Über viele Jahre hinweg war die professionelle Absicherung des Unternehmensnetzes zwar nicht gerade handelsüblich, aber immerhin zu bewerkstelligen, wenn man sie denn (bezahlen) wollte. Firewall, Virenscanner, regelmäßige Patches und Backups sowie im besten Fall ein gut umgesetztes Security-Awareness-Programm für die Mitarbeiterschaft - fertig war eine nahezu einbruchs- und ausfallsichere IT-Umgebung. Mit der Professionalisierung des Untergrunds reichen die alten Sicherheitsvektoren jedoch nicht mehr aus.
Streuangriffe ins Blaue hinein, wie sie "Skript-Kiddies" starten, um zu testen, durch welche Lücken im System ihre selbst geschriebenen Schädlinge durchschlüpfen können, sind nur noch selten anzutreffen. Die neue Realität ist ein schwer durchschaubares Gemisch aus verschiedenen Bedrohungen: Da gibt es die staatlich und privatwirtschaftlich initiierte Cyberspionage und -sabotage, die mittlerweile nicht mehr nur im Internet stattfindet, sondern auch vom Netz abgeschirmte Industrieanlagen mit einbezieht und ein entsprechend höheres Gefährdungspotenzial aufweist. Dieses Szenario ist bislang noch eher selten, seit dem "Stuxnet"-Vorfall im Jahr 2010 aber ins öffentliche Blickfeld geraten. Häufiger anzutreffen sind der politisch motivierte "Hacktivismus" und die "herkömmliche" Cyberkriminalität aus finanziellen Motiven. Eines haben alle Attacken gemeinsam, wie der bekannte Sicherheitsexperte Bruce Schneier letztes Jahr auf der Cirosec-Konferenz "IT-Defense" salopp konstatierte: "Wenn der böse Mann ins Netz hinein will, kommt er auch hinein!"
Dieser Artikel soll näher auf neue Formen und Folgen der Industriespionage, Industriesabotage und der finanziell motivierten Cyberkriminalität eingehen.
Komplex und kaum aufzuhalten
Als Oberbegriff für die neuartigen Bedrohungen hat sich die einst vom US-Militär erfundene Bezeichnung "Advanced Persistent Threats" (APTs) etabliert. "Advanced" sind sie deshalb, weil die Angriffsvektoren sehr gezielt aufgebaut und angewendet werden sowie für den Attackierten kaum nachvollziehbar und auffindbar sind. "Persistent" sind sie, weil sie sich sehr passiv verhalten ("Auskundschaftung"), dadurch kaum auffindbar sind und über einen langen Zeitraum bestehen. Der Stuxnet-Trojaner konnte beispielsweise bis zu seiner Entdeckung im Juli 2010 über ein Jahr lang im Verborgenen Informationen sammeln - im gezielten Bestreben, später die unter anderem in iranischen Atomanlagen eingesetzten Siemens-Simatic-Step-7-Steuerungssysteme zu sabotieren. Das Spionageprogramm Duqu, das auf derselben Plattform (Tilded) wie Stuxnet entwickelt wurde und einen Teil dessen Quellcodes trägt, sollte mutmaßlich helfen, unter anderem die Unternehmensnetze der Hersteller solcher Steuerungssoftware zu infizieren.
- Datenklau beim Security-Spezialisten RSA
Eigentlich geben Firmen ja viel Geld aus, um den externen Zugriff auf ihre System mit "SecureID"-Technik von RSA extra sicher zu machen. - Möglicherweise Millionen Kundendaten gestohlen
Hacker haben beim amerikanischen Online-Schuhhändler Zappos möglicherweise Daten von Millionen Kunden erbeutet. - Kriminelle Hacker wollten 50.000 Dollar von Symantec
Neue Entwicklungen im Fall "Codeklau bei Symantec": Die Datendiebe haben versucht, Geld zu erpressen. Das klappte nicht - nun steht neuer Code im Web.