IT-Sicherheit

Gefahr aus dem Netz

Cybersecurity
16.02.2024

Ein wenig stutzig war man bei der Tischlerei Scheschy ja schon, als die Rechnung eines langjährigen Lieferanten plötzlich eine neue, unbekannte Kontonummer enthielt. Doch auf Rückfrage beim fakturierenden Unternehmen per E-Mail schrieb dieses zurück, dass alles in Ordnung sei und man doch bitte auf die neue Kontonummer überweisen soll. Es kam, wie es kommen musste: Nach einiger Zeit stellte sich heraus, dass die Mail mit der echten Rechnung samt korrekter Kontonummer von Internetkriminellen abgefangen, manipuliert und dann an Scheschy weitergeleitet worden war. Das Geld war futsch, den Schaden hatte der Lieferant, dessen Mailserver gehackt worden war. Besonders perfide: Auch die Nachfrage, ob denn die neue Kontonummer wirklich richtig sei, war abgefangen worden. Das Opfer hat diese Nachfrage gar nicht zu Gesicht bekommen und deshalb auch nichts mitbekommen – bis es zu spät war.

Dunkles Milliardengeschäft

Längst sind es nicht mehr nur große Industrieunternehmen, Banken, politische Parteien oder sicherheitskritische Infrastruktur, auf die es Cyberkriminelle abgesehen haben. Heute kann es jeden und jede, und natürlich auch jedes Unternehmen treffen. Das hängt mit einem Wandel der „Verbrechenskultur“ zusammen: War die so genannte „Malware“, also schädliche Software, in der Frühzeit des Informationszeitalters noch das Produkt stolzer, wollpullovertragender Programmierfreaks mit idealistischem Anspruch, so dominieren heute abgebrühte Profiverbrecher das Feld.

Cyberkriminalität ist zu einem Milliardengeschäft für generalstabsmäßig durchorganisierte Gruppierungen geworden. Und Geld gibt es nun einmal überall im World Wide Web und den damit verbundenen Diensten abzugreifen. Nicht zuletzt deshalb, weil ahnungslose oder zumindest leichtfertige Anwender es den dunklen Gesellen im Netz oft unnötig leicht machen.

Rüdiger Linhart, Geschäftsführer Alldata
Rüdiger Linhart, Geschäftsführer Alldata  

"Jeder hat einen Steuerberater, eine Buchhaltung, eine Haftpflichtversicherung, einen Rechtsanwalt. Deshalb sollte man auch einen IT-Berater haben, den man rasch kontaktieren kann, wenn etwas passiert. «

Geschäftsmodell Erpressung

Was sind denn nun die großen Gefahren der Gegenwart? Ein Blick in den alljährlich vom Bundeskanzleramt veröffentlichten „Bericht Cybersicherheit“ gibt die Antwort: Ransomware (siehe Glossar auf Seite 11) ist nicht nur die Nummer Eins der IT-Bedrohungen, sondern steigt in ihrem Schadensausmaß außerdem von Jahr zu Jahr. Ransomware ist ein Typus von Schadsoftware, der Daten auf dem Rechner des Opfers verschlüsselt und damit unbenutzbar macht.

Mit anderen Worten: Man hat als Unternehmer keinen Zugriff mehr auf seine Kundendaten, Projektdaten, Rechnungen, Pläne, Kostenvoranschläge, Maschinenprogramme, Kataloge, Stücklisten und so weiter. Was auch immer im betroffenen Netzwerk oder Rechner digital vorhanden war, ist kryptografisch dem Zugriff des rechtmä- ßigen Besitzers entzogen. Das dazugehörige „Geschäftsmodell“ ist klassische Erpressung: Die Verschlüsselung wird nur dann wieder aufgehoben, wenn der Betroffene bezahlt, vorzugsweise in einer Kryptowährung. Das ist nicht nur demütigend, sondern kann auch rasch zur geschäftlichen Katastrophe werden.

Angenommen, man kann Renderings einer geplanten Küche nicht wie vereinbart an den Kunden schicken. Oder Montagepläne nicht an die Mitarbeiter auf der Baustelle. Oder, noch banaler, man kann keine Rechnungen mehr erstellen, weil der Zugriff auf die zugrunde liegenden Daten fehlt. „Gegen diese Bedrohung gibt es nur eine zuverlässige Maßnahme, nämlich regelmäßige Backups“, weiß IT-Security-Experte Rüdiger Linhart, Geschäftsführer des Sicherheits-Dienstleisters Alldata. Und zwar nicht auf einem Medium, das mit dem Netzwerk verbunden ist, sondern auf davon getrennten Datenträgern. Die Häufigkeit eines Backups hängt von den spezifischen Anforderungen des Unternehmens ab, ist aber automatisierbar.

