Foto: carlos castilla - shutterstock.com
In einer neuen Studie vom Februar 2017, betitelt "Im Visier der Cybergangster - So gefährdet ist die Informationssicherheit im deutschen Mittelstand" befragten die Analysten von PricewaterhourseCoopers im Herbst des letzten Jahres 400 Mittelständler, die Hälfte von ihnen Unternehmen des privaten Sektors mit einer Mitarbeiterzahl zwischen 200 und 500, die andere Hälfte beschäftigt zwischen 500 und 1000 Angestellte.
Die Produktionsprozesse sind komplexer, die Infrastrukturen so sensibel wie hochgradig vernetzt, die Sicherheitsanforderungen wachsen. Ein dichtes Netz von Geschäftspartnern, Kunden und nicht zuletzt externen Dienstleistern erhöht das Risiko zusätzlich. Überraschend genug, dass unter diesen Vorzeichen die Investitionen in die IT-Sicherheit eher stagnieren. Vor allem dazwischen, wie Unternehmen sich in punkto Sicherheit selbst einschätzen und dem, was sie konkret umsetzen liegen nicht selten die sprichwörtlichen Welten. So hat die Studie ergeben, dass sich die Befragten schwer tun die gesetzlich erforderlichen Maßnahmen umzusetzen. Trotzdem fühlen sich nicht ganz unerhebliche 72 % der Befragten "gut" bis sogar "sehr gut" vor Cyberattacken geschützt.
Die installierten Prozesse sprechen allerdings eine andere Sprache. Und selbst wenn Unternehmen in IT-Sicherheit investieren, hapert es oft woanders. Physische Schwachstellen sind eine davon. Denn als Einfallstor für Cyber-Angriffe werden sie weitgehend unterschätzt.
Durch die Vordertür: "Physische Schwachstellen", die unterschätzte Gefahr?
Die Risiken denen Unternehmen ausgesetzt sind, insbesondere solche, die zu den kritischen Infrastrukturen zählen, sind vielfältig. Sie reichen von Vandalismus, über Einbruch / Diebstahl, organisierte Kriminalität, Anschläge aller Art, Stromausfälle und Wassereinbrüche bis hin zu Social Engineering und allen Spielarten von Cyberkriminalität. Personelle und physische Sicherheit sind der Anwendungsebene mit Betriebs- und IT-Sicherheit vorgelagert. Schwachstellen und Bedrohungen der physischen Sicherheit sind also durchaus ein geeigneter Türöffner für Angriffe auf die IT-Sicherheit.
Lesetipp: Externe Anforderungen an physische Sicherheit
Ein medial besonders spektakulär aufbereiteter Penetrationstest unter Live-Bedingungen, sollte zeigen, ob es möglich ist ins Zentrum einer solchen kritischen Infrastruktur vorzudringen und wenn ja, wie. Die Ettlinger Stadtwerke beauftragten "FX", den Hacker Felix Lindner, potenzielle Schwachstellen ausfindig zu machen. Insbesondere was die empfindlichen (und vernetzten) computergesteuerten Stromsysteme anbelangt. Lange brauchte Lindner nicht um bis in das besagte Herzstück der Stromversorgung vorzudringen.
Ein möglicher Weg sind extrem zielgerichtete Phishing-Angriffe per E-Mail. Um ins Netzwerk zu gelangen und sich von dort aus weiter vorzuarbeiten genügt ein einziger Mitarbeiter, der die mit einem Schadanhang befrachtete Nachricht öffnet. Aber es geht auch anders. Nämlich indem man sich direkt über die Hardware physischen Zugang zum Netz verschafft. So hat es Felix Lindner gemacht. Corpus Delicti: Eine ungesicherte Netzwerkdose im Gästehaus der Stadtwerke. Über ein Modul, angeschlossen an die besagte Netzwerkdose, stellte Lindner eine Verbindung ins Netzwerk her und konnte dann mit einigen zusätzlichen Tools von seinem Laptop aus Kontakt aufnehmen. Mit einer Mischung aus guter Vorrecherche, Social Engineering und gängigen Werkzeugen aus dem Hacker-Baukasten gelangte FX schließlich bis auf die Leitwarte.
