Über viele Jahre hinweg war die professionelle Absicherung des Unternehmensnetzes zwar nicht gerade handelsüblich, aber immerhin zu bewerkstelligen, wenn man sie denn (bezahlen) wollte. Firewall, Virenscanner, regelmäßige Patches und Backups sowie im besten Fall ein gut umgesetztes Security-Awareness-Programm für die Mitarbeiterschaft - fertig war eine nahezu einbruchs- und ausfallsichere IT-Umgebung. Mit der Professionalisierung des Untergrunds reichen die alten Sicherheitsvektoren jedoch nicht mehr aus.

Streuangriffe ins Blaue hinein, wie sie "Skript-Kiddies" starten, um zu testen, durch welche Lücken im System ihre selbst geschriebenen Schädlinge durchschlüpfen können, sind nur noch selten anzutreffen. Die neue Realität ist ein schwer durchschaubares Gemisch aus verschiedenen Bedrohungen: Da gibt es die staatlich und privatwirtschaftlich initiierte Cyberspionage und -sabotage, die mittlerweile nicht mehr nur im Internet stattfindet, sondern auch vom Netz abgeschirmte Industrieanlagen mit einbezieht und ein entsprechend höheres Gefährdungspotenzial aufweist. Dieses Szenario ist bislang noch eher selten, seit dem "Stuxnet"-Vorfall im Jahr 2010 aber ins öffentliche Blickfeld geraten. Häufiger anzutreffen sind der politisch motivierte "Hacktivismus" und die "herkömmliche" Cyberkriminalität aus finanziellen Motiven. Eines haben alle Attacken gemeinsam, wie der bekannte Sicherheitsexperte Bruce Schneier letztes Jahr auf der Cirosec-Konferenz "IT-Defense" salopp konstatierte: "Wenn der böse Mann ins Netz hinein will, kommt er auch hinein!"

Dieser Artikel soll näher auf neue Formen und Folgen der Industriespionage, Industriesabotage und der finanziell motivierten Cyberkriminalität eingehen.

Komplex und kaum aufzuhalten

Als Oberbegriff für die neuartigen Bedrohungen hat sich die einst vom US-Militär erfundene Bezeichnung "Advanced Persistent Threats" (APTs) etabliert. "Advanced" sind sie deshalb, weil die Angriffsvektoren sehr gezielt aufgebaut und angewendet werden sowie für den Attackierten kaum nachvollziehbar und auffindbar sind. "Persistent" sind sie, weil sie sich sehr passiv verhalten ("Auskundschaftung"), dadurch kaum auffindbar sind und über einen langen Zeitraum bestehen. Der Stuxnet-Trojaner konnte beispielsweise bis zu seiner Entdeckung im Juli 2010 über ein Jahr lang im Verborgenen Informationen sammeln - im gezielten Bestreben, später die unter anderem in iranischen Atomanlagen eingesetzten Siemens-Simatic-Step-7-Steuerungssysteme zu sabotieren. Das Spionageprogramm Duqu, das auf derselben Plattform (Tilded) wie Stuxnet entwickelt wurde und einen Teil dessen Quellcodes trägt, sollte mutmaßlich helfen, unter anderem die Unternehmensnetze der Hersteller solcher Steuerungssoftware zu infizieren.

Alles ist vernetzt - alles ist gefährdet

Wie sieht es in anderen Branchen aus? Wie gefährdet sind IT-Dienstleister, Banken, Versicherungen, Automobilzulieferer oder Logistikfirmen - gerade in Deutschland? Welche Risiken drohen, wenn hochkritische Infrastrukturen der Energieversorgung attackiert werden? Der Stuxnet-Trojaner beispielsweise tauchte bereits in den Netzen von Strom-, Gas- und Wasserversorgern auf. Stephan Gerhager, ehemals Information Security Officer beim Energiekonzern Eon und heute in gleicher Position bei der Allianz, warnt: "Smart Grids sind eine große Bedrohung - durch die fortschreitende IP-Vernetzung der Stromnetze sind wir bald den gleichen Angriffsgefahren ausgesetzt, die heute bereits für das Internet gelten."

