Deutsche Behörden, die Server von Hackern im Ausland attackieren und womöglich sogar ausschalten? Dies per Gesetz zu gestatten war manchem in der Großen Koalition dann wohl doch zu brisant. Nach jüngsten Medienberichten soll die „Lizenz zum Lahmlegen“ („Der Spiegel“) zumindest in dieser Legislaturperiode nicht mehr kommen.
So dürften wie bisher etwa Kliniken und vor allem eine weiter rasch steigende Zahl von Unternehmen Ziele massiver Angriffe von Cyberkriminellen vor allem von jenseits der Grenzen werden – vielfach ohne eine wirkungsvolle Gegenwehr. Ihre IT-Systeme werden immer häufiger erst infiziert und dann blockiert, oft verbunden mit Erpressungen. Doch Firmen können sich schützen: Spezialisierte Dienstleister fahnden schon im Vorfeld nach Sicherheitslücken, schließen diese und bauen Verteidigungswälle auf. Für den Fall, dass alle Maßnahmen nicht helfen, stehen bei Abschluss von Cyberpolicen Versicherer zum Ausgleich der finanziellen Schäden der Attacken parat.
Ständig neues Vorgehen
Marko Polunic ist einer der Experten im Kampf gegen Angriffe aus dem Netz. Er arbeitet für den Cybersecurity-Spezialisten CrowdStrike. „Die Vorgehensweisen der Angreifer verändern sich ständig“, sagt der für die Geschäftsentwicklung im Bereich Versicherung und Recht in Europa, dem Nahen Osten und Afrika zuständige Manager. CrowdStrike registriert unter anderem über Kunden, die den vollumfänglichen Schutz des Endgeräts als Dienst abgeschlossen haben, monatlich mehr als zehn Millionen neue Virensignaturen. Anti-Viren-Programme seien deshalb oft zu langsam, so Polunic. Die Experten beobachten derzeit mehr als 140 Gruppen teils staatlicher und teils krimineller Akteure. Durch dieses Wissen können Unternehmen zuverlässig gegen eine Vielzahl potenzieller Angriffsmethoden geschützt werden.
Die Hackergruppen tragen bei CrowdStrike putzige Namen wie „Bär“ (Russland), „Panda“ (Volksrepublik China) oder „Spinne“ (Kriminelle ohne staatliche Beteiligung). „Die Bären sind am schnellsten“, so Polunic. Sie schaffen Attacken, etwa über einen Laptop, mit den Schritten Auslieferung, Privilegienerweiterung, Diebstahl von Anmeldedaten sowie Schaffung von Persistenz – also der Festsetzung im System – und den Sprung aufs nächste Endgerät innerhalb von durchschnittlich 18 Minuten. Rasche Reaktionen sind nötig.
Jede Sekunde zählt
Da CrowdStrike kein Personal vor Ort benötigt, müssen keine Spezialisten anreisen oder Server zum Kunden gebracht werden. „Wir schalten uns bei Bestandskunden innerhalb einer halben Stunde direkt auf deren Systeme auf“, so Polunic. Bei einem Unternehmen, das knapp 80.000 Endgeräte im Einsatz hat, sei so die Ausbreitung einer Malware innerhalb von drei Stunden weitgehend gestoppt worden. „Wir schauen auf die Uhr, nicht auf den Kalender“, sagt der Virenjäger. Und dabei geht es nicht nur um Malware, also Viren oder Trojaner. „Zahlreiche Attacken erfolgen auch dateilos, etwa über gestohlene Zugangsdaten“, so Polunic.
Um den Faktor Zeit geht es besonders, wenn die IT außer Gefecht gesetzt ist. Andreas Plüer erlebte im vergangenen Jahr als Chief Information Officer einen Angriff auf den großen Schweizer Handelskonzern Meier Tobler. Die Betriebsunterbrechung aufgrund der Attacke mit dem Trojaner Emotet, der sämtliche Firmendaten verschlüsselte, dauerte vier Tage. Plüer: „Die Umsatzeinbußen lagen bei zehn Millionen Euro, die Behebung des Schadens kostete fast eine Million Euro.“
Echtzeitüberwachung tut Not
Plüer, heute Leiter Digital Services beim Energieversorger EKT, hat seine Lehren aus dem Vorfall gezogen: „Ich rate zur Echtzeitüberwachung von IT-Systemen. Dies gehört heute genauso dazu wie die Erarbeitung von Notfallkonzepten.“ Die sollten bereitliegen, wenn trotz aller Vorsicht ein Angreifer erfolgreich ist.
Lutz Torbohm, Geschäftsführer bei der SMS-Group-Tochter SMS Insurance, empfiehlt eine Cyberversicherung als „sinnvolle Ergänzung des Versicherungsschutzes von Unternehmen“. Umso mehr angesichts von rund 100 Milliarden Euro Schaden pro Jahr durch Cyberattacken für deutsche Unternehmen, wie der Digitalwirtschaftsverband Bitkom ermittelte.
Tendenziell dürften die Schäden auch aufgrund der zunehmenden Vernetzung und strikter Datenschutzregelungen noch stark zunehmen. So beobachtet Torbohm in den USA, dass dort neben Betriebsausfällen vor allem Schadenersatzansprüche in den Vordergrund rücken. Die drohen nicht zuletzt wegen der DSGVO auch in Europa, etwa wenn Cyberkriminelle an große Mengen Kundendaten gelangen. Aber auch solche Risiken können Cyberpolicen abdecken.