Cyber-Kriminalität "Angriffe wie ein Präzisionsschuss"

US-Promis wie Rihanna klagen über geklaute Nacktfotos aus der iCloud. Doch die meisten Cyber-Angriffe werden heute gar nicht erkannt, warnt IT-Experte Jörg Asma. Er erklärt, wie Angreifer ihre Opfer gezielt auswählen - und wie Firmen und Privatnutzer ihre sensiblen Daten schützen.
Und drin ist er: Cyber-Kriminelle nutzen nicht nur Schwachstellen wie jüngst den "Heartbleed"-Bug in der SSL-Verschlüsselung, um sensible Daten abzugreifen

Und drin ist er: Cyber-Kriminelle nutzen nicht nur Schwachstellen wie jüngst den "Heartbleed"-Bug in der SSL-Verschlüsselung, um sensible Daten abzugreifen

Foto: Tobias Hase/ dpa

mm: Nicht nur US-Promis beklagen Datendiebstahl aus der iCloud. Heartbleed-Attacken auf den DSL-Router, gehackte E-Mail-Konten sowie Angriffe auf das Online-Bankkonto verstärken auch in Deutschland das Gefühl, verstärkten Cyber-Attacken ausgesetzt zu sein. Ist das nur ein Gefühl oder sind die Attacken und Umsätze der Datendiebe tatsächlich stark angestiegen?

Jörg Asma: "Cyber-Kriminalität" wird zu einer immer stärken Bedrohung, sowohl für Privatpersonen als auch für Unternehmen, damit für ganze Volkswirtschaften. Aufgrund der Vielzahl der heutigen Endgeräte, Online-Konten und des in vielen Fällen öffentlich einsehbaren Nutzerverhaltens wird es für Angreifer immer einfacher, eine nicht verschlossene Tür zu finden, über die sie dann ganze Netzwerke kompromittieren.

mm: Das Bundeskriminalamt zählte in Deutschland knapp 65.000 Attacken im vergangenen Jahr. Das ist, im Verhältnis zur stark gestiegenen Online-Aktivität, noch kein Grund zur Panik.

Asma: In Deutschland selbst besteht keine Meldepflicht für Cyber-Attacken, darum liegt kein statistisch belastbares inländisches Material vor. Auch das Bundeskriminalamt spricht von einer hohen Dunkelziffer. Internationale Studien, wie zum Beispiel jüngst von der Firma McAfee, gehen davon aus, dass in Deutschland im Jahr 2013 durch Cyber-Kriminalität ein Schaden in Höhe von rund 45 Milliarden Euro entstanden ist. Die Steigerungsraten von Jahr zu Jahr liegen zwischen fünf und 15 Prozent

Fotostrecke

Promi-Hacker: Diese Stars wurden ausgespäht

Foto: Jason Merritt/ Getty Images

mm: Eine solche Summe wirkt als starker Anreiz, mehr Geld in die gängigen Präventionsprogramme zu investieren. Können Unternehmen und Privatnutzer sich Sicherheit erkaufen, indem Sie regelmäßig Geld in die neue Firewall oder in das neueste Anti-Viren-Programm investieren?

Asma: Leider nein. Diese Programme bieten keinen Rundum-Schutz, da sich die Form der Cyber-Attacken verändert hat: Gezielte Angriffe, die eher wie ein Präzisionsschuss als ein Pfeilhagel das Opfer treffen, haben deutlich zugenommen. Dabei ist zu unterscheiden zwischen der Attacke auf ein einzelnes Individuum und einer eng umrissenen Gruppe. Ersteres ist für Privatpersonen häufig weniger relevant, aber umso mehr für Mitarbeiter und vor allem Führungskräfte von Unternehmen. Cyber-Kriminelle versuchen in den meisten Fällen nicht mehr das ganze Netzwerk von außen zu knacken, sondern eine einzelne Schwachstelle zu finden und über diese einzudringen. Das kann der Dienstreisende mit seinem Mobiltelefon genauso wie der Messebesucher sein, der gezielt einen verseuchten USB-Stick mitbekommt.

Angriff auf die Nutzergruppe: "Spear Fishing" wird immer beliebter

mm: Dass ein Firmen-Mitarbeiter nicht jeden x-beliebigen USB-Stick an den Firmenlaptop oder Dienstrechner anschließen sollte, müsste sich herumgesprochen haben. Wie aber funktioniert ein Angriff auf eine Nutzer-Gruppe?

