Zielgerichtete Attacken: Plädoyer für mehr Paranoia

“Wir werden mehr und mehr Attacken nach dem Vorbild von Stuxnet sehen”, ist Kaspersky überzeugt. Der Angriff im Herbst vergangenen Jahres, habe die Büchse der Pandora geöffnet. Im Visier würden, ähnlich wie bei Stuxnet, Industriesysteme stehen. Vom Transport- bis zum Energieversorgungssystem hätten Kriminelle und ‘Hacktivisten’ – aus unterschiedlichen Motiven – zunehmend kritische Infrastrukturen im Visier.

“Ich fürchte, dass Kriminelle Hacktivisten engagieren könnten oder diese zwingen für sie zu arbeiten, um so militärische oder terroristische Angriffe durchzuführen”, beschreibt Kaspersky seine düsteren Befürchtungen. Dabei raube ihm vor allem eine Vorstellung den Schlaf: “Niemand kann garantieren, dass künftige Malware nach Stuxnet-Vorbild nicht fehlerhaft programmiert ist.” Das würde bedeuten, dass die Folgen eines entsprechenden Angriffs schnell außer Kontrolle geraten könnten.

Stuxnet war in vielerlei Hinsicht der Prototyp einer Cyberwaffe und der Schädling war – da sind sich Sicherheitsexperten einig – hervorragend gemacht. Ein schlecht gemachter Abklatsch aber könne schnell IT-Systeme betreffen, die ursprünglich gar nicht im Visier der Angreifer standen. Schließlich seien eingesetzte Software und Betriebssystem oft gleich.

Ein weiteres Problem: “Das ursprüngliche Design der Industriesysteme wurde oft vor Jahrzehnten entwickelt, viele Elemente sind sehr alt. Deshalb gibt es viele leicht angreifbare Industriesysteme”, so Kaspersky.

Das Risiko zielgerichteter Attacken lässt sich mit der jeweils aktuellsten Software zumindest minimieren, sagt auch Stefan Tanase, Senior Security Researcher bei Kaspersky Lab. Das gilt für Industrieanlagen genauso wie für mittelständische Unternehmen.

Nahezu die Hälfte aller Unternehmen in Europa fürchtet Hackerangriffe mit kriminellem Hintergrund, hat der russische Sicherheitshersteller in einer Umfrage herausgefunden. 31 Prozent haben das ungute Gefühl, dass sie schon einmal im Zentrum einer zielgerichteten Attacke standen.

Es ist schwierig, einen solchen Verdacht zu beweisen. “Das sicherste Anzeichen dafür, dass ein Unternehmen Opfer einer zielgerichteten Attacke wurde, ist, wenn die Konkurrenz ein Produkt auf den Markt bringt, dessen Markteinführung die Firma gerade geplant hatte”, schmunzelt Stefan Tanase. Er empfiehlt dringend, beim ersten Anzeichen eines Angriffs, Experten zu kontaktieren anstatt zu versuchen, das Problem selbst zu lösen.

Nach seiner Einschätzung geben die wenigsten Unternehmen offen zu, dass sie Opfer eines solchen Angriffs geworden sind. “Wenn Firmen darüber sprechen, dann meistens deswegen, weil sie müssen”, sagt Tanase. Die Angst das Gesicht zu verlieren, ist zu groß. Etwas mehr Firmen seien es, die einen Verdacht aber eben keine Beweise haben. “Am höchsten ist die Zahl der Unternehmen, die bereits Opfer einer zielgerichteten Attacke wurden – aber nichts davon mitbekommen hat.”

Das ist nicht unbedingt ein Zeichen für schlechte Sicherheitsvorkehrungen: “Zielgerichtete Attacken sind darauf ausgelegt, im Verborgenen zu bleiben. Hacker würden einen solchen Angriff nicht durchführen, wenn sie nicht sicher davon ausgehen würden, dass er unentdeckt bleibt”, so Tanase.

Deswegen erfolgen solche Angriffe gerne nachts, am Wochenende oder während der Ferien – Zeiten also, in denen die Reaktionszeit üblicherweise etwas länger ist. Der CEO selbst oder das Topmanagement seien so gut wie nie das Ziel der Attacke. Gefährdet seien vielmehr enge Mitarbeiter der Entscheidungsträger mit einem möglichst geringen technischen Hintergrund. Hier seien die Erfolgsaussichten, den Schutzwall einer Firma zu durchbrechen, am größten.

“Die jeweils aktuellsten Browser und neuesten Software-Updates verfügen über mehr Abwehr-Schichten als ältere Versionen”, erläutert Tanase eine mögliche Verteidigungsstrategie. “Das heißt, für die Angreifer ist es billiger eine Firma anzugreifen, in der veraltete Software zum Einsatz kommt, als ein Unternehmen auf dem neuesten Software-Stand.”

Rund 50.000 Euro kostet es nach seiner Einschätzung Hacker mindestens, ein Unternehmen gezielt anzugreifen. Diese Zahl leitet er aus dem Schwarzmarktwert von Zero-Day-Schwachstellen ab: Sie würden im Cyber-Untergrund für einige 10.000 Euro gehandelt. “Klassische” Viren und Trojaner sind weitaus billiger zu haben – schließlich taucht laut Kaspersky-Forschern inzwischen alle zwei Sekunden ein neues Exemplar im Netz auf. Vor fünf Jahren war es noch ein Schädling pro Minute.

“Wir müssen unseren Paranoia-Level auf die höchste Stufe anheben”, sagt Stefan Tanase. Firmengründer Eugene Kaspersky muss man das nicht zweimal sagen: “Unsere Paranoia befindet sich so ziemlich auf demselben Niveau. Die Dinge werden schlimmer und schlimmer.”