Jedes Jahr publiziert der Cybersecurity-Anbieter SecureLink einen Annual Security Report. Die im Report aufgeführten Daten und Statistiken basieren direkt auf den Beobachtungen der fünf europäischen Cyber Defense Centers (CDC), die das Unternehmen betreibt. Es sind reale Daten über reale Angriffe, was realistische Schlussfolgerungen ermöglicht. Die künstliche Intelligenz übernimmt die Klassifizierung und Kennzeichnung der etwa 10 Billionen Zeilen an Rohdaten. 250.000 Mal hat sie gesagt: „Hey Mensch, schau dir das mal an!“ Das Analytik-Team hat davon etwa 21.000 als relevante Vorfälle eingestuft.

Kleine Unternehmen sind von Angriffen stärker betroffen

Eine der gewonnenen Erkenntnisse lautet: Die Größe ist entscheidend. Nach den Worten von Eward Driehuis, Chief Research Officer bei SecureLink, hat man den Kundenstamm in drei Bereiche unterteilt: bis 1.000 Mitarbeiter, zwischen 1.000 und 10.000 und über 10.000. Acht Prozent der Vorfälle ereignen sich in kleinen Unternehmen mit weniger als 1.000 Mitarbeitern, 19 Prozent im mittleren Bereich und die überwiegende Mehrheit von 73 Prozent in großen Unternehmen. Größere Unternehmen sind in absoluten Zahlen also stärker von Cyber-Angriffen betroffen. Aber wenn man die Daten im Verhältnis zu der Anzahl an Mitarbeitern betrachtet, ergibt sich ein ganz anderes Bild: Mittlere und große Unternehmen waren in relativen Zahlen gleichermaßen betroffen. Pro 100 Personen haben sie etwa 1,5 Angriffe pro Jahr. Bei den kleinen Unternehmen stieg die Zahl sogar um den Faktor fünf auf 9,1. Das sind etwa sechsmal mehr Angriffe pro Kopf als bei den mittleren und großen Firmen. Das bedeutet, dass 9 von 100 Mitarbeitern innerhalb eines Jahres in Sicherheitsvorfälle involviert sind. Ein 200-Mann-Unternehmen muss demzufolge mit 18 erfolgreichen Angriffen fertig werden. Kleine Unternehmen sind zudem schlechter gerüstet als die größeren. Sie werden häufiger getroffen und die Wirkung ist schlimmer. Cyber-Sicherheit ist nicht fair. Es empfiehlt sich „Brandschutzübungen“ abzuhalten, um sich darauf vorzubereiten. Denn die Frage ist nicht, ob ein Angriff passiert, sondern wann. Die gute Nachricht: 99 Prozent der Angriffe erfolgen als Schuss ins Blaue, sie zielen also nicht auf ein bestimmtes Unternehmen ab.

Ransomware lebt wie eh und je

Die zweite Erkenntnis: Ransomware startet ein Comeback. Seit der Bitcoin und andere Krypto-Währungen in den Keller gerauscht sind, lohnt sich herkömmliches Cryptojacking nicht mehr, wo es um die Rechenleistung des Opfers für das Mining geht. Lukrativ aber ist es für Cyber-Kriminelle geworden, Online Backups zu zerstören und dann eine Ransomware zu aktivieren, um das Unternehmen zu erpressen. Der generelle Ratschlag lautet, nicht zu bezahlen, weil man damit das ‚Geschäftsmodell‘ am Leben hält. Aber wenn ein CEO die Optionen hat, auf die Forderungen der Kriminellen einzugehen oder den Gang in den Konkurs anzutreten, wird er sich für ersteres entscheiden. „Es geht ja nicht nur um die Verantwortung für das Unternehmen, sondern für die Mitarbeiter, die ihre Familien finanziell unterhalten möchten“, so Driehuis.