Asma: Der Angriff auf die Gruppe findet heute nach der Methode des "Spear Fishing" statt. Eine Gruppe können Nutzer eines bestimmten Email-Dienstes, Kunden einer spezifischen Bank oder Besucher einer journalistischen Website sein. Sie erhalten über verschiedene Kanäle - von Email über Twitter bis hin zu SMS - immer wieder Nachrichten, die sie dazu verführen sollen, einen Link zu klicken. Und in dem Moment ist der Angreifer im Netz. Dies ist auch für Privatpersonen die größte Gefahr. Diese neue Bedrohungslage führt dazu, dass Prävention immer kostenintensiver wird bei gleichzeitig sinkender Effektivität in der Abwehr. Schätzungen besagen, dass heute nicht einmal mehr die Hälfte aller Angriffe entdeckt wird.

mm: Wenn die klassische Prävention allein nicht mehr funktioniert und jeder zweite Angriff nicht einmal bemerkt wird - in welcher Weise können sich Unternehmen und Privatpersonen überhaupt noch schützen?

Asma: Privatpersonen genauso wie Mitarbeiter müssen viel intensiver über wirkliche Bedrohungsszenarien und den Umgang mit diesen aufgeklärt werden. Alle wissen bereits: Nichts ist mehr sicher. Dies führt immer wieder zu übertriebener Paranoia oder gar Resignation aus Überforderung. Beides ist selbstverständlich falsch. Vielmehr gilt es neutral aufzuklären und einfach formulierte Handlungsanweisungen an die Hand zu geben, wie sich in "unsicheren" Situationen zu verhalten ist. Sie haben bereits das Beispiel genannt, dass Mitarbeiter niemals einen USB-Stick nutzen sollten, den Sie von Dritten erhalten haben. Wenn Sie diesen einfachen Rat befolgen, bringen Sie wieder sich noch Ihr Firmennetzwerk in Gefahr. Wenn Sie den Inhalt des Sticks aber unbedingt benötigen, sprechen Sie zunächst mit Ihrer internen Sicherheits- und IT-Abteilung. Haben Sie das einmal verinnerlicht, lässt sich leicht mit dieser Regelung leben.

Ein Sicherheitslagebild entwerfen

mm: Dennoch kommt man mit Standard-Sicherheitslösungen heute offenbar nicht mehr weit - selbst wenn es die Aufklärung der eigenen Mitarbeiter einschließt.

Asma: Die bereits beschriebenen Entwicklungen führen unweigerlich dazu, dass Standard-Lösungen nicht mehr greifen, da die Einfallstore zu vielfältig geworden sind. Wir analysieren zunächst die möglichen Bedrohungsszenarien von Unternehmen, prüfen inwieweit die aktuellen Strategien und Prozesse für diese Szenarien adäquate Lösungen anbieten und entwerfen auf dieser Basis ein Sicherheitslagebild. Das ist der Schlüssel um zu erkennen, welchen Angriffsmöglichkeiten ich heute als Unternehmen schon einen Riegel vorschiebe und wo ich noch nacharbeiten muss. Auf dieser Basis gilt es die Sicherheitsarchitektur eines Unternehmens umzubauen.

mm: Wenn die Mehrzahl der Opfer noch nicht einmal weiß, dass ihnen Daten gestohlen wurden, klingt das wie ein Paradies für Cyber-Kriminelle. Wie kann man sich dennoch schützen?

Asma: Sicherheitsstrategien und -architekturen haben in der Vergangenheit vor allem auf Prävention und Perimeterschutz gesetzt, nach dem Motto: "Wenn die Mauern dick genug sind und die vergleichsweise wenigen trojanische Pferde erkannt, wird uns nichts passieren." Die Investitionen sind vor allem in die Verbesserung der Schutzwälle geflossen. In der heutigen Zeit ist es dagegen fast unmöglich, nicht durch Cyber-Attacken geschädigt zu werden.

mm: Das bedeutet?

Asma: Darum muss es künftig vor allem darum gehen, diese Schäden so gering wie möglich zu halten. Einige Unternehmen haben das bereits erkannt und verstehen unter dem Thema Sicherheit ein weitaus umfassenderes Konzept als in der Vergangenheit, das im Fachjargon Resilienz genannt wird - die Widerstandsfähigkeit von Unternehmen gegenüber Angreifern. Neben der nach wie vor wichtigen Prävention stehen hier folgende Dinge im Fokus: Eine genaue Erkennung erfolgter Angriffe, die Vorbereitung von Prozessen und Notfallplänen im Falle erfolgreicher Angriffe, die finanzielle Absicherung möglicher Schäden sowie die stetige Anpassung der Gesamtarchitektur. Diese Themen müssen Unternehmen ausreichend bearbeiten, um widerstandsfähig zu sein.

Fotostrecke

Promi-Hacker: Diese Stars wurden ausgespäht

Foto: Jason Merritt/ Getty Images