Cyberkriminalität: Wenn Startups kriminell gestoppt werden

Cyberattacken stellen das grösste Risiko für innovative Unternehmen dar – doch man kann sich vor Cyberkriminalität schützen.

Moderne digitale Unternehmen sind oft schneller und flexibler als ihre Vorgänger. Das gilt für die weltweite Kommunikation mit Kunden, das Auslagern von Daten in die Cloud oder die Einbindung externer Partner zur Erstellung der Dienstleistung.

Doch ein falscher Klick, und die eigenen Daten sind bedroht. Die Folgen können verheerend sein. So wie zum Beispiel beim Angriff auf die Werbeplattform Admeira, die amerikanische FedEx oder britische Krankenhäuser mit «Ransomware». Digitale Wegelagerer verlangen Lösegeld, bevor der Betrieb wieder aufgenommen werden kann.

Für Startups kann das existenzbedrohend sein: Bei kleinerer Mannschaft und geringerem Budget sind die Ressourcen schnell aufgebraucht.

Internetkriminalität – so wird angegriffen

Es gibt verschiedene Formen der Cyberkriminalität – doch das Einfallstor ist oft dasselbe. Laut dem Data Breach Investigations Report 2017 von Verizon, der weltweit über 50 000 Fälle ausgewertet hat, laufen die meisten Angriffe via E-Mail.

Bei «Ransomware» führt der unbedachte Klick zur Installation einer Software, die das Ziel hat, wichtige Daten unbefugt zu verschlüsseln. In wenigen Minuten sind Kundeneinträge, Produktentwicklungsunterlagen, Verträge und Lizenzen nicht mehr zugänglich. Bei dem Angriff mit dem Schadprogramm «WannaCry» (auch Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r 2.0) wurden im März 2017 in 150 Ländern Unternehmen und Institutionen angegriffen. Besonders betroffen waren Grossbritiannien und Russland – aber auch in der Schweiz wurden Rechner infiziert. So gehörte die Vermarktungsfirma Admeira zu den Opfern.

Auch das «Phishing» erfolgt über das elektronische Postfach. Dort landen Aufforderungen zur Entsperrung des Kontos bei Banken, Versicherungen, iCloud-Services oder sozialen Netzwerken. Das Problem: Auf den ersten Blick sind diese Nachrichten nicht von offiziellen E-Mails zu unterscheiden. So scheint manchmal der Absender richtig und auch Links im Footer verweisen auf die offiziellen Stellen. Nur der «Hauptlink» im Text ist falsch. Wer hier klickt, wird aufgefordert, die Benutzerkennung mit Passwort einzugeben – und verliert innert weniger Sekunden den tatsächlichen Zugang zu den jeweiligen Konten und Plattformen – mit negativen Folgen.

Die «Distributed Denial of Service»-Attacken (DDoS) sind eine brachiale Methode, die gerade reine Unternehmen betreffen, die einen Grossteil ihrer Umsätze online generieren. Dies geschieht dann mithilfe von gemieteten «Botnetzen» – einer Art Zusammenschluss vieler Computer, die zentral gesteuert werden. Dabei werden über Schadsoftware auch Geräte von Nutzern eingebunden, die von der Teilnahme an der kriminellen Aktion gar nichts wissen. Bei der Attacke greifen alle angeschlossenen Rechner zeitgleich auf den Server des Unternehmens zu mit dem Ziel, ihn zu überlasten und damit die Website zu blockieren. Hier geraten die meisten Firewalls oder Load- Balancer schnell an ihre Grenzen. So zum Beispiel im November 2015 beim Genfer E-Mail-Anbieter Protonmail. Tausende Kunden waren während Tagen ohne E-Mails. Ein Frontalangriff auf das Geschäftsmodell der jungen Schweizer Firma, die sichere E-Mails für jeden verspricht.

Attacke von zwei Seiten

Wenn ein Unternehmen betroffen ist, kann das existenzielle Auswirkungen haben. Gerade junge Firmen und Startups haben oft nicht die umfangreichen Ressourcen, um gleichzeitig die Fehler zu finden und zu beheben und dem Vertrauensverlust bei Kunden und Zulieferern überzeugend zu begegnen.

Hier liegt oft das grösste Risiko bei einer Attacke: Die externen Geschäftspartner sind oftmals ebenfalls betroffen. Sei es durch die möglichen Schwierigkeiten bei der zugesagten Lieferung der verkauften Produkte oder Aufrechterhaltung des Services, der Weitergabe von sensiblen Kundendaten oder sogar durch direkte weitere Angriffe, die u. U. scheinbar im Namen des Startups eingeleitet werden.

Auch im Consumer-Bereich sorgt eine Cyberattacke für Beunruhigung. Oft wird in der Öffentlichkeit vorschnell und zu Unrecht die gesamte Kompetenz des Unternehmens infrage gestellt. So entstehen neben materiellem Schaden gleichzeitig Reputations- und Imageverluste. Die Attacke droht von zwei Seiten.

