Tools aus den 90ern gegen aktuelle Bedrohungen

Immer mehr Kriminalität wandert in den digitalen Raum ab, die Ermittler kommen nicht mehr hinterher: Während die Fallzahlen steigen, stagniert die Aufklärungsquote. Hinzu kommt: Häufig genügen veraltete IT-Sicherheitslösungen nicht, um aktuelle Bedrohungen wie Ransomware abzuwehren und Cyberkriminelle agieren immer professioneller.

Experten warnen: Viel zu oft sind Unternehmen noch in der Cybersicherheit der 90er Jahre verhaftet. Doch die Anforderungen an die IT-Sicherheit steigen.

Zuerst traf es die österreichische Finanzmarktaufsichtsbehörde (FMA). Durch eine Sicherheitslücke im Datentransfer-Tool MOVEit konnten Angreifer mittels SQL-Injection Datensätze mit Personenbezug entwenden. Weitere Details nannte die FMA nicht, aber die Software wird nicht nur im Finanzsektor, sondern auch im Gesundheits- und Versicherungswesen eingesetzt. Beispielsweise hatte die AOK dadurch einen Großteil ihrer Internet-Aktivitäten einstellen müssen, Versicherte benötigten viel Geduld.

Kurz darauf geriet die Deutsche Leasing Tochter der Sparkassen-Gruppe, ins Visier. Die Sicherheitssysteme hatten Anomalien im Netzwerkverkehr entdeckt, daraufhin wurden etliche Systeme sicherheitshalber heruntergefahren. Neue Leasingverträge konnten laut Unternehmenssprecher danach erst mal nur auf Papier abgeschlossen werden. Die abgeschalteten Systeme waren auch nach über einer Woche noch nicht wieder online, die Arbeitsfähigkeit der Mitarbeiter und Mitarbeiterinnen eingeschränkt.

Die aktuellen Angriffe auf Finanzinstitutionen sind kein Zufall, sie offenbaren Ziele und Taktiken der Cyber-Gangster. Sie sind zugleich Indiz einer permanenten Professionalisierung der Untergrundszene.

20.000 Software-Schwachstellen und 500 Prozent mehr Angriffe

Die Leiter der Sicherheitsdienste und Ermittlungsbehörden zeigen sich besorgt: „Wir haben dieses Jahr schon jetzt über 20.000 Software Schwachstellen“, erklärte der stellvertretende BSI-Präsident Gerhard Schabhüser während der diesjährigen Potsdamer Konferenz für Nationale Cyber-Sicherheit des Hasso-Plattner-Instituts (HPI). Das spiegelt sich auch in massiv vermehrten Attacken wider. „Die European Air Traffic Control hat eine Zunahme der Angriffe innerhalb eines Jahres von 500 Prozent verzeichnet“, vermeldet Generalmajor Wolfgang Wien, Vizepräsident des Bundesnachrichtendienstes. Die Ermittler können mit dieser Entwicklung nicht mithalten: „Die Aufklärungsquote liegt unter 30 Prozent“, gesteht BKA-Präsident Holger Münch ein. Es besteht also ein großes Missverhältnis, denn eine wirkliche Steigerung ist dabei nicht zu verzeichnen, bei den Delikten hingegen schon. Eine Ursache hat Münch bereits ausgemacht: „Die Polizeien arbeiten im digitalen Raum zu stark nebeneinander her“. Die Attraktivität digitaler Verbrechen bleibt damit hoch und es verwundert nicht, dass das Resümee des BKA-Chefs lautet: „Immer mehr Kriminalität wandert in den digitalen Raum ab“. Russische Akteure seien dabei führend, erläutert er und verweist auf immer professionellere Strukturen: „Die Akteure agieren vernetzt miteinander, teilweise ohne sich gegenseitig zu kennen“. Cyber-Kriminelle setzen auf altbewährte Angriffstypen: „Die größte Bedrohung ist weiterhin Ransomware“, erläutert Schabhüser. Rund 130 Unternehmen und Kommunen seien im letzten Jahr Opfer dieser Variante geworden, führt er aus. Die Dunkelziffer ist dabei erfahrungsgemäß sehr hoch.

Angesichts der angespannten Bedrohungslage erstaunt die Gelassenheit vieler Sicherheitsverantwortlicher, wenn es darum geht, sich auf den Ernstfall vorzubereiten. „Etwa die Hälfte der Unternehmen hat keine Vorkehrungen getroffen, wenn etwas passiert“, also kein Notfallmanagement oder vergleichbare Maßnahmen für Security-Vorfälle getroffen, erzählt Christian Dörr, der am HPI den Bereich Enterprise-Cybersecurity leitet. Auch BKA-Chef Münch sieht dieses Defizit: „Krisenreaktionspläne sind noch eine große Herausforderung“.

Tools der 90er Jahre nicht mehr zeitgemäß

Doch auch dort, wo Sicherheitsmaßnahmen getroffen wurden, sehen Experten noch dringenden Entwicklungsbedarf: „Oftmals ist man in der Cybersicherheit der 90er Jahre verhaftet“, bemerkt Dörr. Unternehmens-Firewalls und andere klassische Technologien seien jedoch im Homeoffice nicht mehr hinreichend. Die Schutzformen müssten sich den Weiterentwicklungen und Veränderungen der Arbeitswelt anpassen. Rein technologische Maßnahmen sind dabei nicht immer zielführend: „Oft wird gedacht, dass man Probleme der IT mit noch mehr IT lösen kann“, warnt Dörr.

Die Sicherheitsbehörden bleiben indes nicht untätig und passen sich auf die veränderte Lage an, etwa um Ransomware-Gangs zu bekämpfen: „Wir gehen auf die Infrastruktur“, erläutert Münch. Damit soll den Banden ihre Betriebsbasis entzogen werden, wie etwa im Fall Emotet. Gleichzeitig habe das Bundeskriminalamt eine „Cyber Toolbox“ entwickelt, die von anderen Ermittlungsbehörden genutzt werden könne. Dazu zählen laut Münch auch Tools wie ein „Telegram-Cleaner“, mit dem das Löschen von Nachrichten veranlasst werden könne. Auch eine eigene App wurde vom BKA entwickelt. Als ein wesentliches Ziel der Maßnahmen nennt Münch Ermittler zu vernetzen und Anfragen abzugleichen.

Besonders gefährlich kann die Situation für kleinere und mittlere Unternehmen (KMU) werden. Einen Ratschlag für KMU hatte Schabhüser mitgebracht: „Macht eure IT nicht selbst“, empfahl er. Kleinere Unternehmen sollten stattdessen lieber auf Dienstleister oder Cloud-Services zurückgreifen. „Es kostet zwar etwas, aber erfolgreiche Angriffe kosten noch viel mehr“, warnt er und fügt hinzu: „Cloud-Services haben das Potenzial, sehr robust zu sein. Das haben wir auch in der Ukraine gesehen.“ (Zum Beitrag „So trotzt die Ukraine dem neuen Kalten Krieg im Cyberraum“) BKA-Chef Münch sieht ebenfalls Handlungsbedarf bei KMUs: „Wir müssen uns gerade um die Kleinen und Schwächeren kümmern“.

Autor: Uwe Sievers