IT-Sicherheit im Betrieb

Keine Chance für Cyberkriminelle

In der Geschäftswelt laufen heute fast alle Prozesse dank moderner IT. Cyberattacken können in kürzester Zeit zum Ausfall sämtlicher Unternehmenssysteme führen - und neben Umsatz- und Datenverlust Schäden bis hin zur Insolvenz verursachen. Die Universität zu Lübeck will mit einem neuen Institut die Cyberrisiken eindämmen, und spezialisierte Unternehmen im HanseBelt haben sich der Gefahrenabwehr verschrieben.
Ein Schockmoment: Mit einem Mal sind die Monitore schwarz, die Website offline und alle Firmendaten scheinbar verloren. Ein Verschlüsselungstrojaner ist in das Firmennetz eingedrungen. So geschehen etwa 2019, als ein Unternehmen aus dem Kreis Segeberg 800.000 Euro Lösegeld in Bitcoins an ausländische Erpresser zahlen musste. Auch das LKA konnte in diesem Fall nicht helfen. Solche Cyberattacken auf kleine und mittlere Unternehmen (KMU) sind inzwischen Realität. Laut einer Studie des Digitalverbands Bitkom haben IT-Attacken auf deutsche Unternehmen 2019 Rekordschäden verursacht. Durch Sabotage, Datendiebstahl oder Spionage sei der Wirtschaft ein Schaden von 102,9 Milliarden Euro entstanden - 2017 waren es noch 55 Milliarden Euro.
“Cyberkriminalität ist inzwischen ein lukratives Geschäftsmodell mit hochprofessionell agierenden und gut vernetzten Banden. Mittelständische Firmen und Onlineshops sind beliebte Angriffsziele, da sie oft leichte Opfer darstellen. Geringes Risikobewusstsein paart sich oft mit mangelhafter IT-Sicherheit. Das macht es Angreifern leicht. Wenn ein Onlineshop offline ist, droht dauerhafter Umsatzverlust”, sagt Nicolas Streker, Geschäftsführer der Asspick Versicherungsmakler GmbH in Lübeck, die auch Cyberversicherungen anbietet. Bei Erpressungstrojanern (sogenannter Ransomware) gehe es auch um den Diebstahl von sensiblen Daten etwa bei Steuerberatern oder Arztpraxen. Daher würden viele Unternehmen anonym bleiben und Lösegelder zahlen - auch aus Angst vor Imageverlust. Neben Kreditkartenbetrug und Identitätsklau in Social Media sei derzeit die Betrugsmasche
“Fake President” beliebt: “Dabei manipulieren Cyberkriminelle gezielt Mitarbeiter dahingehend, dass sie Überweisungen ins Ausland tätigen. Die Täter eignen sich zuvor Wissen über Betriebsabläufe an horchen Mitarbeiter aus und wissen, wann der Chef im Urlaub ist”; so Streker. Besonders brisant: Beim sogenannten Social Engineering verwenden Cyberkriminelle inzwischen auch künstliche Intelligenz, um durch Software Stimmen zu imitieren und Mitarbeiter so zu manipulieren.
Gefahren von morgen
Seit 2017 arbeitet das Institut für IT-Sicherheit an der Universität zu Lübeck an neuen Sicherheitslösungen - und bildet in gleichnamigen Bachelor- und Masterstudiengängen Experten für Cybersicherheit aus. “Wir analysieren existierende Systeme auf Schwachstellen, indem wir sie mit simulierten Attacken angreifen. So können wir erkennen, wo Sicherheitslücken auftreten und wie Systeme in Zukunft verbessert werden können”, sagt Institutsdirektor Professor Dr. Thomas Eisenbarth. Gleichzeitig baut das elfköpfige Team neuartige Lösungen, um Angriffe in der Zukunft von vornherein abzuwenden. Das Forschungsgebiet umfasse viele verschiedene Technologien wie Systemsicherheit und Datenschutz in Machine-Learning-Verfahren, anonyme Kommunikation oder Sicherheit für das Internet of Things: “Vernetzte Geräte etwa in industriellen oder Smart-City-Anwendungen interagieren nicht nur mit dem Menschen, sondern auch zunehmend untereinander. Die Übertragung sensibler Daten von einer großen Anzahl an smarten Geräten stellt uns vor sicherheits- und datenschutztechnische Herausforderungen”, sagt Professor Dr. Esfandiar Mohammadi. In einem anderen Projekt erforscht das Team sicherheitstechnische Auswirkungen von Quantencomputern, die Supercomputern bereits überlegen seien und schon bald ein akutes Risiko darstellen könnten. “Wenn Quantencomputer verfügbar werden, würden sie die Sicherheit weit verbreiteter Kryptoverfahren, die etwa heute in Onlineshops zum Einsatz kommen, massiv untergraben. Wir forschen derzeit an Verschlüsselungsverfahren, die gegen Quantencomputer resistent sind”, so Eisenbarth.