Doch wer diese Vorfälle unter den Teppich kehren möchte, reagiert kontraproduktiv. So unangenehm es auch sein mag, um das Vertrauen wieder herzustellen, helfen nur Transparenz und Kommunikation. Wer seinen betroffenen Partnern hilft, mögliche Gefahren frühzeitig zu erkennen, und das konstruktiv kommuniziert, zeigt Verantwortungsbewusstsein. Und das ist in dieser Situation eine vertrauensbildende Massnahme.

Die Gefahr erkennen

Die grosse Vernetzung hat viele Vorteile für die Entwicklung neuer Produkte und Dienstleistungen. Der automatisierte Austausch von Daten und der Ablauf von Prozessen bieten Vorteile bei der Effizienz. Doch gerade hier liegt das Risiko. So wie durch jede Tür ein Freund oder Feind eintreten kann, so bieten auch die Schnittstellen viele Eintrittsmöglichkeiten.

Je nach Angriffsart gibt es unterschiedliche Anzeichen. Wenn zum Beispiel interne Hosts mit unbekannten Zieladressen kommunizieren, sollte geklärt werden, ob diese IP-Adressen auf Schwarzen Listen von IT-Sicherheitsfirmen aufgeführt sind oder ob überhaupt Geschäftsverbindung in die entsprechenden Länder bestehen. Hier könnten interne Daten aus dem Unternehmen unbefugt transferiert werden.

Von Interesse ist auch, welche Ports benutzt werden, um eine SSH-Verbindung aufzubauen. Wenn hier zum Beispiel die Standardschnittstelle benutzt wird, die ursprünglich für unverschlüsselten Datenverkehr eingerichtet ist, dann kann das ein Hinweis auf eine feindliche Übernahme sein. Auch der Kontakt von internen Adressen mit öffentlich zugänglichen Hosts oder solchen in entmilitarisierten Zonen (DMZ) sollte Argwohn hervorrufen.

Aber auch scheinbare interne Aktivitäten können zweifelhaft sein. Zum Beispiel, wenn ein interner Host-Rechner Scans des Netzwerks durchführt und im Anschluss dort zu anderen Rechnern Verbindungen aufnimmt. Das ist möglicherweise ein Angreifer, der versucht, sich durch das interne Netzwerk zu hangeln. Sind die Firewalls und Intrusion-Prevention-Systeme (IPS) nicht optimal eingestellt, können diese Aktionen unbeobachtet bleiben.

Wenn sich hingegen ein und derselbe Nutzer innerhalb sehr kurzer Zeit von verschiedenen Orten mit unterschiedlichen IP-Adressen ins Netzwerk einzuloggen versucht, kann das ein Hinweis für entwendete User-Daten sein. Damit wird dann versucht, Daten aus dem Unternehmen zu entwenden.

Weitere auch nach aussen sichtbare Zeichen eines Angriffs sind:

  • Der Datenverkehr ist plötzlich extrem erhöht.
  • Kundendaten tauchen im Internet auf.
  • Zugangsdaten und Passwörter wurden geändert.
  • Fragwürdige E-Mails werden von Ihrem Account verschickt.
  • Die Unternehmens-Website wurde verändert.

Wie man sich vor Cyberkriminalität schützen kann

Der Kampf zwischen Abwehr und Angriff bleibt dynamisch. Jede neue Sicherheitslösung fordert Kriminelle im Netz heraus – die totale Sicherheit wird es in absehbarer Zeit nicht geben. Doch man kann sich vor Internetkriminalität weitestgehend schützen: durch die richtige Mischung aus Prävention und Backup und einer massgeschneiderten Versicherung.

«If in doubt – don’t klick»
Wer unangeforderte E-Mails erhält mit der Aufforderung, seine Daten einzugeben oder/und einen Anhang zu öffnen, sollte wachsam sein. Oft reicht schon das «Hovern» mit der Maus über dem Link aus, um zu erkennen, dass die Adresse nicht stimmt. Einfach mit der Maus über den Link fahren (oder den Daumen gedrückt halten), ohne zu klicken, dann wird die tatsächliche Adresse angezeigt. Stimmt diese nicht mit dem Absender überein, dann auf keinen Fall aktivieren.
Besondere Vorsicht ist bei Anhängen geboten. Das Deaktivieren der Makro-Funktion in Dokumenten stoppt eine automatische Ausführung. Anhänge mit den Endungen .exe, .com, .vbs, .bat, .sys, .reg sind besonders gefährlich.

Aber Achtung: Manchmal kommen diese auch getarnt – zum Beispiel, wenn «Dateinamenerweiterungen bei bekannten Dateitypen ausblenden» aktiviert ist. Am besten also keine Anhänge von unbekannten Absendern öffnen. Wenn es doch nötig ist, dann die Datei erst in einen Ordner herunterladen und diesen vor dem Aktivieren durch aktuelle (!) Anti-Viren- und Anti-Spionage-Programme durchleuchten.

