Die Digitalisierung eröffnet neue Angriffsflächen für Cyberkriminelle. Wie funktionieren deren Machenschaften und was lässt sich dagegen unternehmen? Ein Gespräch mit Andreas Tomek, dem führenden Cyber-Security-Experten des Beratungsunternehmens KPMG.
Diplomingenieur Magister Andreas Tomek ist Partner bei KPMG Österreich. Seine Schwerpunkte liegen in den Bereichen Information und Cyber Security, Audit und Training sowie Penetration Testing und innovative Security-Lösungen. Seit 2020 ist er „Global Cyber Leader Cloud Security“ bei KPMG International. Darüber hinaus ist er Initiator und Organisator des europäischen Start-up-Wettbewerbs „Security Rockstars“ und als Vortragender bei Konferenzen sowie an Universitäten gefragt.
Herr Tomek, was ist passiert, dass IT-Sicherheit plötzlich in aller Munde ist?
Die Cyberkriminalität hat ganz offensichtlich stark zugenommen. Im Jahr 2017 und folgende hatten wir große weltweite Ausfälle. Die Welle baut sich seither eher auf, anstatt sich abzuflachen. Parallel hat, auch bedingt durch Covid-19, die Digitalisierung an Fahrt aufgenommen. Viele mussten plötzlich ins Homeoffice, Unternehmen schaffen neue digitale Dienste. Daher wird aktuell sehr viel gleichzeitig implementiert. Damit haben Angreifer mehr Angriffsfläche, wodurch Cyberkriminalität auch bei ihnen stärker in den Fokus rückt.
Können Sie ein klassisches Schema eines Cyberangriffs beschreiben?
Es entwickeln sich immer mehr Varianten. Ursprünglich bestand die klassische Methode darin, in ein Unternehmensnetzwerk einzudringen, Daten zu verschlüsseln und anschließend hohe Geldbeträge für die Entschlüsselung zu erpressen. Die Methode des Eindringens nennt sich Phishing. Dabei erhalten Mitarbeiter E-Mails, die sie zu einer Reaktion veranlassen, die es wiederum dem Kriminellen erlaubt, ins Netzwerk einzudringen und sich dort mit den Rechten des Mitarbeiters zu bewegen. Das funktioniert, weil viele Unternehmen zwar von außen gut geschützt sind, aber von innen zu wenig. Man konnte sich dennoch darauf einstellen und verschiedene Mechanismen gegen die unerwünschte Verschlüsselung von Daten entwickeln, beispielsweise Backup-Lösungen, sodass man innerhalb weniger Tage oder Wochen wieder „up and running“ sein kann. Das ist unangenehm genug, aber lösbar. Dann sind Kriminelle dazu übergegangen, sensitive Daten zu stehlen und damit zu drohen, diese im Internet zu veröffentlichen. Dagegen hilft kein Back-up. Es geht dabei um datenschutzrelevante Informationen, beispielsweise Mitarbeiterbewertungen, E-Mails, Verträge, Kundenlisten und Ähnliches. Die dritte Variante ist der klassische CFO-Fraud. Dabei versucht man über E-Mails, die scheinbar von höchster Stelle kommen, Mitarbeiter dazu zu überreden, Finanztransaktionen auszuführen. Sehr oft finden diese Versuche rund um wichtige Unternehmensentscheidungen statt, beispielsweise Zukäufe. Wir sehen sehr viele solche Fälle. Die vierte Variante ist die sogenannte ungepatchte Software. Also Sicherheitslücken in einer verwendeten Software, die nicht schnell genug durch Updates geschlossen werden können und über die sich ein Angreifer im Netzwerk ausbreiten kann.
Für mehr Cyberkriminalität braucht es nicht nur einen wachsenden Grad an Digitalisierung, sondern vor allem eine wachsende Zahl an Menschen mit krimineller Energie, die gleichzeitig über sehr seltenes Wissen verfügen. Wie kommt es dazu?
