.jpg)
Cyberattacken nehmen zu, das ist kein Geheimnis. Wer und was hinter den Angriffen steht, weiß Andreas Hajek, IT-Security-Experte bei Ingram Micro. Und er verrät, dass es auch unter den Hackern so etwas wie eine Ganovenehre gibt.
IoT: Die meisten Unternehmen verschweigen, dass sie Ziel einer Cyberattacke wurden. Würde es nicht helfen, an die Öffentlichkeit zu gehen, um andere für das Thema zu sensibilisieren?
Andreas Hajek: Nein, denn die betroffenen Firmen würden sich als extrem angreifbar zeigen und sich damit zu einem potenziellen Ziel für weitere Hackerangriffe machen. Die Message nach außen ist: Da ist schnelles Geld zu holen. Und für die Reputation ist es schlichtweg eine Katastrophe. Denn die Kunden verlieren Vertrauen. Meiner Meinung nach ist dieser Schaden um ein Vielfaches größer als der rein monetäre, den man unmittelbar beziffern kann. Viele Unternehmen gehen erst zwei bis drei Jahre nach einem Angriff in Konkurs. Häufig geht es um Daten und Informationen von deren Kunden, die möglicherweise kompromittiert wurden. Es geht nicht nur darum, dass man seine Daten wieder freikaufen muss, der Weg kann auch umgekehrt sein – die Daten werden erst durch Lösegeldzahlungen nicht veröffentlicht. Da sprechen wir ganz eindeutig von klassischer Kriminalität – allerdings mit einem riesigen Businessmodell dahinter.
IoT: Im echten Leben heißt es bei Lösegeldforderungen nach einer Entführung: Nur nicht bezahlen. Wie schaut das bei Cybererpressung aus? Was ist die vernünftige Vorgehensweise?
Andreas Hajek: Das muss man individuell sehen. Grundsätzlich würde ich sagen: Nicht zahlen. Die Frage ist aber, ob sich ein Unternehmen das erlauben kann. Wer etwa Vorsorge getroffen und ein Backup hat, das nicht mit Schadsoftware infiziert ist, kann es sich leisten, nicht zu bezahlen. Installiere ich allerdings wieder eine schadhafte Software mit dem Backup zurück, dann habe ich die Probleme nicht gelöst und noch dazu viel Aufwand. Aufgrund der großen Datenmengen wird heutzutage ja alles auf Disks gesichert, die immer online sind. Wenn man jetzt von einer Verschlüsselungssoftware betroffen ist, dann gilt das auch für das Online-Backup, das somit wertlos ist. Ich kenne viele Fälle, wo die Kunden einfach gezahlt haben, weil sie keine andere Möglichkeit hatten: Die Hacker machen Stress, mit jeder Minute steigt die Höhe der Forderung und man muss sich dann schnell entscheiden.
IoT: Gibt es eine Garantie, dass man seine Daten wieder erhält bzw. dass sie nicht veröffentlicht werden?
Andreas Hajek: Die Hacker haben so etwas wie eine Ganovenehre und ein solides Geschäftsmodell dahinter. Sie wissen ganz genau, dass es sich herumspricht, wenn sie nach der Bezahlung die Daten nicht entschlüsseln. Es geht dabei auch um ihre eigene Reputation. Sie würden sich selbst aus dem Spiel nehmen, denn die Unternehmen wissen dann: an diese Gruppe brauchen wir nicht zahlen. Die Angreifer würden sich damit ihr eigenes Geschäftsmodell zerstören – man kann hier durchaus von einem Geschäftsmodell sprechen. Ich habe selbst die Kommunikation zwischen Hackern und Unternehmen gesehen. Da heißt es höflich: „Sorry, wir sind im Moment sehr beschäftigt, aber unser Sales Departement wird sich innerhalb des nächsten Tages bei Ihnen melden.“ Daran sieht man, wie ernst die das nehmen. Es ist ein organisiertes, strukturiertes Business, bei dem man sich verschiedene Arten von Bedrohungen und Angriffen kaufen kann. Die Anzahl der Cyberattacken auf Organisationen stieg von 2020 auf 2021 um 40%, aufgrund der aktuellen Ereignisse wird das auch nicht aufhören sondern weiter steigen, daher ist der Bereich Security „the place to be“.
