Internetkriminalität

Cybersecurity

Von größter Bedeutung für die deutsche Wirtschaft

5 Die aktuelle Gefährdungslage Wirtschaft und Kritische Infrastrukturen (KRITIS)


KRITIS sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen. Ihre Systeme und Dienstleistungen, wie beispielsweise die Versorgung mit Wasser oder Wärme, ihre Infrastruktur und Logistik sind seit Jahren immer stärker von einer reibungslos funktionierenden Informationstechnik abhängig. Eine Störung, Beeinträchtigung oder gar ein Ausfall durch einen Cyber-Angriff oder IT-Sicherheitsvorfall kann zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen.24

Auch andere Wirtschaftsunternehmen sind aufgrund ihres technologischen Know-hows, durch ihre Auslandsaktivität und im Rahmen von breit gestreuten Angriffen Ziele für Cyber-Attacken. Hierbei sind es vor allem die finanziellen Folgen durch Produktionsausfälle, Beschädigungen des Maschinenparks, Patentdiebstahl oder Cyber-Erpressung, die erhöhte IT-Sicherheitsvorkehrungen notwendig machen.

Die Gefährdungslage im Bereich Kritischer Infrastrukturen liegt weiterhin auf hohem Niveau. Die Cyber-Sicherheit von KRITIS stellt sich asymmetrisch dar: Um eine Kritische Infrastruktur erheblich beeinträchtigen zu können, muss ein Angreifer nur eine einzige Schwachstelle erfolgreich ausnutzen. Betreiber Kritischer Infrastrukturen müssen allerdings einen ganzheitlichen, aufwändigen Schutz gewährleisten, um sich umfassend abzusichern. Im Bereich der Technik verdeutlichten Meldungen zahlreicher KRITIS-Betreiber, dass Ausfälle im Bereich der Hard- und Software, insbesondere nach Updates und Patches von relevanter IT-Infrastruktur, Beeinträchtigungen und Ausfälle der kritischen Dienstleistungen verursachten. Dabei waren die am intensivsten betroffenen Branchen diejenigen, deren Kritische Infrastrukturen eher im Bereich der IT zu finden sind als im Bereich der Operational Technology. Beispielhaft sind hier das Gesundheits-, Finanz- und Versicherungswesen zu nennen.

Bei den Meldungen über Cyber-Attacken gegen die deutsche Wirtschaft ist das Thema Ransomware weiterhin zentral. Schwachstellen, Fehler und Versäumnisse des IT-Betriebs und auch der Nutzer haben durch die ausgefeilten Methoden der Angreifer massive Konsequenzen für die Unternehmen. Sogar wenn Backups erstellt wurden, entstehen den Unternehmen Schäden durch den Ausfall der verschiedenen Netze und Systeme, durch die Zeit der Wiederherstellung aus den Backups sowie durch die Datenverluste aufgrund der Zeit zwischen der letzten Sicherung und dem Schadenseintritt. Wenn trotz der regelmäßigen Berichterstattung und Sensibilisierung zum Thema keine Backups verfügbar sind, oder diese nicht adäquat geschützt sind, sodass sie ebenfalls verschlüsselt werden, entstehen hohe bis sehr hohe Schäden.25

Allein durch die Zeit, die eine (Teil-)Wiederherstellung benötigt, entstehen der Wirtschaft in Verbindung mit Produktionsausfällen große Verluste. Diese können für kleinere Unternehmen gar existenzbedrohend sein.

Das BSI warnte in den vergangenen Monaten davor, dass durch das gezielte Sammeln von Adress- und E-Mail-Informationen – das sog. „Outlook-Harvesting“ – authentisch aussehende Angriffs-(Spam-)Mails erstellt werden können. Dazu liest die Schadsoftware Kontaktbeziehungen und seit Ende des Jahres 2018 auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms in nachfolgenden Spam-Kampagnen, sodass die Empfänger fingierte E-Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen. Jeder Infizierte wird so zu einer Gefahr für seine Kontakte. Hier sind zukünftig technische Maßnahmen gefragt, um so weit und so aktuell wie möglich Infektionen zu verhindern und, falls diese doch im Einzelfall erfolgreich sind, sicherzustellen, dass die Kompromittierung eines einzelnen Systems nicht zur Gefährdung des gesamten Netzes führt.26

Durch den Einsatz von neuen Techniken, die bislang nur im Umfeld fortschrittlicher APT-Angriffe festgestellt wurden, gelingt es aktueller Schadsoftware, sich innerhalb von Unternehmensnetzen auszubreiten (Lateral Movement) und sie vollständig zu infiltrieren. Diese Schadprogramme ermöglichen den Angreifern dann zum Beispiel über das Auslesen von Zugangsdaten und Schwachstellen in verbreiteten Netzwerkprotokollen, sich selbstständig in einem IT-Netz auszubreiten und Remote-Zugriff auf die Systeme zu erlangen. Bei ungünstiger Netzwerkkonfiguration kam es dabei zu Ausfällen kompletter Unternehmensnetzwerke. Aufgrund aktueller und regelmäßiger Modifikationen werden die Schadprogramme meistens nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an den infizierten Systemen vor. Darüber hinaus bleiben Bereinigungsversuche meistens erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Daher sind einmal infizierte Systeme grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden. In mehreren dem BSI gemeldeten Fällen hatte dies massive Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke vollständig neu aufgebaut werden mussten.

Hierbei ist folgender Sachverhalt eines bekannten deutschen IT-Dienstleisters zu nennen:

Ein deutscher IT-Dienstleister wurde im zweiten Quartal des Jahres 2019 Opfer einer Cyber-Attacke. Dabei gelang es den Tätern zunächst, Firmeninterna sowie Kundendaten zu exfiltrieren und im Anschluss Daten zentraler IT-Systeme zu verschlüsseln. Der IT-Dienstleister kam der sechsstelligen Lösegeldforderung nicht nach, um die kriminellen Machenschaften nicht zu fördern. Daraufhin machten die Täter die Drohung wahr und veröffentlichten die Daten über einen Webserver.27 Das von der Cyber-Attacke betroffene IT-Dienstleistungsunternahmen schaltete sofort die Strafverfolgung über das zuständige Landeskriminalamt in diesem schwerwiegenden Fall und aufgrund der Betroffenheit von personenbezogenen Daten wie Namen, Telefonnummern und E-Mail-Adressen erfolgte beim zuständigen Landesdatenschutzbeauftragten eine Vorfallsmeldung gemäß Datenschutzgrundverordnung (DSGVO) sowie eine Information der Kunden. Die Cyber-Attacke wurde im Nationalen Cyber-Abwehrzentrum eingebracht. Daneben wurden die betroffenen Betreiber Kritischer Infrastrukturen über die Information des IT-Dienstleisters hinaus durch das BSI informiert und um Risikobewertung bezüglich der abgeflossenen Daten gebeten. Das BSI erklärt in diesem Zusammenhang, dass IT-Sicherheitsvorfälle einen sehr hohen Reputationsschaden auslösen können, der schnell, z.B. durch Auftragsrückgänge oder Schadensersatzforderungen von Kunden, zu einem immensen finanziellen Schaden führen kann. Bisher wurden Opfer im Rahmen von Ransomware-Angriffen mit Lösegeldforderungen erpresst, um die Daten wieder entschlüsselt zu bekommen. Falls nicht gezahlt wird, kommt es zu einem Datenverlust, der durch Backups rückgängig gemacht werden kann. Durch die Veröffentlichung von zuvor ausgespähten Daten können die Täter weiteren Druck auf die Opfer ausüben, selbst wenn diese über Backups verfügen.28