… JENS-PHILIPP JUNG, GESCHÄFTSFÜHRER LINK11
1. Herr Jung, DDos-Attacken zählen zu den ältesten Formen von Cybercrime. Wie gefährlich und aktuell ist diese Angriffsform?
Mit Distributed Denial of Service (DDoS)-Attacken legen Angreifer schon seit über 15 Jahren Ziele lahm. Doch was sich früher vor allem gegen Gaming-Server oder E-Commerce-Websites richtete, hat inzwischen alle Branchen und Unternehmen jeder Größenordnung erreicht. Die Zahl der Angriffe wächst dabei besorgniserregend. Das Link11 Security Operation Center (LSOC) verzeichnet jeden Tag über 100 solcher Attacken auf Ziele in Deutschland, Österreich und der Schweiz. Immer häufiger misst das LSOC bei den Attacken Spitzenbandbreiten, die weit über 50 bis 60 Gbps hinausgehen und die 100-Gbps-Marke überschreiten.
Die Angreifer sind außerdem sehr einfallsreich darin, neue Infrastrukturen für die Umsetzung von DDoS-Attacken zu schaffen. Sie haben Zugriff auf eine ITK-Infrastruktur mit wachsender Bandbreite und einer steigenden Anzahl internetfähiger Geräte wie Home Router, Smartphones aber auch Cloud-Server, die mit falschen Kreditkarteninformationen angemietet werden. Nach unserer Einschätzung werden DDoS-Attacken immer noch gefährlicher.
2. Welche Schäden können erfolgreiche DDos-Attacken verursachen?
Jeden Tag haben Unternehmen, Websites und staatliche Institutionen nach DDoS-Attacken Probleme mit der Verfügbarkeit und Performance ihrer Infrastrukturen. Die Ausfallzeiten der gar nicht oder nur unzureichend geschützten Ziele können bis zu mehreren Tagen betragen. Das iPad-Kassensystem orderbird, die Hosting-Anbieter Strato und Uberspace sowie Teamviewer, die die Fernwartungen am PC ermöglichen, aber auch die Websites der großen Kinoketten in Deutschland sind in den vergangenen Monaten in Deutschland erfolgreich attackiert worden.
Der Fall des Schweizer Unternehmens Digitec hat eindrücklich gezeigt, dass die Folgen von DDoS-Attacken weit über die Website hinausreichen können. Die wiederholten und lang anhaltenden Angriffe Mitte März 2016 gegen einen Online-Händler von Unterhaltungselektronik ließen neben dem Online-Shop auch das ERP-System ausfallen. Die Folge: Die Verkaufsfilialen und das Callcenter, das den Kundenservice abwickelt, fielen ebenfalls aus. Angesichts solcher Vorfälle treffen immer noch zu wenige Unternehmen proaktive Schutzvorkehrungen.
3. Wie können Unternehmen sich vor diesen Angriffen schützen?
DDoS-Attacken gibt es in vielen Varianten. Simple Angriffstechniken lassen sich leicht und zu 100 Prozent abwehren. Dem gegenüber stehen neue Angriffsformen auf die Netzinfrastruktur von Unternehmen. Das sind nach unseren Analysen zunehmend komplexe Attacken, die mit spezifischer Malware Sicherheitslücken ausnutzen. Andere Angreifer versuchen, über eine sehr große Bandbreite mit über 100 Gbps zum Ziel zu kommen. Die Praxis zeigt, dass die meisten Unternehmen mit ihrer IT-Security nicht in der Lage sind, der zunehmenden DDoS-Bedrohung eine angemessene Abwehr entgegenzusetzen. Es erfordert einen hohen finanziellen und personellen Einsatz sowie tägliches Training, um auf Augenhöhe mit den Angreifern zu bleiben.
Die zuverlässigste Lösung, um Unternehmen gegen DDoS-Attacken zu schützen, ist daher die Umleitung des Datenverkehrs über einen externen Schutzanbieter. So ein professioneller DDoS-Schutz verfügt über ein hochentwickeltes Filterzentrum mit Spezialisten in 24/7-Bereitschaft und die entsprechenden Ressourcen, um den unerwünschten Datenverkehr herauszufiltern.