IoT: Wer steht hinter diesen Geschäftsmodellen?
Andreas Hajek: Vor vielen Jahren waren das ein paar dumme Jungs, die nur die Nachricht „Ich war hier“ hinterlassen haben. Mittlerweile ist das nicht mehr lustig. Zu 99,99% stehen hinter den Angriffen kriminelle Organisationen oder Staaten und deren Geheimdienste, die sich gerne „externer“ Dienstleister bedienen. Die sind den Forensikern, R&D-Abteilungen der Security-Software Herstellern und Behörden aufgrund der Handlungsmuster sehr gut bekannt – leider wird man ihrer trotzdem nicht habhaft. Die kriminelle Energie ist da genauso hoch wie die Kreativität.
IoT: Wer ist im Unternehmen erster Ansprechpartner für Cybersecurity?
Andreas Hajek: Meiner Meinung nach ist das Chefsache. Natürlich ist die IT fachlich zuständig, aber das Thema Sicherheit muss sich wie ein roter Faden durch alle Unternehmensbereiche ziehen. Und mittendrin stehen die Mitarbeiter. Hier sind Schulung und eine allgemeine Awareness-Generierung wichtige Themen. Es ist leider so, dass der Mensch die größte Schwachstelle im Unternehmen ist: Einerseits betrifft das gekränkte Mitarbeitern und Spionage, andererseits ist es oftmals einfach nur Unwissenheit. Viele Dinge passieren, weil Mitarbeiter in einer relevanten Position auf einen Link von einer ihr unbekannten Person klickt.
Das hat sich zu Beginn der Pandemie noch verstärkt, als viele unvorbereitet ins Home-Office geschickt wurden. Dort wurden teilweise private Geräte verwendet und über herkömmliche, nicht gesicherte Kanäle kommuniziert. Für die IT hat das einen Megastress erzeugt, die Nachfrage nach Equipment und damit verbundenen Sicherheitslösungen ist stark gestiegen.
IoT: Wie gehen die Hacker vor?
Andreas Hajek: Hacker wollen zu den Kronjuwelen – also zu den sensiblen Firmendaten. Das Einfallstor dazu sind die Endpoints wie PCs, Notebooks, Handys, aber auch IoT-Geräte. Dabei kümmern sich die Angreifer überhaupt nicht um das, was sie dort sehen. Sie verursachen mit einer Attacke auf ausgewählte Endgeräte oder Benutzer – ganz beliebt ist die Finanzabteilung – Unruhe. Deshalb ist das Thema Privileged Account Management sehr wichtig, denn oft ist es gar nicht der Geschäftsführer, sondern jemand mit privilegiertem Zugang zu geschäftskritischen Daten. Werden diese Accounts kompromittiert, liegt alles offen und der Hacker kann in der IT-Landschaft tun und machen, was er will. Während am Eingang große Aufregung herrscht, kommen die Hacker unbemerkt über die Hintertür und verschlüsseln oder kidnappen die Serverdaten.
Daher forcieren wir bei Ingram Micro eine ganzheitliche Betrachtung. Es macht keinen Sinn, wenn verschiedene Security-Teams getrennt voneinander arbeiten und nie das Big Picture vor Augen haben. Klar muss man einen Notfallplan haben, um kurz- und mittelfristig alles „on track“ zu bringen – aber das ist ähnlich einem Schmerzmittel, das man erst bei Kopfschmerzen nimmt. Es gilt den Schmerz erst gar nicht entstehen zu lassen.
IoT: Wie geht das?