Menschen mit krimineller Energie gibt es schon immer. So wie die Digitalisierung in der Wirtschaft immer weiter voranschreitet, so rückt sie eben auch stärker in den Fokus der Kriminalität. Das Wissen ist nicht sehr verborgen oder komplex und es ist auch sehr arbeitsteilig. Man muss nicht wissen, wie ein rundlegendes Tool funktioniert, sondern nur wie man es anwendet. Wenn das Tool dann anschlägt und auf Sicherheitslücken trifft, wird an die nächste Ebene übergeben, die darauf bestens vorbereitet ist. Man kann die Vorgänge sehr stark automatisieren und arbeitsteilig gestalten. Und genau das wird auch gemacht. Es gibt letztlich nicht mehr Verbrecher als früher. Jene, die es gibt, haben gelernt, anders zu arbeiten. Das Anlernen ist überschaubar komplex. Sie werden auf YouTube Anleitungen dafür finden, nicht unter dem Titel „Wie raube ich eine Firma aus“, sondern unter dem Titel „Wie kann ich eine konkrete Schwachstelle ausnützen“.
Was sind die Motive hinter der Cyberkriminalität? Zerstörung? Bereicherung?
Man kann das in drei verschiedene Motive gliedern. Das erste ist das Bedürfnis nach Aufmerksamkeit oder Publizität, der klassische Aktionismus. Man will ein Thema in der Wahrnehmung platzieren, beispielsweise, weil einem vermeintliches Unrecht widerfahren ist, man sich schlecht behandelt fühlt oder Ähnliches. Dazu gehören auch politisch motivierte Täter. Die zweite Gruppe sind die finanziell motivierten Täter. Da reden wir über organisierte Kriminalität. Es geht um Erpressung, Informationsdiebstahl und Industriespionage. Die dritte Gruppe besteht aus staatlichen Akteuren oder staatlich motivierten Akteuren. Sie haben das Ziel, möglichst lang und unentdeckt in Netzwerken zu bleiben, um strategisch wichtige Informationen abzugreifen, beispielsweise Lokationsdaten von Personen, Hintergrundinformationen von und zu Personen, industrielles Know-how, politische Entscheidungsprozesse und Ähnliches. Das geht so weit, dass man theoretische Fähigkeiten aufbauen möchte, die kritische oder militärische Infrastruktur eines Landes lahmzulegen oder sie einzuschränken, auch wenn damit nicht immer eine kurzfristige unmittelbare Absicht verbunden ist.
Wie häufig und ausgeprägt sind entsprechende staatliche Aktivitäten? Man hört sehr oft von Vorwürfen westlicher Staaten gegen russische oder chinesische Akteure.
Es ist nicht so einfach zu beurteilen, woher ein Angriff kommt. Die entsprechenden Hinweise kann man relativ gut fälschen. Klar ist, dass jeder größere Staat neben der Möglichkeit, Angriffe zu erkennen, auch ein offensives und geheimdienstliches Spektrum an Fähigkeiten hat, das er aufbaut und ausnützt. Da sind Russen und Chinesen vorne mit dabei, da gehören aber sicher auch die USA, Israel und europäische Staaten dazu. China ist unter Umständen auch ob der schieren Masse an Personen, die sie frühzeitig dafür ausgebildet haben, im Vorteil. Man braucht aber nicht glauben, dass die NSA hier keine Leute hat. Die haben stark nachgerüstet und viele sehr fortschrittliche Tools entwickelt. So mancher international vielbeachteter Angriff in den letzten Jahren hat mit Tools stattgefunden, die von der NSA entwickelt und später geleakt, also im Internet veröffentlicht wurden. So manche digitale „Erstschlagswaffe“ der USA wurde auf diese Weise auch bereits in Kampagnen der organisierten Kriminalität verwendet. In Europa und den USA bekommen russische und chinesische Angriffe mehr mediale Aufmerksamkeit, in Russland und China ist es umgekehrt.
Kann Cyberkriminalität ein Unternehmen existenziell bedrohen?