… RONNY WOLF, CASH SERVICES, FRAUD PREVENTION – COMMERZBANK
1. Herr Wolf, was ist ein CEO-Fraud und wie erfolgreich sind die Täter damit?
Ein CEO-Fraud – zu Deutsch „Chefbetrug“ – bezeichnet eine Vorgehensweise von Cyberkriminellen, bei denen sich der Betrüger als Chef der Firma ausgibt, an der er den Betrug plant. Hierbei betraut der „vermeintliche“ Vorgesetzte in einer scheinbar internen E-Mail einen Mitarbeiter „seines“ Unternehmens mit einer streng vertraulichen Angelegenheit. Um Vertrauen beim Opfer aufzubauen, wird eine dritte Person ins Spiel gebracht, die den vertraglichen Teil begleiten soll. Von einem der beiden erhält der Mitarbeiter dann eine Zahlungsanweisung, die er bei der Bank beauftragen soll. Die vorgetäuschten Hintergründe können verschieden sein: eine geplante Firmenübernahme, Strafzahlungen an Behörden oder aber auch eine Steuerfahndung im eigenen Haus.
Die Betrüger drängen auf absolute Diskretion – bis hin zu Strafandrohungen. Sie manipulieren ihre Opfer auf schriftlichem und telefonischem Weg. Das Ziel sind Überweisungen meist größerer Beträge und die Masche wird bei Erfolg am selben Opfer oft solange wiederholt, bis der Betrug auffällt. Seit 2013 erbeuteten Kriminelle so rund 150 Millionen Euro von deutschen Unternehmen in knapp 70 Fällen. Mehr als 180 gemeldete Versuche blieben erfolglos.
2. Wie kann man seine Mitarbeiter instruieren, damit sie nicht auf die Täter hereinfallen?
Das wichtigste ist die Schulung der Mitarbeiter zu Betrugsphänomenen, damit diese vom Mitarbeiter erkannt werden können. Firmen sollten von ihren Mitarbeitern einen verantwortungsvollen Umgang mit firmeninternem Wissen einfordern, auch in den sozialen Medien.
Maßnahmen zur Prävention und Aufklärung machen deutlich, wo Kontrollen erforderlich sind. Diese Kontrollen sind unter allen Umständen einzuhalten! Klare Abwesenheitsregeln, wenn sich der Geschäftsführer nicht im Haus befindet, gehören in jedem Fall dazu. Führungskräfte sollten ihre Mitarbeiter dazu anhalten, jede ungewöhnliche Situation mit ihrem gesunden Menschenverstand zu prüfen. Dann kommen viele Betrüger schon sehr früh in ihrem Prozess nicht weiter.
3. Was können Firmen tun, wenn der Schadensfall doch eingetreten ist?
An erster Stelle steht, sofort die Hausbank zu kontaktieren – insbesondere, wenn die Zahlung bereits getätigt wurde. Unternehmen können nur dann sicher sein, ihr Geld zurückzuerhalten, wenn dies dem Empfängerkonto noch nicht gutgeschrieben wurde. Nach einer Gutschrift greifen nur juristische Wege.
Gleichzeitig gilt es, interne Prüfungen einzuleiten. Betroffene Unternehmer sollten die Betrugsmails nur an die Polizei und die eigene IT weitergeben und zur Bekanntmachung des Betrugs im Haus nur PDFs bzw. Ausdrucke verwenden. Zugleich müssen die Fragen geklärt werden: Haben noch mehr Mitarbeiter diese E-Mail oder telefonische Anweisungen bekommen? Arbeitet vielleicht ein anderer Mitarbeiter im Unternehmen, in einer Tochter- oder Muttergesellschaft aktuell auch nach den Anweisungen des Täters?
Derjenige Mitarbeiter, der die Zahlung ausgelöst hat, bekommt im Unternehmen oft fälschlicherweise eine Art „Täterrolle“ zugeschrieben. Damit wird die ohnehin extreme psychische Belastung noch verstärkt. Stattdessen empfiehlt sich eine psychologische Unterstützung des Mitarbeiters und die Aufnahme eines Gedächtnisprotokolls. Danach sollte der Mitarbeiter im Vorgang möglichst nur soweit eingebunden sein, wie es die Situation noch erfordert.
