Cybercrime und die Bedrohungen für die Wirtschaft (Teil 2)

Von ORR Ass. jur. Frank Grantz, Altenholz

3.7 Social Engineering

Ein wesentliches Einfallstor für Cyberangriffe bleibt aber stets der Mensch. Ausweislich des Bundesverbandes BITKOM war bei 61% der Befragten ein aktueller oder ehemaliger Mitarbeiter das Einfallstor von Wirtschaftsspionage Sabotage und Datendiebstahl der betroffenen Unternehmen.⁸ Auch viele Fälle von Naivität gelten als Ursache und damit ist das Social Engineering mit 19% nicht nur eines der häufigsten Angriffsmittel sondern dient in vielen Fällen auch der Vorbereitung eines erfolgreichen Cyberangriffs. Unter dem Stichwort „Social Engineering“ werden dabei verschiedene Modalitäten erfasst. Im Wesentlichen versuchen Kriminelle durch Lockmittel ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadsoftware auf ihren Systemen zu installieren. Sie gehen dabei regelmäßig sehr geschickt vor, indem gezielt menschliche Schwächen wie z.B. Neugier, Hilfsbereitschaft usw. ausgenutzt werden. Durch den Trend, persönliche Daten und Informationen mittels eines sozialen Netzwerks oder einer privaten Website verstärkt zugänglich zu machen (Facebook, Instagramm etc.) wird es potentiellen Angreifern sogar möglich gemacht, sich gezielt vorzubereiten, da durch diese Exposition entsprechende Informationen zu Schlüsselpersonen in einem Unternehmen, welches angegriffen werden soll, leicht zu verschaffen sind. So wird mittels gezielter E-Mails das Interesse des Mitarbeiters der Firma, die als Angriffsobjekt dienen soll, dahingehend manipuliert, dass dieser sein Passwort herausgibt bzw. über das Verfolgen von Links und Besuchen von präparierten Websites den Einfall von Schadsoftware im Firmensystem ermöglicht.

4 Angriffsziele und Möglichkeiten

Als Angriffsziele für solche Hacking bzw. Cybercrime Angriffe gelten die Behörden auf Verwaltungsebene, die Wirtschaft aber auch der Privatanwender. Gemäß des BSI⁹ werden durchschnittlich einmal pro Monat mittels DDoS-Angriffen Websites der Bundesbehörden attackiert. Behörden verfügen über viele personenbezogene und andere sensible Daten und Informationen und stellen damit ein lukratives Ziel dar. Privatanwender sind häufig vom Datendiebstahl oder beim Onlinebanking Geschädigte. Als Beispiel können dafür die zuerst in 2014 genutzten Angriffsmodalitäten via Emotet¹⁰ genommen werden.
Angriffe auf Wirtschaftsunternehmen werden in verschiedenen Studien genauer betrachtet. So wurden bspw. durch den Bundesverband Bitkom im Jahre 2015¹¹ sowie 2018¹² verschiedene Unternehmen in Deutschland befragt und die erhobenen Daten ausgewertet. Auch das BSI hat entsprechende Berichte zur Lage der IT-Sicherheit herausgegeben.¹³ Ausweislich dieser Studien handelt es sich bei den häufigsten Delikten der Cybercrime um die digitale Wirtschaftsspionage, die Sabotage und den Datendiebstahl¹⁴. Hierzu werden vielfach direkt oder indirekt Cyberangriffe durchgeführt, teilweise wird aber auch konkret die Hardware angegriffen, beispielsweise durch Diebstahl von Computern, Smartphones, Tabletts oder Daten von Unternehmen. Aus diesen Geräten werden dann die sensiblen ausgelesen.
Mehr als 68% aller deutschen Unternehmen sind von Cyberangriffen betroffen, 73% davon sind mittelständische Unternehmen mit 100-500 Mitarbeitern.¹⁵ Als Grund für diese hohe Zahl wird angeführt, dass gerade mittelständische Unternehmen über innovative Techniken verfügen, die dann im Speziellen größeren Unternehmen zugeliefert werden, diese Unternehmen aber regelmäßig über wenig Mittel und Möglichkeiten zur Einrichtung von Abwehrmechanismen gegen Cybercrime verfügen. So werden diese mittelständischen Unternehmen ein Einfallstor, um an die Daten der oftmals besser geschützten Großkonzerne zu kommen. Betrachtet man die Betroffenheit nach Unternehmensbereichen zeigt sich, dass mit 74% die Chemie- und Pharmabranche im Beurteilungszeitraum 2018 am stärksten betroffen war, die Automobilindustrie mit 68% am zweit häufigsten Objekt von Cyberangriffen wurde.¹⁶ Dieses wird u.a. damit begründet, dass gerade im Bereich der Automobiltechnik Deutschland sich auf einem hohen Innovationsniveau befindet.¹⁷ Hieran schließen sich der Maschinen- und Anlagenbau, sowie die Herstellung von Kommunikations- und Elektrotechnik als Ziel von Cyberangriffen an.¹⁸ Mit wenigen Ausnahmen richten sich nahezu alle Angriffe auf digitale Daten oder an die Informations- und Kommunikationsinfrastruktur.¹⁹ Von 550 der befragten Unternehmen gaben 34% an, das konkret ihr IT-System Gegenstand eines Angriffs gewesen sei.²⁰ 45% gaben an, dass sie regelmäßig Gegenstand eines Cyberangriffs werden, 9% davon registrieren einen täglichen Angriff, 30% gaben an, mindestens einmal im Monat Gegenstand eines solchen Angriffs geworden zu sein.²¹ In 19% aller Fälle soll ein Angriff durch Social Engineering vorbereitet worden sein.²²
Industrieanlagen selbst dagegen werden oft durch APT-Angriffe attackiert und bei Banken geht es im Wesentlichen um das Abschöpfen der verschlüsselten Kontodaten wie beispielsweise im Angriffsszenario „Heartland“.²³ Angriffe auf Produktionsnetze sind speziell mit dem Namen „Dragon Fly“²⁴ verbunden. Die Hacker griffen hierbei gezielt drei europäische Hersteller von Steuerungssoftware an, und tauschten auf deren Servern Updates dieser Software gegen infizierte Versionen aus. Durch die Installation dieser ausgetauschten Software hat sich dann das programmierte Virus in den firmeneigenen Produktionsnetzen verbreitet. Auch Betriebssysteme auf den Unternehmensrechnern werden Gegenstand von Angriffen. Dabei werden nicht nur Windows-Systeme sondern auch Linuxdistributionen angegangen, wie beispielsweise 2014 durch Shellshock.²⁵ Schließlich wurde in den Studien von BITKOM auch betrachtet, inwieweit besondere, spezielle Unternehmenseinrichtungen, die unter dem Schlagwort KRITIS²⁶ zusammengefasst werden, von Cyberangriffen betroffen sind. Allerdings war in diesem Bereich keine besondere Angriffshäufigkeit zu verzeichnen, Angriffe korrelieren mit denen auf sonstige Unternehmens- und Wirtschaftseinrichtungen. Bisher sind 45% solcher KRITIS Einrichtungen von Cyberangriffen betroffen gewesen.