In einem fiktiven Bürokomplex geht zur Nachtzeit eine Alarmanlage an. Gleichzeitig läuft bei der nahen Sicherheitsleitstelle ein Einbruchmeldealarm auf. Das Sicherheitspersonal stellt vor Ort eine aufgebrochene Tür fest. Sie verschließen die Tür wieder und veranlassen die Neuschaltung der Alarmanlage. Hier hat die Sicherheitsfirma schlechte Arbeit geleistet.
Wie würde ein positives Beispiel aussehen? Der gleiche Fall. Dieses Mal wird erst, nachdem die Mitarbeiter:innen sicher sind, dass niemand in das Gebäude eingedrungen oder noch drin ist, die Tür sicher geschlossen und die Anlage wieder scharf geschaltet. Das ist gute professionelle Arbeit und auch die übliche Verfahrensweise.
Durch die offene Tür spaziert und geblieben
Woher kommt aber jetzt der Bezug zu Cybercrime? Angenommen, ein IT-Hersteller meldet eine Schwachstelle in seinen Systemen. Solche Systeme sind auch im oben angeführten Bürokomplex in Betrieb. Der Hersteller hat aber nicht nur den Hinweis auf die offene Tür, er hat praktischerweise auch einen Sicherheitspatch für das System, quasi ein neues Schloss für die Tür. Der Patch wird entsprechend der Anweisung des Herstellers eingespielt. Zwei Monate später sind alle Firmendaten mit einer Ransomware verschlüsselt und die Geschäftsleitung bekommt eine Nachricht mit einer Geldforderung zum Erhalt des Entschlüsselungscodes. Bezahlt wird natürlich in Kryptowährung.
Vergleicht man den digitalen mit dem analogen Fall, stellt man fest, dass man hier von schlechter und unprofessioneller Arbeit sprechen kann. Denn auch hier hat niemand geprüft, ob jemand durch die Tür gegangen ist. Leider ist dieser Fall Alltag bei einer Vielzahl von Ransomware-Attacken.
Die IT für die Zukunft härten
Ein Beispiel ist der Angriff auf ein deutsches Krankenhaus im September 2020. Dort stellte man die Infektion mit Ransomware im Netz des Krankenhauses fest. Die einzige Lösung war das sofortige Herunterfahren der Krankenhaus-IT – Stillstand.
Hierbei wurde die Schwachstelle eines Herstellers ausgenutzt, die im Januar 2020 publiziert und mit einem Patch geschlossen wurde. Wäre wie im positiven Beispiel nachgesehen worden, hätte man erkennen können, dass die Hacker die IT-Schwachstelle schon im Oktober 2019 genutzt und sich eine Tür ins Netz geschaffen haben. Der Auslöser wurde einfach nur ein Jahr später virtuell gedrückt.
In diesem speziellen Fall wurde der Code zum Entschlüsseln zeitnah und ohne Geldzahlung übermittelt. Aber selbst mit diesem Schlüssel hat die Instandsetzung der IT noch drei Wochen gedauert. Drei Wochen Betriebsausfall, nur um das System auf den Stand vor der Infektion zu bringen. Die Kosten für die Analyse, die IT-Spezialisten und den Betriebsausfall kann jeder grob überschlagen.
Schutz vor Crime-as-a-service
Doch welches Investment ist nötig, um die IT für die Zukunft zu härten? Was lehrt uns jetzt der Vergleich zwischen der analogen Polizeiarbeit und dem digitalen Ransomware-Befall? Wir müssen im digitalen Feld genauso professionell arbeiten und die gleiche Sorgfalt an den Tag legen, wie wir es in anderen Bereichen bereits tun. Jeder kennt die Regeln zum Brandschutz im Büro: Die Fluchtwege sind gekennzeichnet, der Sammelplatz ist ausgewiesen und die jährliche Brandschutz- und Evakuierungsübung kommt immer zum unpassendsten Zeitpunkt.
Gibt es ähnliche Notfallpläne auch für IT-Sicherheitsvorfälle? Weiß jede/jeder Mitarbeitende, was zu tun ist? Ist ein Back-up gemacht worden, um die Daten notfalls ohne den Schlüssel wiederherzustellen? Bekommt es überhaupt jemand mit, wenn etwas im Netzwerk passiert? Ein Gebäude kann ich nach einem Brand wieder aufbauen. Daten, die verschlüsselt oder gelöscht sind, können zum Totalverlust der Existenz führen. Hacker haben verstanden, wo unsere Schwachstellen und Abhängigkeiten stecken. Sie arbeiten mit einem professionellen System in Form von Aufgabenverteilung, auch bekannt als „Crime-as-a-service“, in verteilten Rollen und mit Umsatzbeteiligungen komplett gewinnorientiert.
Die einzige Chance dagegen ist die Sensibilisierung für das Thema und der professionelle Einsatz der zur Verfügung stehenden Ressourcen mit einem ganzheitlichen Ansatz. Ein Investment, das sich lohnt.
Tipps: Sie möchten mehr zum Thema Cybercrime? Dann schauen Sie hier.