de en
Nexia Ebner Stolz

Wirtschaftsprüfung

IT-Sicherheit - geht mich nichts an?!

„Bis­her ist noch nie was pas­siert“, „Wir sind zu klein, als dass man sich für uns in­ter­es­sie­ren könnte“. Zwei von vie­len übli­chen Sätzen, die seit Jah­ren in vie­len Ab­tei­lun­gen so­wie Vor-stands­eta­gen fal­len, wenn es um Cy­ber-At­ta­cken geht. Doch die Rea­lität ist mitt­ler­weile eine an­dere.

Und nicht nur große, son­dern auch kleine und mitt­lere Un­ter­neh­men (KMU) sind re­gelmäßig Ziel von di­gi­ta­len An­grif­fen, teil­weise mit Fron­ta­lat­ta­cke (DDoS, Ran­som­ware, etc.) und teil­weise ver­deckt (Busi­ness Pro­cess Com­pro­mise, Ad­van­ced Per­sis­tent Th­reats – „APTs“, etc.). Dies be­le­gen zahl­rei­che Ex­per­ten, bei­spiel­haft seien fol­gende Zi­tate ge­nannt:

IT-Sicherheit - geht mich nichts an?!© Thinkstock
  • My mes­sage for com­pa­nies that think they ha­ven’t been at­ta­cked is: “You’re not loo­king hard enough”. – Ja­mes Snook, De­puty Di­rec­tor of the Of­fice for Cy­ber Se­cu­rity and In­for­ma­tion As­surance (OCSIA) United King­dom
  • “Smal­ler busi­nes­ses are fre­quent tar­gets for cy­ber­cri­mes for a sim­ple re­ason - they're easy tar­gets.” – en­tre­pre­neur.com

Anstieg der Gefahrenlage durch das Darknet

Kon­kret hat sich die Ge­fah­ren­lage dra­ma­ti­sch ver­schärft, hat sich doch seit nun­mehr ei­ni­gen Jah­ren re­gel­recht eine ei­gene Dienst­leis­tungs­bran­che im Dar­knet für Cy­ber-At­ta­cken ent­wi­ckelt, die wie folgt struk­tu­riert wer­den kann:

  • Hacking as a Ser­vice (HaaS)
  • Crime as a Ser­vice (CaaS)

Die Dienst­leis­tun­gen ori­en­tie­ren sich da­bei nicht nur am Na­men an den be­kann­ten Ge­schäfts­mo­del­len von SAP, Mi­cro­soft oder Ama­zon (Soft­ware, In­fra­struc­ture oder Platt­form as a Ser­vice; SaaS, IaaS oder PaaS).

Beide Dienst­leis­tun­gen, HaaS und CaaS, ver­ei­nen ein im­pli­zi­tes Ziel: Il­le­gale Hand­lun­gen ver­ein­fa­chen und über das Dar­knet brei­ter verfügbar zu ma­chen. Bei dem Dar­knet han­delt es sich um einen Be­reich im In­ter­net, der an­onym u. a. für sol­che kri­mi­nel­len „Hid­den Ser­vices“ ge­nutzt wird.

Die kri­mi­nel­len Dienst­leis­tun­gen rei­chen von ver­teil­ten De­nial-of-Ser­vice-At­ta­cken („DDos“) bis hin zum ge­ziel­ten Aus­le­sen oder Zerstören von In­for­ma­tio­nen auf be­stimm­ten Un­ter­neh­mens­ser­vern. 

Zu­neh­mend be­lieb­ter wer­den ein­zelne Sub­zweige, die sich bei­spiels­weise in der HaaS-Bran­che her­aus­bil­den, so gibt es ver­mehrt An­ge­bote aus dem Be­reich „Ran­som­ware as a Ser­vice“. 

Nach Re­gis­trie­rung ei­ner kos­ten­lo­sen API können sich kri­mi­nelle Ha­cker den Quell­code für die Ran­som­ware gleich her­un­ter­la­den, diese kom­pi­lie­ren und müssen diese dann nur noch ver­tei­len. Um den Zah­lungs­ver­kehr kümmert sich der Ser­vice­an­bie­ter, wel­cher 30 % der er­press­ten Löse­geld-Kryp­to­geld­ein­hei­ten als Ser­vice­gebühr ein­behält und 70 % an den ei­ge­nen Ac­count wei­ter­lei­tet. 

Er­schwe­rend kommt hinzu, dass auch die früher in einem Quasi-Mo­no­pol tätig ge­we­se­nen Un­ter­grund-Or­ga­ni­sa­tio­nen das Mo­nats-Abon­ne­ment als Ge­schäfts­mo­dell für sich ent­deckt ha­ben. Die Un­ter­grund-Ak­ti­vis­ten, wel­che den Eter­nalB­lue-Ex­ploit zu Wan­nacry (Ran­som­ware) aus dem Be­stand der NSA ent­wen­det ha­ben, bie­ten mitt­ler­weile ähn­lich mäch­tige Skripte und Teile von bewähr­ter Mal­ware in einem mo­nat­li­chen Abon­ne­ment an. In­ter­es­sierte zah­len hierzu in Kryp­towährung einen ho­hen sechs­stel­li­gen Be­trag; er­hal­ten im Ge­gen­zug je­doch Zu­griff auf um­fang­rei­che und noch un­be­kannte Lücken in weit ver­brei­te­ten Sys­te­men. Die übli­che Anti-Vi­ren-Soft­ware ist hier­ge­gen macht­los.

Die fort­schrei­tende Pro­fes­sio­na­li­sie­rung und Vergrößerung der Grund­ge­samt­heit an kri­mi­nel­len An­bie­tern führt zu­neh­mend zu einem kom­for­ta­blen Käufer­markt. Die Struk­tu­ren sind de­nen bei großen An­bie­tern wie Ama­zon in­zwi­schen ähn­lich; auch im Dar­knet sind Platt­for­men vor­han­den, die mit Kun­den­be­wer­tun­gen, Geld-zurück-Ga­ran­tien, Mo­ney Escrow (Treuhänder) oder Kun­den­fo­ren um die Käufer feil­schen.

Neu­er­dings gip­felt diese Ent­wick­lung in der Möglich­keit, sich ge­gen mögli­che Betrüger ab­zu­si­chern. Hierzu gibt es so­ge­nannte „Scam­mer-Ver­si­che­run­gen“ (z. B. „Tor­Sure“). Eben diese sor­gen dafür, dass der an­onyme Käufer ge­gen einen eben­falls an­ony­men Betrüger (engl. scam­mer) ab­ge­si­chert ist und im Be­trugs­fall sei­nen Kauf­preis zurücker­stat­tet be­kommt. Die mo­nat­li­che Rate hierfür beträgt 30 USD.

Es zeigt sich, dass sich Un­ter­neh­men al­ler Größen da­mit be­schäfti­gen müssen, wel­cher Be­dro­hungs­lage sie aus­ge­setzt sind. Die­sem Thema sollte man sich ri­si­ko­ori­en­tiert annähern. Tra­gi­scher­weise kann mit der Frage ge­schlos­sen wer­den:

„Who needs a gun when you can have a key­board?
 

nach oben