Der globale Shipment-Provider MAERSK war 2017 schwer betroffen. Sein gesamtes Netzwerk wurde weltweit verschlüsselt und musste neu aufgebaut werden. Im Q3 2017 musste man 300 Millionen Dollar abschreiben, die Gesamtkosten lagen für das Unternehmen bei über einer Milliarde US-Dollar. Das ist schon substanziell. Die Verzögerungen in den Lieferketten hatten massive ökonomische Auswirkungen. Für große Unternehmen sind die Auswirkungen noch eher verkraftbar, für mittelgroße oder kleine Unternehmen kann das tatsächlich existenzbedrohend sein. Stellen Sie sich ein Unternehmen mit drei Millionen Euro Umlaufvermögen vor, das über Nacht weg ist.
Wie kommen Cyberkriminelle zu ihrem Lösegeld und welche Rolle spielen dabei Kryptowährungen wie Bitcoin?
Das Problem für die Kriminellen ist, dass Bitcoins irgendwann in etwas anderes Wertiges eingewechselt werden müssen. Das wird schwieriger in letzter Zeit, weil bei großen Transaktionen immer öfter eine Identität nachgewiesen werden muss. Klar, Kriminelle sind auch im Fälschen von Identitäten sehr bewandert, dennoch ist es ein weiteres Hindernis für sie. Es gibt aber auch Digitalwährungen wie Monero, die vollkommen auf Anonymität ausgelegt sind und immer beliebter werden bei Angriffsgruppen. Ich habe im letzten Jahr gleich viele Monero-Zahlungen gesehen wie solche in Bitcoin.
Muss man sich Sorgen machen, dass Cyberkriminelle wesentliche Teile unserer kritischen Infrastruktur lahmlegen können? Etwa auch die Strom- oder Gasversorgung?
Es gibt eine erhebliche Bedrohungslage, die ist aber auch bekannt. Sie betrifft nicht nur die IT, sondern auch die OT, also die Industriesteuerungsanlagen, die gelegentlich mit dem Internet verbunden sind. Haben alle das erkannt? Ja, auch weil EU-Richtlinien sie zunehmend dazu zwingen. Tun wir ausreichend viel? Wahrscheinlich nicht. Aber das ist sehr unterschiedlich von Unternehmen zu Unternehmen zu bewerten. Ein Problem ist auch der Skill-Gap. Es braucht nicht nur Bewusstsein und Geld, es braucht auch die Leute, um ein System oder eine kritische Infrastruktur abzusichern. An denen mangelt es.
Inwiefern unterstützen Sie bei der KPMG Unternehmen dabei, sich gegen Cyberkriminalität abzusichern?
Wir sind einer der führenden IT-Security-Berater mit weltweit 4000 Spezialisten auf dem Gebiet. Warum sich die KPMG, aus der Wirtschaftsprüfung und Steuerberatung kommend, um das Thema so bemüht, hat damit zu tun, dass wir sehr erfahren darin sind, Managementrisiken transparent zu machen und die richtige Priorisierung sicherzustellen. Dabei genießen wir eine Vertrauensposition in den Unternehmen, und IT-Security ist Vertrauenssache. Auch in Österreich unterstützen wir von der Prävention, der Security Awareness über die technische Implementierungsbegleitung, die Auswahl von Produkten bis hin zum Penetration Testing und der Ernstfallbehandlung. Wir helfen, einen Vorfall zu dokumentieren, aufzuklären und wiedergutzumachen. Die Angriffe werden immer häufiger, jede Woche sind es mehrere, mit denen mein Team zu tun hat.
CYBER SECURITY BEI SWIETELSKY
Im Dezember 2020 hat die Swietelsky AG das Zertifizierungsaudit zur ISO 27001 erfolgreich absolviert. Die international führende Norm für Informationssicherheit bietet einen systematischen und strukturierten Ansatz, der dazu beiträgt, vertrauliche Daten zu schützen, die Integrität betrieblicher Daten sicherzustellen und die Verfügbarkeit von IT-Systemen im Unternehmen zu erhöhen.
„Das Zertifikat bestätigt unseren Anspruch, in Sachen Informationssicherheit eine branchenweite Vorreiterrolle einzunehmen“, erklärt Adolf Scheuchenpflug als zuständiger Vorstand der Swietelsky AG.