Andreas Hajek: Wir müssen die drei Bereiche klassisches Netzwerk, User bzw. Endpoints und zentrale Server bzw. Cloud unter einen Hut bringen. Das geht mit Extended Detection Response, kurz XDR. Das ist unsere Strategie. Wir gehen die Cybersicherheit für unsere Partner gesamtheitlich an und gemeinsam mit dem XDR-Tool von Trend Micro, einem wichtigen Lieferanten von uns, können sie die Systeme ihrer Kunden in Echtzeit monitoren und Probleme frühzeitig detektieren.
IoT: Ist einem produzierenden Betrieb, der jetzt beginnt, sich mit IoT-Themen zu beschäftigen, das Ausmaß der Gefahren bewusst?
Andreas Hajek: Den Security-Beauftragten macht das Thema IoT extreme Bauchschmerzen. Früher sind die Steuerungen etc. in autarken, proprietären Systemen gelaufen. Jetzt haben oft Sensoren eine unverschlüsselte Verbindung ins Internet. Auch wenn mit Predictive Maintenance eine gute Idee dahinter steht und sich neue Geschäftsmodelle daraus generieren lassen, so ist das vom Standpunkt der Security aus oft eine Katastrophe. Bei einem Angriff denkt man meistens an einen Produktionsstillstand, aber es genügt schon, wenn Verfahrensparameter eines Produktes manipuliert werden. Da reicht z.B. schon eine Abweichung von einem Bruchteil eines Millimeters, die Qualität ist dahin und man kann eine ganze Charge entsorgen. Bis die Verantwortlichen bemerken, dass der Fehler System hat, vergeht viel Zeit. Und dann sind wir wieder beim Imageschaden.
IoT: Es gibt zahlreiche skalierbare IoT-Angebote. Kann ich mit Security auch klein anfangen und mich voran arbeiten?
Andreas Hajek: Ein bisschen Security ist wie ein bisschen schwanger. So geht das nicht. Es gibt, abgesehen von Konzepten bei Service Providern, beim einzelnen Unternehmen ein Mindestmaß an Security, das abgedeckt sein sollte. Das bedeutet: Endpoints, Netzwerk und Server müssen gleichermaßen bedacht werden. Es hat keinen Sinn zu sagen: Heuer kümmern wir uns nur um das eine, weil wir für das andere kein Geld mehr haben. Wichtig ist eine gesamtheitliche Betrachtung. Den Vorteil, den Trend Micro bietet ist, dass das XDR-Tool Vision One herstellerübergreifend eingesetzt werden kann. Denn die meisten Unternehmen haben sich ja in irgendeiner Form bereits mit Security auseinandergesetzt und Lösungen im Einsatz. Die hätten wenig Freude, wenn sie ihre bestehenden Lösungen nicht einbinden könnten um die Investitionen zu schützen.
Nicht zu vergessen ist auch hier das Thema Privileged Account Management, also der Schutz von Benutzerkonten mit hohen Rechten. Diesen gehört besondere Aufmerksamkeit geschenkt, da sie das vordringliche Ziel von Hackern und deren Einfallsvektoren sind.
IoT: Wie erreichen Kunden diese gesamtheitliche Lösung?
Andreas Hajek: Mit unseren Advanced Solutions gehen wir über das Angebot als Distributor hinaus. Wir haben in Europa vier Centers of Excellence mit Security-Gurus und Experten, die für unsere Kunden Assessments durchführen – teilweise sogar kostenfrei. Wir machen interne und externe Penetration Tests und geben Empfehlungen zur Behebung möglicher Schwachstellen. Das ist wie beim Hausbau: Ich kann nicht in den Baumarkt gehen und dort ein paar Ziegeln, eine Türmatte und ein Dach kaufen. Ich werde vorher einen Architekten beauftragen, der mir einen Plan erstellt. Genauso startet es bei uns mit der Analyse möglicher blinder Flecken über das Security-Design bis zur Umsetzung. Das unterscheidet uns mit Sicherheit von anderen Anbietern.