„Man sollte sich auch vorab überlegen, welche Daten für das Unternehmen lebensnotwendig sind. Diese sollten dann regelmäßig gesichert werden“, so Linhart. Der Vorteil von Backups ist offenkundig. Man entzieht den Erpressern damit den Hebel der Drohung. Man setzt sein System ganz einfach neu auf, spielt das Backup ein und kann unbeschwert weiterarbeiten. Die Sicherheitslücke sollte man zuvor freilich auch noch schließen.

Personenbezogene Daten

Eine Verschärfung des Erpressungsszenarios ist es, wenn die Cyberkriminellen Daten nicht nur verschlüsseln, sondern auch mit deren Veröffentlichung drohen. Für kleine Tischlereien wird das im Normalfall zwar nicht relevant sein. Könnte es aber, falls man etwa für Kunden arbeitet, deren Daten besonders heikel sind.

Hat man zum Beispiel die Einrichtung für eine Bank gefertigt, verfügt man wahrscheinlich über die Grundrisse der Immobilie. Natürlich ist es nicht wünschenswert, wenn diese an die falschen Hände gelangen. Zudem hat jedes Unternehmen gemäß Datenschutzgrundverordnung (DSGVO) die Verantwortung für personenbezogene Daten, die es verarbeitet. Darunter versteht der Gesetzgeber jede Art von Information, durch die Rückschlüsse auf die Identität einer Person gezogen werden können. Also auch Adressen, Telefonnummern oder Fotos des Eigenheims.

Übrigens: Gemäß DSGVO und österreichischem Datenschutzgesetz (DSG) ist jedes Unternehmen verpflichtet, eine „Verletzung des Schutzes personenbezogener Daten“ an die zuständige Datenschutzbehörde zu melden. Unter bestimmten Bedingungen müssen sogar all jene Personen, deren Daten betroffen sein könnten, proaktiv informiert werden. Es ist also ratsam, für Datenschutz zu sorgen.

Gerhard Scheschy, Geschäftsführer Tischlerei Scheschy
Gerhard Scheschy, Geschäftsführer Tischlerei Scheschy  

" Wir haben unsere Mitarbeiterinnen und Mitarbeiter geschult und hoch sensibilisiert. IT-Sicherheit ist ein Riesenthema, oft kommt man zufällig unter die Räder."

Einfallstor CNC-Maschine

Zum Glück ist es gar nicht so schwer, einen Minimalstandard herzustellen, der bereits vor einem Großteil der Gefahren schützt. Experten sprechen von der „80-zu-20-Regel“: Demnach kann man mit 20 Prozent des theoretisch möglichen Gesamtaufwands bereits 80 Prozent der Gefahrenquellen beseitigen.

Ein besonders häufiges Einfallstor in das eigene System ist das E-Mail-Konto. Zum einen ist E-Mail das wohl wichtigste Medium der unternehmerischen Kommunikation nach außen. Zum anderen ist die E-Mail-Adresse oft mit verschiedenen Diensten, wie zum Beispiel Onlineshops, verknüpft. Wer Zugriff auf die E-Mail-Adresse eines Opfers hat, kann daher auch oft andere Daten abgreifen. Linhart empfiehlt deshalb, für das E-MailKonto eine Zwei-Faktor-Authentifizierung zu nutzen. Mittlerweise bieten alle seriö- sen E-Mail-Provider diese Option an. Dabei schützt man den Zugang zu seinem E-Mail-Konto zusätzlich zum herkömmlichen Passwort durch einen zweiten Schutzfaktor. Das kann beispielsweise ein Sicherheitscode sein, der von einer App auf dem Smartphone generiert wird.

Als mittlerweile selbstverständlich dürfte die Empfehlung gelten, seine IT-Landschaft stets auf dem aktuellen Stand zu halten, Updates also nicht nur zur Kenntnis zu nehmen, sondern auch zu installieren. Unverzichtbar sind außerdem Virenschutz und Firewall. Wer durchgängige CAD/CAM-Lösungen in seinem Betrieb benutzt, hat typischerweise eine Datenverbindung zwischen Büro und Werkstatt geöffnet. Über diese werden die im Büro erzeugten Maschinenprogramme an die Bearbeitungsmaschinen übertragen. Hier empfiehlt es sich, die Verbindung nur dann zuzulassen, wenn sie auch wirklich benötigt wird. Ansonsten sollte sie geschlossen bleiben.

