Moderiert wurde die Diskussion von Thomas Kuhn, Tech-Reporter Innovation & Digitales, bei der WirtschaftsWoche. Die Aufzeichnung des Webcasts finden Sie hier oder die wesentlichen Punkte in der folgenden Zusammenfassung.
Fancy Bear, Lazarus Group, Armada Collective – Ransom DDoS-Erpresser schlagen immer häufiger zu. Die Zahl der Unternehmen, die von den erpresserischen Überlastungsangriffen betroffen sind, ist in den vergangenen Monaten stark gestiegen. Die Angriffsform, die es schon seit über 20 Jahren gibt, ist so präsent wie nie. Dafür gibt es mehrere Gründe: Unternehmen spüren sofort die Folgen eines erfolgreichen Angriffs und stehen infolge der IT-Ausfälle schnell unter Handlungsdruck. Außerdem können fast alle Firmen zum Ziel werden, da sie immer mehr digitale Angriffsflächen bieten. Die Chance, dass man von den DDoS-Kriminellen übersehen wird, ist minimal, berichtet Marc Wilczek von Link11 aus der täglichen Schutz-Praxis. Die Aussichten auf schnell verdiente Kryptogelder durch Lösegeldforderungen sind zu verlockend. Erschwerend kommt hinzu, dass Cyberkriminalität zu einer eigenen Industrie geworden ist, die sich immer weiter professionalisiert.
Die Angriffe im Namen bestimmter Täter wie die schon genannten Fancy Bear oder Armada Collective erfolgen vielfach in Wellen und greifen gesellschaftliche, wirtschaftliche und politische Entwicklungen auf, so Heiko Löhr vom BKA. Bestes Beispiel dafür sind die Angriffe auf Institutionen und Unternehmen, die bei der Bewältigung der Corona-Pandemie eine Rolle spielen oder von ihr profitieren: Diese stammten u. a. aus dem Gesundheitswesen, Food, Bildung, Hosting, Logistik. Im konkreten Fall starteten die Erpressungskampagnen in den USA und weiteten sich über Großbritannien und Mittteleuropa aus. Zunächst liefen die Angriffe oftmals noch weit gestreut, ohne die finanziellen Möglichkeiten der attackierten Unternehmen zu prüfen. Im Laufe der Zeit wurden die Attacken ebenso zielgerichteter wie die Lösegeldforderungen.
Ebenso flexibel zeigen sich die Täter beim Einsatz und der Kombination von Angriffstechniken. Ein neues Phänomen, welches das BKA in den vergangenen Monaten verstärkt beobachtet hat, sind sogenannte „Triple Extortions“. Dabei handelt es sich um eine dreifache Erpressung, bei der IT-Systeme lahmgelegt, infiltriert und verschlüsselt (Ransomware) werden. Das Ganze wird von DDoS-Angriffen mit zunächst geringem Volumen eingeleitet, um der Erpressung Nachdruck zu verleihen. Wenn Schadcode eingeschleust wurde, folgt darauf die nächste Erpressung, um die Daten wieder zu entschlüsseln. Zusätzlich wird damit gedroht, die abgegriffenen Daten zu veröffentlichen.
Neben der Erpressung setzen die Angreifer immer häufiger DDoS-Attacken zum Verschleiern von nachgelagerten Angriffen ein, berichtet Wilczek. Die Täter nutzen oft Web-Server, um sich Zugriff auf die Unternehmens-IT zu verschaffen. Dazu platzieren sie Schadcode, der mit dem Booten des Servers, z. B. nach einem DDoS-Angriff, ins Firmennetzwerk gelangt und ausgeführt wird. Die bisher übliche Praxis in der IT-Sicherheit, im Angriffsfall die Systeme erst einmal herunterzufahren und sie nach dem Angriff wieder zu starten, wird von den Angreifern gezielt ausgenutzt.
Angesichts so viel cyberkrimineller Energie stehen die IT-Abteilungen in den Unternehmen vor großen Herausforderungen. Davon weiß Kai Widua, CISO der Beiersdorf AG, zu berichten. Auch auf den Konsumgüterkonzern hatten es DDoS-Erpresser abgesehen. Erfolglos! Denn das Unternehmen hat nach früheren Angriffen wie durch NotPetya die IT-Sicherheit neu aufgestellt und arbeitet seitdem nach dem Assume-Breach-Ansatz. Durch die Vorbereitung auf mögliche Cyber-Angriffe macht man sich nicht erpressbar. In der Praxis bedeutet das, Response- und Recovery-Prozesse einzuüben und kurze Entscheidungswege zu ermöglichen. Außerdem werden Hosting-Provider/Carrier und Schutzanbieter wie im Bereich DDoS-Schutz präventiv eingebunden sowie ein enger Kontakt zu den Behörden wie dem LKA in Hamburg gehalten.
Die gute Vernetzung mit den Ermittlungsbehörden wie bei Beiersdorf ist nach den Erfahrungen von Heiko Löhr längst kein Einzelfall mehr. Unternehmen kommen verstärkt auf die Polizei zu, um sie in ihre Prävention und Krisenbewältigung einzubinden. Die eigens dafür eingerichteten Zentralen Ansprechstellen für Cybercrime (ZAC) auf Landesebene und beim BKA sollten am besten proaktiv kontaktiert werden, noch bevor es zu einem Cyber-Angriff kommt.
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…