Jäger des Datenschatzes

Mit der fortschreitenden Digitalisierung wird sich das Datenaufkommen in der Wirtschaft in Zukunft vervielfachen. Die Gesetzgebung hat daher dafür gesorgt, dass der Datenschutz auch bei digitaler Datenverarbeitung einen hohen Stellenwert genießt. Neben dem Schutz von Betriebsgeheimnissen müssen Unternehmen vor allem der Sicherheit von personenbezogenen Daten hohe Priorität einräumen. Besonders folgenreich können Verstöße gegen die DSGVO werden: Kommt es zu einem Datenverlust, müssen die Betroffenen darüber informiert werden. Zudem kann ein derartiger Sicherheitsvorfall von den Aufsichtsbehörden mit einem Bußgeld belegt werden. Das Gesetz verlangt von Unternehmen also nicht weniger als eine stetige Auskunftsfähigkeit und eine laufende, zuverlässige Kontrolle über all die von ihnen verarbeiteten Daten.

Das wachsende Datenaufkommen hat jedoch eine andere Industrie zu Tage gefördert, die es sich zur Aufgabe gemacht hat, diese Pläne zu durchkreuzen. Mit der Digitalisierung und der weltweiten Vernetzung durch das Internet sind – theoretisch – sämtliche Daten eines jeden Unternehmens für Unbefugte zugänglich. Dies hat einen großen internationalen Schwarzmarkt für Daten hervorgebracht und dazu beigetragen, dass die Cyberkriminalität sich weiter professionalisiert hat. Die Motive und Strategien der Cyberkriminellen, die auf Unternehmensdaten abzielen, sind vielfältig. Hier ein paar Beispiele:

 

  • Auftragshack: Dabei stellen Cyberkriminelle ihr Können in den Dienst zahlender Kunden mit bösen Absichten. Die Motivation dahinter ist in der Regel Industriespionage oder eine Schadenskampagne gegen Wettbewerber. Einzelne Leistungen, wie das Hacken eines bestimmten Handys, können im Darknet bereits auf Festpreisbasis gebucht werden.
  • Sammeln valider Datensätze: Dabei besteht meist das unmittelbare Interesse, diese entweder durch Weiterverkauf oder eigenen Missbrauch schnellstmöglich zu Geld zu machen. Dies gilt beispielsweise für Kreditkarten- oder Bankdaten. 
  • Sammeln von Datensätzen zur Weiterverwendung: Erbeutete Datensätze müssen nicht zwingend vollständig sein – personenbezogene Daten sind deshalb wertvoll, weil man sie gesammelt weiterverkaufen kann. Die Abnehmer wiederum können diese nutzen, um weitere Spamkampagnen aufzusetzen. Ein authentischer Firmenbriefkopf oder Namen tatsächlicher Mitarbeiter können bei weiteren Betrugsversuchen für andere Angriffsziele überaus sinnvoll sein. Denkbar ist auch, dass unvollständige Datensätze, beispielsweise Mailadressen, zunächst liegen bleiben, bis sie durch Hack oder Zukauf weiterer Daten vervollständigt werden können.
  • Gelderpressung mittels Ransomware: Mit einer eingeschleusten Malware werden wichtige Datensätze eines Unternehmens verschlüsselt. Der Entschlüsselungsalgorithmus wird vermeintlich nach Zahlung eines Lösegelds in Form eines Links zu einem C&C-Server bereitgestellt. Vom Leisten der Zahlung ist dringend abzuraten, da keineswegs sichergestellt ist, ob die Kriminellen überhaupt über eine Entschlüsselungssoftware verfügen oder diese von den Betroffenen erfolgreich heruntergeladen werden kann. Ebenso bleibt unklar, ob Hacker während des Ransomware-Angriffs auch Datensätze dupliziert und entwendet haben. 

Egal, welche Branche, welches hergestellte Produkt, angebotene Dienstleistung oder welche Größe: Allein ihr Dasein als „digitale Datenverarbeitungsstelle“ macht Unternehmen zu einem allgemein interessanten Angriffsziel für Hacker.