Bei diesem wie bei allen anderen Cyber Crime-Aktivitäten gilt: Je mehr Unternehmen ihre Erfahrungen teilen, umso besser können sie sich vor weiteren Angriffen schützen.
…RALF BENZMÜLLER, HEAD OF G DATA SECURITYLABS
1. Herr Benzmüller, welche aktuellen Entwicklungen gibt es im Zusammenhang mit Virenschutz und Cybercrime?
Am weitesten verbreitet sind Adware und potenziell unerwünschte Programme. Sie machen ca. ein Drittel aller Infektionen aus. Die Einblendung von Werbebannern ist lukrativ für Kriminelle, wird aber von den meisten Nutzern gar nicht als schädlich wahrgenommen. Das macht sie zu einem rentablen Geschäft.
Die auffälligste Entwicklung ist der Bereich Ransomware. Immer neue Spielarten von Verschlüsselungstrojanern erscheinen, und die Vorgehensweise variiert. Es gibt Ransomware, die alle möglichen Dateien im privaten Bereich verschlüsselt. Andere Varianten sind auf Unternehmen ausgelegt und verbreiten sich im lokalen Netzwerk. Manche verschlüsseln die Webseite und ermöglichen den Besuchern nur noch den Zugang zu einer Seite mit der Lösegeldforderung. Andere verschlüsseln den Zugang zum häuslichen Netzwerkspeicher (NAS). Oder der Zugang zum Internet wird deaktiviert und mit einem Lösegeld belegt.
In den letzten 15 bis 20 Jahren hat sich eine florierende Cybercrime-Ökonomie etabliert, deren Umsätze schon lange die des Drogenhandels übersteigen. Das erbeutete Geld wird in neue Angriffe investiert, deren Planung und Umsetzung immer öfter professionell betrieben wird. Mittlerweile gibt es kaum noch einen Bereich in unserem Alltag, in dem keine Rechner eingesetzt werden. Entsprechend gravierender sind die Folgen von Angriffen. Deshalb bekommt der Schutz vor Angriffen auf Rechner eine immer wichtigere Rolle in der Gesellschaft.
2. Vor welcher Art von Cybercrime kann ein Virenschutz Unternehmen schützen?
Ein klassischer Virenschutz ist dazu konzipiert, automatisierte Angriffe zu erkennen und abzuwehren, insbesondere wenn sie massenhaft auftreten. Mit seinen vielen Komponenten schützt ein Virenschutz vor Infektionen über die klassischen Wege E-Mail, manipulierte Webseiten oder über lokale Netzwerke und USB-Datenträger. Ein guter Virenschutz verhindert, dass ein Rechner mit Adware infiziert wird, Bestandteil eines Botnetzes wird oder dass sensible Daten verloren gehen. Spezielle dynamische Erkennungsverfahren schützen auch gegen Angriffe über Sicherheitslücken und bewachen das Online-Konto während des Online-Bankings.
Diesen Gefahren sind sowohl Nutzer von privaten Computern ausgesetzt als auch User im Unternehmensumfeld. In Unternehmen sind weitere Funktionen wichtig, wie z.B. Backups, Patch-Management und Mobile Device Management.
3. Wie können Unternehmen sich, neben dem Schutz durch ein Antivirus- Programm, am effektivsten vor einer Attacke schützen?
Eine Antivirensoftware ist eine wichtige Basiskomponente für ein Virenschutzkonzept. Für eine umfassende Abwehr von Angriffen reicht das aber nicht aus. Virenschutz ist nur dann effektiv, wenn er in ein umfassendes Schutzkonzept eingebettet ist. Das beginnt mit der Zugangskontrolle zu Räumen und Gebäuden, setzt sich fort mit der Auswahl von Hardware, Betriebssystem und Software. Dann geht es weiter mit der sauberen Trennung von Netzwerksegmenten und der Vergabe von Zugangsrechten für Nutzer. Für besonders sensible Bereiche sollten zusätzliche Erkennungs- und Schutztechnologien eingesetzt werden. Eine besondere Rolle kommt den Mitarbeitern zu. Ohne deren Mitwirkung lässt sich kein Schutzkonzept sinnvoll umsetzen. Es ist daher unumgänglich, bei den Mitarbeitern durch regelmäßige Schulungen ein gesundes Sicherheitsbewusstsein aufzubauen.