Auch ein selektiver Zugang wäre klug. Etwa nur von jenen Bürorechnern aus, auf denen die entsprechende Software läuft. Das Problem ist weniger, dass Hacker über die Bü- ro-PCs Zugriff auf die Maschinen erhalten und diese dann aus der Ferne steuern könnten (obwohl auch so etwas schon vorgekommen ist). Umgekehrt sind CNC-Maschinen, deren Steuerungssoftware noch auf alten, vom Hersteller nicht mehr gepflegten und somit rettungslos unsicheren Betriebssystemen basieren, die Schwachstelle. Von hier aus könnten findige Hacker den Weg in das Office-Netzwerk nehmen

Andreas Tomek, Partner, KMPG
Andreas Tomek, Partner, KMPG  

"Die Schäden können enorm sein, beinahe jedes siebte Unternehmen musste aufgrund eines Ransomware-Angriffs Betriebsunterbrechungen von mehr als vier Wochen in Kauf nehmen, ein Drittel der Unternehmen immerhin von rund einer Woche."

Eine Million Euro Schaden

Das Cyberkriminalität wird nicht verschwinden, das steht außer Streit. Sie wird im Gegenteil weiter anwachsen und künftig wohl noch mehr Ungemach bereiten, finanzieller wie organisatorischer Art. Das Beratungsunternehmen KPMG hat in seiner Studie „Cybersecurity in Österreich 2023“ 903 heimische Unternehmen nach ihren Erfahrungen mit Cyberangriffen befragt.

Erschreckend: Jedes einzelne von ihnen war im vergangenen Jahr zumindest einmal von irgendeiner Form der Attacke betroffen. Zwölf Prozent dieser Angriffe waren außerdem erfolgreich (aus Sicht der Angreifer). Bei zwölf Prozent der Opfer betrug die resultierende Schadenssumme mehr als eine Million Euro, bei etwa 50 Prozent immerhin noch 100.000 Euro. „Ich bin ein kleiner Tischler, habe ein paar Mitarbeiter, einen treuen Kundenstamm, falle nicht auf. Warum sollte sich ein Hacker überhaupt für mich interessieren?“, mag so mancher dennoch denken. Zugegeben, der klassische, kleine Tischlereibetrieb, der weder russische Oligarchen noch internationale Finanzinstitute oder Industriemagnate zu seinen Kunden zählt, scheint auf den ersten Blick ein völlig uninteressantes Ziel für Cyberkriminelle zu sein.

Das ist im Grunde zwar richtig, mit zwei Einschränkungen jedoch. Erstens kann auch ein kleiner Betrieb Opfer eines individuell zielgerichteten Angriffs werden. Ein neidiger Mitbewerber, ein verärgerter (Ex-)Mitarbeiter, ein unzufriedener Kunde, womöglich ein höchst privater Grund – und schon ist man irgendjemandes Zielscheibe. Zweitens, und das ist wesentlicher, gilt das, was Linhart als das „Problem Beifang“ bezeichnet. „Es ist wie beim Thunfischfang – der Delphin ist gar nicht das Ziel, er wird aber oft zum unfreiwilligen Opfer“, sagt er. Schadsoftware, die sich automatisiert durch das weltweite Netz ausbreitet gelangt so irgendwann einmal auch an die Tür des kleinen Handwerksbetriebes und findet hier oft genug Einlass

Im Zweifel: Anrufen

Sicherheit beginnt mit Bewusstseinsbildung. „Es kann jeden treffen“, ist Linhart überzeugt. „Und wahrscheinlich wird es auch jeden einmal treffen. Je besser man darauf vorbereitet ist, desto weniger kann passieren.“

Wenn es doch einmal passiert, dann sollte man schnell handeln. Als erstes gilt es, sein Netzwerk vom Internet zu trennen. Hat man einen IT-Dienstleister, wäre genau jetzt der richtige Zeitpunkt, um ihn anzurufen. Hat man keinen, erhält man über die Cyber-Security-Hotline der Wirtschaftskammer Notfallhilfe (0800 888 133). Das rund um die Uhr besetzte Call-Center empfiehlt Erstmaßnahmen und vermittelt Kontakt zu professionellen IT-SicherheitsUnternehmen.

Auch Gerhard Scheschy hat die Security seiner Firmen-IT ausgelagert. Alle Daten, die rein- oder rausgehen, laufen über sichere Server und werden gecheckt. „Zusätzlich haben wir unsere Mitarbeiterinnen und Mitarbeiter geschult und hoch sensibilisiert“, sagt Scheschy. Zum Beispiel achten diese jetzt besonders genau auf ungewöhnliche Merkmale in Lieferantenrechnung und anderer Korrespondenz. „Wenn sich eine Kontonummer ändert oder auch nur das Firmenlogo leicht abweicht, rufen wir dort an, um sicherzugehen, ob alles in Ordnung ist.“ Gesunder Menschenverstand bleibt auch in Zeiten der Hochtechnologie unverzichtbar. „Die größte Gefahr sitzt vor dem Monitor“, lautet bekanntlich ein Bonmot der IT-Security-Branche

Branchen
Tischlerei