Besondere Vorsicht ist auch bei «nützlicher» Gratissoftware geboten. Im harmlosen Fall wird in Ihrem Browser die Suchmaschine umgestellt und zusätzliche Werbung eingeblendet, im ungünstigsten Fall verliert man die Kontrolle über seinen PC.

Gegen DDoS-Angriffe hilft nur ein kombiniertes Hardware- und Software-Paket. Dadurch wird die aufkommende Gefahr schnell erkannt und es können adäquate Massnahmen ergriffen werden. Mit einer Traffic-Umleitung per DNS oder BGP über die Hardware wird im Angriffsfall ein Server-Umzug unnötig gemacht. Die Software-Komponente besteht aus mehreren Filtertechnologien, die auf Algorithmen basieren. Damit erfolgt das Säubern von gemischtem Datenverkehr nach dem Aschenputtelprinzip: Die illegitimen IP-Adressen werden erkannt und herausgefiltert, die legitimen Anfragen erreichen weiterhin problemlos die Website, die so auch nicht unter der Last zusammenbricht.

Die Routineantworten sollten hier auch nicht fehlen:

  1. Aktuelle Software
    Immer die Updates zeitnah durchführen.
    «WannaCry» kam zum Beispiel ausschliesslich bei Windows-Systemen zum Einsatz, die das letzte Update nicht installiert hatten.
  2. Regelmässige Backups
    Das regelmässige Speichern der Daten minimiert im Ernstfall den Verlust.
  3. Sichere Passwörter
    Einfache Daten, Geburtstage oder ein voreingestelltes Default-Passwort sind besonders anfällig für Angriffe. Hier eignen sich Passwort-Programme, die kryptische Passwörter vorschlagen und verwalten, oder der Einsatz der Multi-Faktor-Authentifizierung.
  4. Mitarbeiter sensibilisieren
    Die Angestellten sollten das Risiko kennen und es sollten klare interne Sicherheitsrichtlinien gelten.

«Hilfe, mein Computer wurde gehackt»

Bei einem Verdacht auf einen Ernstfall muss sofort reagiert werden. Dabei sollte geplant vorgegangen werden:

  1. Analyse
    Welche Systeme sind von dem Angriff betroffen? Wurden Daten geklaut und wenn ja, in welchem Ausmass? Besonders im Fall von Ransomware ist die Analyse des Schadens wichtig. Einige Angreifer legen angeblich gestohlene Daten vor – auch diese müssen erst auf Echtheit und Herkunft geprüft werden.
  2. Adlerblick
    Das Erkennen eines Schwachpunkts kann manchmal nur die Spitze des Eisbergs sein. Das sofortige Schliessen dieser Lücke ist nicht immer der richtige Weg. Oft ist es erfolgversprechender, alle Stellen zu identifizieren, an denen der Eindringling sich eingenistet hat, um dann alle Verbindungen gleichzeitig zu kappen. Die Konzentration auf nur einzelne Schnittstellen oder Aspekte führt selten zur Lösung.
  3. Der Ernstfallplan (Vorfallreaktionsplan)
    Wurde ein Cyberangriff entdeckt, müssen Unternehmen schnell und akkurat reagieren. Dabei hilft ein Incident Response Plan oder auch Vorfallreaktionsplan. Dieser muss für jede Organisation individuell ausgearbeitet werden und umfasst vier Stufen:

    1. Sofortige Aktion, um den Vorfall zu stoppen oder zu minimieren
    2. Untersuchen des Vorfalls
    3. Wiederherstellung von betroffenen Ressourcen
    4. Melden des Vorfalls an die richtigen Stellen
  4. Vorsicht bei Kontakt
    Falls die Angreifer eine Reaktion erwarten, sollte zunächst intern das Ausmass des Schadens bekannt sein. Die Interaktionen mit den Kriminellen müssen juristisch abgestimmt sein.
  5. Transparenz
    Nach einem Vorfall sollten die Mitarbeiter die für sie relevanten Informationen erhalten und über das weitere Vorgehen informiert werden. Partner und Kunden sollten ebenfalls umgehend gewarnt und in die Kommunikation einbezogen werden. Auch wenn Imageschäden befürchtet werden, gilt: Meistens ist die Toleranz der Betroffenen umso höher, je transparenter Unternehmen agieren.
  6. Investitionen in die Sicherheit
    Es spricht sich in Hackerkreisen schnell herum, wenn ein Unternehmen angegriffen wurde. Daher sind weitere Attacken wahrscheinlich. Also muss die IT-Abteilung oder der entsprechende Dienstleister zusätzliche Sicherheitsmassnahmen ergreifen, um das Risiko weiterer Cyberangriffe zu minimieren.

Wollen Sie ein Unternehmen gründen? Die Mitarbeiter von Fasoon sind bereits über 10 Jahre im Bereich Unternehmensgründungen unterwegs.

Wir beraten Sie persönlich und unterstützen Sie beim administrativen Prozess Ihrer Gründung. Erfassen Sie jetzt Ihre Gründung und profitieren Sie von unseren unschlagbaren Preisen. Oder vereinbaren Sie ein unverbindliches Beratungsgespräch.

 

Send this to a friend