Großen Wert auf Praxisbezug lege das Institut auch im Bachelor- und Masterstudiengang IT-Sicherheit. “Im nächsten Semester bieten wir im Master erstmalig einen Penetrationstest auf Machine-Learning-Verfahren mit mehreren Angriffs- und Verteidigungsrunden an. Unsere Studierenden sollen sich in die Strategien der Angreifer hineindenken können”, sagt Mohammadi. Pro Semester schreiben sich rund 60 junge Menschen in den Bachelorstudiengang ein - die Nachfrage nach den angehenden Sicherheitsexperten sei groß: “Ein Masterabsolvent hat zum Beispiel gerade beim Bundesamt für Sicherheit in der Informationstechnik in Bonn angefangen”, so Eisenbarth.
Risiko Mitarbeiter
“Ein Ausfall der IT-Systeme kann zum völligen Stillstand, zu hohen Folgekosten und im schlimmsten Fall sogar zur Insolvenz führen. Daher gilt: Vorbeugen ist besser als heilen. Die IT-Strukturen sollten regelmäßig geprüft und bei Bedarf optimiert werden”, sagt Christian Wegener, IHK-Referent für digitale Wirtschaft. Ein gutes Werkzeug, um sich als KMU vor Cyberangriffen zu schützen, ist ein zertifiziertes InformationssicherheitsManagementsystem (ISMS). “Ein ISMS ist ein ganzheitlicher Schutzmechanismus, der auch die Geschäftsführung einbezieht. Bei der Umsetzung werden die lebenswichtigen Prozesse des Unternehmens in einer Risikoanalyse betrachtet”, sagt Frank Barthel, Geschäftsführer der FB datentechnik GmbH in Lübeck-Travemünde. Barthel installiert das System vor allem in KMU, die dabei vom Förderprogramm go-digital des Bundes profitieren können. Neben den IT-Systemen und Aspekten wie Datensicherung und Virenschutz stehen dabei vor allem die Mitarbeiter im Fokus. Viele Unternehmen unterschätzen laut Barthel die Schulung des Personals: “Die beste Firewall ist wirkungslos, wenn Mitarbeiter unreflektiert Mailanhänge anklicken, private USB-Sticks verwenden oder bei Abwesenheit den Bildschirm nicht sperren”, so Barthel.
Hilfe für Opfer
Und was tun, wenn ein Angriff erfolgt ist? “Betroffene Firmen sollten Geräte sicherstellen und prüfen, ob wichtige Daten in einem funktionsfähigen Back-up enthalten sind und den Vorfall protokollieren. Neben internen IT-Sicherheits- und Datenschutzbeauftragten ist häufig auch externer IT-Sachverstand erforderlich”, so Wegener. Ein zentraler Ansprechpartner für IT-Sicherheitsvorfälle sei in Schleswig-Holstein der Servicepoint Cybersecurity, bei dem Betriebe anonym Beratung und Hilfe erhalten. Hintergrund der Anlaufstelle ist eine Sicherheitspartnerschaft zwischen Land und Wirtschaft, der auch die IHK Schleswig-Holstein angehört. Jede Anfrage wird an spezialisierte IT-Dienstleister weitergeleitet - einer davon ist Melting Mind in Lübeck.
“Wir erstellen einen Vorschlag mit geeigneten Maßnahmen und geben es an den Servicepoint zurück. Der betroffene Betrieb kann dann frei und anonym aus den Angeboten wählen - Diskretion ist extrem wichtig”, sagt Geschäftsführer Fabian Schmidt. Im Falle eines Angriffs etwa auf einen Onlineshop erstellt der IT-Dienstleister eine Schattenkopie des Shops. “Wir prüfen dann, ob die Angreifer wirklich im System sind und können unentdeckt nach Sicherheitslücken suchen. Wenn die Kopie bereinigt ist, spielen wir sie ins System ein und bringen den Shop wieder zum Laufen”, so Schmidt weiter. Sichergestellte Spuren der Hacker gingen an das LKA. Etwa zehn Prozent des Umsatzes sollten Unternehmen in ihre IT-Infrastruktur investieren, rät Schmidt.
Benjamin Tietjen
Veröffentlicht am 28. April 2020