- Cloud Storage
Trotz deutlichem Rückgang wurden die meisten Consumer-fokussierten Phishing-Angriffe weiterhin bei Finanzdienstleistern registriert (2015: 31 Prozent, 2013: 41 Prozent). Allerdings haben Cloud-Storage- und File-Hosting-Services den größten Ansteig bei Phishing-Angriffen verzeichnet. Waren diese im Jahr 2013 nur in 8 Prozent aller Phishing-Fälle das Ziel, stieg dieser Anteil im Jahr 2015 auf 20 Prozent. - Hotspot USA
Die USA waren mit Abstand das häufigste Ziel von Phishing-Attacken im Jahr 2015: Satte 77 Prozent aller Unternehmen, die Opfer von Phishing-Angriffen wurden, haben ihren Hauptsitz in den Vereinigten Staaten. Den größten Zuwachs hat übrigens China hingelegt: Waren 2013 nur 1,1 Prozent aller Angriffe auf Ziele in China gerichtet, sind es 2015 schon 5,4 Prozent. - Dotcom-Phishing
Mehr als die Hälfte (52 Prozent) aller Phishing-Websites wurden im Jahr 2015 unter einer .com-Domain registriert. Zwei Jahre zuvor lag dieser Wert noch bei 46 Prozent. Auf den Rängen folgen die Top-Level-Domains .net (5 Prozent), .org (4 Prozent) und .br (4 Prozent). - Mehr Geld
Entwickler von Phishing-Kits machen ihr Geld auf zwei Wege: Entweder sie verkaufen die Kits (zu Preisen zwischen einem und 50 Dollar) oder sie verbreiten ihre Kits kostenlos. In letzterem Fall befindet sich eine Hintertür im Schadprogramm, über die die Cyberkriminelle persönliche Daten und Finanz-Informationen abschöpfen. Laut dem PhishLabs-Report gewinnt die Methode der kostenlosen Phishing-Kits an Beliebtheit, weil eine größere Verbreitung auch die Aussicht auf mehr Daten zur Folge hat. - Einweg-E-Mail-Accounts
Einweg-E-Mail-Accounts werden genutzt, um gestohlene Daten abzugreifen. Im Jahr 2015 wurden dafür in 57 Prozent aller Phishing-Fälle Gmail-Accounts benutzt. Auf den Plätzen folgen Yahoo (12 Prozent), Outlook (4 Prozent), Hotmail (4 Prozent) und AOL (2 Prozent). Eine gute Nachricht gibt es diesbezüglich allerdings auch: Bei den allerwenigsten Phishing-Attacken werden anonyme E-Mail-Accounts verwendet. Die Strafverfolgungsbehörden könnten also per Gerichtsbeschluss die Identität der Inhaber von Einweg-E-Mail-Accounts aufdecken. - Goldesel-as-a-Service
Viele Computerverbrecher verwalten ihr illegal verdientes Geld nicht selbst, sondern lagern das Recruiting von Geldwäschern und die Buchführung an entsprechende Dienstleister aus. Verglichen mit Einweg-E-Mail-Accounts oder einer Domain-Registrierung kostet das richtig viel Geld. Proportional mit dem Erfolg ihrer Phishing-Attacken steigt auch die Wahrscheinlichkeit, dass Cyberkriminelle solche Services in Anspruch nehmen.
Von dort aus ist so ziemlich jedes Szenario eines Cyber-Angriffs nicht nur möglich, sondern realistisch. IT-Nutzung bringt demnach neue Risikoelemente auch für den physischen Schutz mit sich.
Wir erleben es nicht selten, dass mittelständische Unternehmen wie große Konzerne für physische Sicherheitsschwachstellen auf einem Auge blind sind. Wie beispielsweise für ungesichert zugängliche Netzwerkdosen. Und die gibt es bei weitem nicht nur in Gästehäusern. Bei vielen Energieversorgern oder Unternehmen aus dem Bereich Erneuerbare Energien müssen Netzübergabepunkte für etliche Mitarbeiter, Wartungs- und Serviceteams zugänglich sein. Nicht selten hätte man, wie hier Lindner, Gelegenheit quasi durch die Vordertür einzusteigen, statt das direkte Risiko eines Cyber-Angriffs einzugehen. Gerade, wenn man mit den Gegebenheiten beispielsweise in der Energiewirtschaft oder anderen kritischen Infrastrukturen vertraut ist. Für das Beispiel Netzwerkdose bedeutet das, jeden Netzwerkzugang, der nicht benötigt wird, zu deaktivieren. Wer den Zugang nutzen darf und wer ihn tatsächlich nutzt, wird dokumentiert.