Schritt halten mit einer diffusen Bedrohung

In dem Bestreben, mit einem Hack eine möglichst lukrative Datenausbeute zu erzielen, konzentrierten sich Cyberkriminelle in den vergangenen Jahren vor allem auf „dicke Fische“ wie beispielsweise Banken, Versicherungen, Energieversorger, Einzelhandelsketten oder Gamingplattformen. Infolgedessen entwickelte sich ein digitaler Rüstungswettlauf: Firmen mit hoher Markenbekanntheit oder kritischen Infrastrukturen erhöhten mit immer raffinierteren IT-Sicherheitsmechanismen ihre Abwehr, während die Angreifer ihre Techniken entsprechend weiterentwickelten.

Die Erfolgsaussichten für Cyberkriminelle bei derart hochgerüsteten Unternehmen sind mittlerweile deutlich geringer. Doch die Reife ihrer Angriffstechniken eröffnet Möglichkeiten, die entgangene Beute bei hochkarätigen Zielen durch breite Kampagnen auszugleichen. Hacker suchen ihre Opfer daher zunehmend in der Peripherie – bei Betrieben, die sich noch in einem eher frühen Stadium ihrer Digitalisierung befinden und deren IT-Sicherheitsstandard noch niedriger ist, darunter zum Beispiel Handwerksbetriebe, Hotels oder kleinere, inhabergeführte Ladengeschäfte. Auch sie treffen die gesetzlichen Vorgaben des Datenschutzes. In Zeiten, in denen Daten noch in Akten abgelegt wurden und EDV-Systeme noch nicht mit dem Internet verbunden waren, konnte man sich relativ gewiss sein, dass Daten sicher sind: Sie befanden sich in PCs, in verschlossenen Aktenschränken in einem Gebäude, zu dem nur Befugte Zutritt hatten und das von einem Pförtner oder gar einem Sicherheitsdienst überwacht wurde. Das Maß an Kontrolle über die Daten und auch die empfundene Sicherheit dürfte in derartigen Szenarien überaus hoch gewesen sein.

Die Sicherheit von IT-Security: Checks können helfen

Auf IT-Infrastrukturen lässt sich dieser Ansatz leider nicht vollständig übertragen. Es besteht grundsätzlich die Möglichkeit, dass Unbefugte sich Zutritt verschafft oder Daten abgefischt haben. Bedeutet also die Tatsache, dass keinerlei Unregelmäßigkeiten auffallen, auch tatsächlich, dass nichts passiert ist? Oder könnten womöglich Daten entwendet worden sein, ohne dass es bemerkt wurde? Selbst zu beurteilen, wie wahrscheinlich ein derartiger Vorfall wäre, ist für Unternehmen ein komplexes Unterfangen. Sie sehen sich einer diffusen Bedrohung aus unterschiedlichen Absichten und weiteren unbekannten Variablen gegenüber. Aus welchen Gründen könnten Cyberkriminelle die Infrastruktur angreifen? Gibt es etwas, das für sie von besonderem Interesse sein sollte? Wie versiert könnten die Angreifer vorgehen? Welche Angriffsvektoren würden sie bevorzugen? Welchen Schaden könnte das Unternehmen erleiden und wie teuer könnte die Regulierung bei einem Datensicherheitsvorfall werden?

Tom Haak, Geschäftsführer, Lywand Software

Das Feld an hypothetischen Angriffsszenarien ist überaus groß. Um die Sicherheit der Unternehmensdaten beurteilen zu können, geht es letztendlich jedoch nur um eine zentrale Frage: Ist unsere IT-Security in der Lage, sowohl unspezifischen als auch zielgerichteten Angriffen standzuhalten? Antworten auf diese Frage kann ein Security-Audit liefern. Im Rahmen eines automatisierten Checks wird die gesamte IT-Infrastruktur überprüft. Künstliche Intelligenz testet die Möglichkeiten zahlreicher denkbarer Angriffsszenarien an und gibt anschließend Verbesserungsvorschläge, mögliche Lücken zu schließen. Zudem kann derartige Software ermitteln, ob Daten aus dem Unternehmen bereits auf illegalen Marktplätzen kursieren. Unternehmen gewinnen damit Kontrolle über die von ihnen verwalteten Daten zurück. Ihren gesetzlichen Auflagen als Datenverarbeiter können sie so in vollem Umfang gerecht werden – und sie bieten damit ihren Partnern, ihren Kunden und sich selbst etwas, was immer wichtiger wird: Gewissheit über die zum Schutz von Daten ergriffenen Sicherheitsmaßnahmen.

Von Tom Haak, Geschäftsführer, Lywand Software