News

Stärkere Cyberbedrohung: Wie Hacker arbeiten

Die Bedrohung durch Hackerangriffe wird immer stärker. Die Kriminellen arbeiten vernetzt und arbeitsteilig. Viele Angriffe werden erst nach Monaten entdeckt, wie Experten in einer Veranstaltung veranschaulichten.

Spektakulär war die Zerschlagung der Dark-Net-Plattform „Hive“ am 26. Januar 2023, die vom FBI in den USA geleitet wurde. „Wir haben den Laden kurz und klein geschlagen“, berichtete Daniel Lorch, Abteilungsleiter bei der Kriminalpolizei-Direktion Esslingen, auf der „Cybersecurity 2023“. Veranstalter der Konferenz war die Euroforum Deutschland GmbH, ein Unternehmen der Handelsblatt Media Group, zu deren Produktportfolio auch die Wirtschafts- und Finanzzeitung Handelsblatt gehört.

Die deutsche Polizei war maßgeblich an der weltweiten Aktion beteiligt. Sie konnte in das Netzwerk der Kriminellen eindringen und dort die Aktivitäten sechs Monate lang akribisch verfolgen. Rund 250 Unternehmen, die kurz vor einem Angriff mit Ransomware standen, konnten vor der Verschlüsslung ihrer Systeme gewarnt werden.

Die Aktion wurde in einer großangelegten Pressekonferenz öffentlich gemacht. „Damit haben wir die Reputation der Täter zerstört“, erläuterte Lorch. Denn die Plattform „Hive“ bot Cybertätern weltweit ein anonymes Domizil an, von dem aus sie agieren konnten.

Existenzielle Gefahr

„Heute gibt es nämlich Crime as a Service“, erläuterte Lorch. Die Kriminellen wären hochspezialisiert. Eine Gruppierung würde einbrechen und einen Trojaner hinterlassen, andere würden die Daten stehlen und die nächsten das System verschlüsseln. Dann träten Täter in Erscheinung, die auf Lösegeldverhandlungen und später auf Geldwäsche spezialisiert sind.

Nach Erkenntnis von Lorch gibt es alle 30 Sekunden einen Angriff. Die Cybergefahr sei somit sehr hoch. Gleichzeitig könnte die weltweit ebenfalls vernetzten Cyberspezialisten der Sicherheitsbehörden viele Hackersysteme zerstören.

Eine Basis seien die vielen Daten, die beispielsweise bei „Hive“ beschlagnahmt wurden. Das habe ganz aktuell – ausgerechnet in der kriegsgeplagten Ukraine – sogar zur Verhaftung einiger Rädelsführer geführt.

Trotzdem warnte Lorch vor Nachlässigkeiten in Sachen Cybersicherheit. Denn immer wieder kämen Unternehmern am Montag in eine Firma und stellten fest, dass sie durch einen Cyberangriff nicht mehr existent sei. „Am Freitag war das Unternehmen noch profitabel, am Montag ist es ein Fall für den Insolvenzverwalter und alle Arbeitsplätze sind gefährdet“, so Lorch.

Hacker monatelang unentdeckt

Viele Angriffe von Hacker, werden über Monate nicht entdeckt. Das ist das Fazit einer Analyse von Haya Schulmann, Professor of Computer Science an der Goethe-Universität Frankfurt und Board Member des Nationalen Forschungszentrums für angewandte Cybersicherheit Athene.

So gibt es Angriffe auf Dritte über unsichere Websites. „Dabei wird der Code manipuliert“, erläuterte Schulmann. Mit dieser Methode hatten in der Vergangenheit Hacker 500.000 Kundendaten, wie die Kreditkartennummer, von Kunden der Fluglinie British Airways erbeutet. Rund 10.000 unsichere Websites hat das Team um Schulmann in Deutschland entdeckt.

Ebenso unbemerkt würden Suchmaschinen-Manipulationen ablaufen. Dabei werden gefälschte Websites eingesetzt, die hochgerankt sind. Im September 2023 wurde so ein Mitarbeiter der Turkish Airlines Opfer und die Hacker konnten 3.200 Daten von Mitarbeitern von Airbus-Kunden veröffentlichen. Aktuell wurden 2.000 solcher gefälschten Websites gefunden.

Besonders gefährlich ist auch der Einstieg der Hacker über veraltete Domänen. „Hier können die Täter echte Zertifikate erzeugen und den Kunden beispielsweise vortäuschen, dass die Seite von einer Bank ist“, warnte Schulmann. „Von solchen Angriffen hört und liest man sehr wenig“, sagte sie. Die Unternehmen müssten daher ununterbrochen das Darknet nach gestohlenen Daten durchforsten. Es gebe meist nur ein sehr kleines Zeitfenster, indem der größte Schaden noch zu beheben sei.

Absicherung gegen Cyberrisiken

Die Versicherungswirtschaft kennt die Cyberrisiken, die ein Unternehmen bedrohen können, und bietet mit entsprechenden Cyber-Versicherungen einen konkreten Versicherungsschutz gegen solche Gefahren an. Damit können Unternehmen diverse Kosten, die ihnen durch eine Cyberattacke entstehen, absichern.

Dazu zählen unter anderem Ausgaben für die Wiederherstellung beschädigter oder zerstörter Daten oder Aufwendungen, um eine Betriebsunterbrechung aufgrund eines geglückten Hackerangriffs zu verhindern. Je nach Vertragsvereinbarung übernimmt eine solche Cyberpolice auch die Ausgaben für den Schadenersatz an Dritte.

„Werden sensible Daten von Kunden aus dem Firmennetzwerk gestohlen, können Unternehmen haftbar gemacht werden. Kunden können bei Missbrauch Schadenersatz vom bestohlenen Unternehmen verlangen“, wie der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erklärt.

Zudem steht dem versicherten Unternehmen im Ernstfall, sofern in der Cyberpolice vereinbart, ein umfangreicher Service seitens des Versicherers zur Seite: Nach einem Angriff stellt die Versicherung zum Beispiel Experten für IT-Forensik. Übernommen werden mitunter auch spezialisierte Anwälte und Krisenkommunikatoren, um beispielsweise einen Image- und Reputationsschäden so gering wie möglich zu halten.