Eine weitere Schlussfolgerung des Berichts betrifft die Auswirkungen der Cyber-Angriffe. Die geschäftskritischen Einschläge gingen um den Faktor zehn zurück. Gleichzeitig hat sich auch die Zahl der Angriffe mit geringfügigen Auswirkungen verringert, sodass die überwiegende Mehrzahl nun als mittelschwer einzustufen ist.

Social Engineering als Einfallstor

Was die Methoden betriff, um in ein Unternehmensnetzwerk zu gelangen, so steht Social Engineering am Beginn der meisten Angriffe, also das Ausspähen von Mitarbeitern. Die Mehrheit der Cyber-Attacken hat mit Social Engineering zu tun und nicht mit Exploits, Malware- oder Zero-Day-Angriffen – und Social Engineering ist schwer zu erkennen. Aus Sicht des Angreifers ist es durchaus sinnvoll, sich auf die Verhaltensmuster eines Menschen zu konzentrieren. Social Engineering nutzt alle verfügbaren Online-Informationen. Unternehmen sollten daher das Sicherheitsbewusstsein der Mitarbeiter stärken und sie bezüglich manipulativer Techniken schulen, die gegen sie eingesetzt werden könnten. Darüber hinaus sollten die Unternehmen eine Zwei-Faktor-Authentifizierung einsetzen. Die zweite, verbreitete Methode ist das automatisierte Scanning. Wenn etwa ein Plugin einer Webplattform nicht aktualisiert wird, entdecken das Hacker sehr schnell. Aber nicht nur die Kriminellen, auch die Sicherheitsbranche macht Fortschritte. „Es ist wie eine Art Bockspringen“, sagt Driehuis, „mal ist der eine vorne, mal der andere“.

Staaten als Bösewichte

War vor wenigen Jahren noch herkömmliche Cyber-Kriminalität so ziemlich alles, wogegen man sich wehren musste, kommt heute zunehmend eine neue Quelle der Bedrohungen dazu: ausgeklügelte Langzeitkampagnen (Advanced Persistance Threats, APT), die Staaten zugeschrieben werden. Die Ziele reichen von Wirtschaftsspionage über geopolitische Ziele bis hin zu Sabotage und physischem oder ökonomischem Schaden. Ein Beispiel ist der Angriff auf eine saudi-arabische, petrochemische Fabrik, der eine Explosion hervorrufen sollte. APT-Gruppen sind bestens ausgestattete, bezahlte und professionelle Hacker. Ihre Vorgehensweisen und Methoden sind weit schwieriger vorherzusehen und abzuwehren als diejenigen gewöhnlicher Krimineller, die sich in der Regel auf den finanziellen Profit konzentrieren. Viele Unternehmen leiden dabei sogar unter Kollateralschäden, sind also gar nicht das Ziel gewesen, aber durch eine Streuung doch betroffen von der Attacke.

Während der Bedrohungs-Analyse ist einer der schwierigsten Prozesse die Zuordnung, also die Identifizierung der Quelle einer Bedrohung. Manchmal dauert es Jahre und manchmal erweist sich eine Zuordnung sogar als falsch. Die Malware ‚Olympic Destroyer‘ etwa war bei einem Angriff auf die Olympischen Spiele in Südkorea voller Hinweise auf Nordkorea. Das aber wird mittlerweile als falsche Fährte betrachtet, die bewusst vom eigentlichen Schöpfer gelegt wurde. Heutzutage geht man davon aus, dass Russland für das Schadprogramm verantwortlich ist.

Fazit

Zusammenfassend lässt sich sagen, dass auf der Liste der APTs vor allem Russland und Nordkorea für Schlagzeilen sorgen. Der Iran erhöht seit Jahren seine Kapazitäten und Vietnam konzentriert sich zunehmend auf die lokale Geopolitik. China unterhält die meisten APT-Gruppen, die sich alle auf die Industriespionage konzentrieren. Darum werden Nationalstaaten und organisierte Kriminelle nun zur hauptsächlichen Gefahr und sie stellen natürlich eine größere Bedrohung dar, als die ehemaligen Einzelkämpfer mit ihren wenigen Möglichkeiten und Ressourcen.