing-Mails sind nach wie vor das Haupteinfallstor in Unternehmen.

Was kann getan werden, um dieses Haupteinfallstor zu schliessen?
Mit regelmässigem Security-Awareness-Training kann man zwar eine gewisse Immunität gegen solche Angriffe aufbauen, Hundertprozentige Sicherheit vor menschlichen Fehlern ist aber kaum erreichbar. Da es zudem sehr einfach ist, dieses Angriffe zu automatisieren und zu skalieren, ist es nur eine Frage der Zeit, bis ein Angreifer erfolgreich ist.

Wird in den Unternehmen genug getan im Bereich Security Awareness?
Als Cyber Security Specialist möchte man natürlich immer für seine Disziplin das meiste Geld, um das Unternehmen zu schützen. Aber im Ernst: Viele Unternehmen investieren signifikant in den Schutz aufgrund von vorhandenen Risikobeurteilungen. Oft scheitert es aber an den technischen und organisatorischen Möglichkeiten der Unternehmen.

Wie hoch sind die Schäden, die Schweizer Unternehmen jährlich durch Cyber-Angriffe erleiden?
Das lässt sich kaum beziffern. Wie gesagt: Wir kennen nur die offiziell gemeldeten Fälle und auch bei diesen selten die konkrete Schadenssumme.

Gibt es bestimmte Branchen und/oder Unternehmen, auf die es Angreifer besonders oft abgesehen haben?
Dedizierte, also gezielte Attacken gibt es natürlich. Solche Attacken machen aber nur einen vergleichsweise kleinen Teil aus. Alle Branchen leiden heute vor allem unter Attacken nach dem Giesskannen-Prinzip: Mit bösartiger Malware ab Stange wird zum Beispiel per Massenversand an eingekaufte Adressverzeichnisse versucht, Ransomware (Verschlüsselungstrojaner) via Phishing-Mails in Unternehmen einzuschleusen. Den Angreifern ist es dabei ziemlich egal, welche Unternehmen oder Behörden Opfer werden.

Seit Mitte 2021 machen Hacker im DACH-Raum unter dem Namen «Fancy Lazarus» wieder von sich reden. Nicht zuletzt, weil sie mit DDoS-Attacken mehrmals die Webseiten des Kantons und der Stadt St.Gallen lahmgelegt haben. Müsste ein Kanton dieser Grössenordnung nicht besser abgesichert sein, um solche Angriffe zu verhindern?
Die Details zur Attacke auf den Kanton St.Gallen sind mir nicht bekannt. Fancy Lazarus ist aber seit Juni des vergangenen Jahres stark verbreitet und nutzt die gleichen Schwachstellen der bereits bekannten Versionen von 2019 und 2020 aus. Die Analyse zeigt, dass im Vergleich zu den letzten zwei Jahren der Exploit zur Massenware geworden ist.

Und das bedeutet?
Der Angriff kann recht günstig eingekauft werden und auch durch Angreifer ohne tiefe Fachkenntnisse verwendet werden. Erfolgreich ist die Attacke, wenn die für den Angriff missbrauchten Systeme nicht auf dem neuesten Stand und deshalb verwundbar sind. Als angegriffenes Unternehmen empfehlen sich die Fachleuten bekannten, definierten und erprobten Incident-Management-Szenarien. Ausserdem sollten DDoS-Gegenmassnahmen beim Internet Service Provider aktiviert werden lassen. Diese müssen aber definiert sein, um auch im Angriffsfall effektiv zu werden.

Was hätten Sie anders gemacht als die Hoster der kantonalen Webseiten?
Da ich weder die Massnahmen in diesem konkreten Fall noch die Vorkehrungen des Hosters kenne, kann ich diese Frage nur allgemein beantworten: Der Notfallplan mittels mehrstufiger DDoS-Gegenmassnahmen sollte bei der Erkennung eines Angriffes aktiviert werden.

DDoS-Attacken waren vor allem Anfang/Mitte der 2000er-Jahre stark verbreitet. Danach sank die Zahl der erfolgreichen Angriffe kontinuierlich. Droht nach den jüngsten Attacken eine neue Welle solcher Angriffe?
Die Angreifer sind normalerweise auf Geld aus. Solange also das Kosten-Nutzen-Verhältnis stimmt, wird die Welle weitergehen. Brechen kann man die Welle nur, indem man den Nutzen reduziert und/oder die Kosten des Angriffes erhöht. Schützen können sich Organisationen nur, wenn sie die verletzlichen Systeme aktuellen Sicherheitsstandards anpassen sowie Angriffe früh im globalen Internet neutralisieren – also beispielsweise schädliche Mails abfangen, bevor sie in der Mailbox der Mitarbeiter landen.

Was kann man als Unternehmen tun, um solche Angriffe frühzeitig zu erkennen und bekämpfen zu können?
Als Unternehmen sollte man die entsprechen Eintrittspunkte ins Firmennetz überwachen oder diese Leistungen einkaufen. Zudem lohnt es sich, Pläne für Sicherheitsvorfälle zu erstellen und diese regelmässig zu trainieren.

Und was sollte man machen, wenn man trotz aller Vorsichtsmassnahmen erfolgreich angegriffen wurde?
Also wenn nichts mehr geht und man irgendjemandem einen Bitcoin überweisen soll. Da es sich bei diesen Angriffen fast ausschliesslich um ungezielte Massenangriffe handelt, verhindert eine Zahlung keine künftigen Angriffe. Zudem besteht nie die Gewissheit, dass die Angreifer nach einer Zahlung den verursachten Schaden rückgängig machen, indem sie zum Beispiel verschlüsselte Kundendaten wieder freigeben.

Wie ist Ihre Einschätzung: Werden Cyberangriffe in Zukunft (noch) häufiger oder wird die Abwehr-Software immer besser und kann so erfolgreiche Angriffe vermehrt verhindern?
Solange die Angriffe rentieren, werden sie weiterhin zunehmen. Abwehr ist leider nur das letzte Mittel. Vielmehr sollten Unternehmen bei präventiven Massnahmen ansetzen. Je schlechter das Kosten-Nutzen-Verhältnis für Angreifer, desto geringer das Risiko, Opfer zu werden. Den Zustand langfristiger Sicherheit, wird ein Unternehmen nicht mit einem einmaligen Effort erreichen können – es braucht kontinuierliche Anpassungen an aktuelle Angriffsszenarien.

Interview: Patrick Stämpfli
Bild: zVg

Prof. Dr. Nathalie Weiler ist an der OST – Ostschweizer Fachhochschule Professorin für Cyber Security. Sie bildet im Studiengang Informatik angehende Ingenieurinnen und Ingenieure aus und forscht als Institutspartnerin aktiv am INS Institut for Networked Solutions; vor allem im Bereich Cyber Security – von Security Management über Netzwerk- und Cloud-Security bis hin zu Application Security Architecture.