"75 Prozent der Angriffe infizieren schon jetzt weniger als 50 Maschinen", weiß Andreas Zeitler, Vice President beim weltweit größten IT-Security-Anbieter Symantec, zu berichten. In den allermeisten Fällen seien es hoch spezialisierte, kritische und entsprechend lokal begrenzte Infrastrukturen, in denen die Angreifer großen Schaden anrichten können. "Wir haben bei einigen Kunden bereits Remote-Access-Trojaner gefunden, mit denen sich die internen Systeme fremdsteuern ließen", berichtet Sven Gerlach, Business Development Manager beim Beratungshaus Integralis, von Audits bei großen deutschen Konzernen. Belastbare öffentliche Statistiken über die APT-Bedrohung in Deutschland gibt es bislang aber nicht.

Politik und Wirtschaft arbeiten zusammen

Rollt trotzdem langsam ein "Cyber-Krieg" auf uns zu, in dem Staaten und möglicherweise auch konkurrierende Unternehmen sich gegenseitig im virtuellen Raum attackieren? Gibt es die Absicht, überlebenswichtige Ressourcen und Infrastrukturen verfeindeter Staaten und privatwirtschaftlicher Wettbewerber zu beschädigen oder für eigene Zwecke zu missbrauchen? "Noch ist der Cyber-Krieg nicht da, aber er wird wahrscheinlich nicht mehr lange auf sich warten lassen", befürchtet Ilias Chantzos, Director Government Relations bei Symantec. "Wir werden den Cyber-Krieg selbst noch erleben", prognostiziert auch Mikko Hypponen, Chief Research Officer beim finnischen Konkurrenten F-Secure. Und selbst der herstellerneutrale Schneier sagt: "Die Angst vor dem Cyber-Krieg ist jetzt schon da." Gemeinsam versuchen Politik und Wirtschaft deshalb, die Bedrohungen schon in den Griff zu bekommen, bevor ernste Attacken stattfinden können.

Das im vergangenen Jahr gegründete "Nationale Cyber-Abwehrzentrum" (NCAZ) unter Aufsicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist ein deutliches Zeichen dafür, dass das Thema auf dem politischen Parkett ernst genommen wird. "Das Cyber-Abwehrzentrum ist von entscheidender Bedeutung für die IT-Sicherheit in Deutschland", meint Alfred Zapp, Mitglied der Geschäftsleitung beim sicherheitspolitisch stark involvierten Beratungshaus CSC. Leider finde noch kaum ein Erfahrungsaustausch zwischen staatlichen Behörden und privatwirtschaftlichen Unternehmen - insbesondere im Mittelstand - statt. Das NCAZ sei zudem personell unterbesetzt, so Zapp. "Die Intention des NCAZ ist es nicht, eine Cyberabwehrzentrale zu sein", hält Michael George vom Bayerischen Landesamt für Verfassungsschutz dagegen. Es sei als Kommunikations- und Kommandozentrale gedacht - als Stelle, um Informationen zu sammeln und zu bewerten und im Ernstfall geeignete Maßnahmen koordinieren zu können.

Vieles bleibt verborgen...

Dass der Erfahrungsaustausch mit den Unternehmen besser sein könnte, sieht auch Stephan Gerhager so: "Das Problem am NCAZ ist die Kommunikation mit der Wirtschaft. Es ist auch eine Vertrauenssache. Behörden, Wirtschaft und Forschungseinrichtungen müssen allesamt sensible Informationen im kleinen Kreis unter Verschluss halten - das klappt aber kaum, weil das Vertrauen untereinander einfach nicht da ist." An der Einbindung der Wirtschaft in die NCAZ-Prozesse werde hinter den Kulissen aber bereits intensiv gearbeitet. George sieht das Problem ähnlich: "Das NCAZ versucht natürlich, die Wirtschaft mit ins Boot zu holen. Wie aber soll das bei drei bis vier Millionen Einzelunternehmen in Deutschland gehen?" Deshalb sei die Kommunikation mit Unternehmerverbänden wie dem Bitkom zunächst ein sinnvollerer Schritt." Bis die Kommunikation richtig laufe, werde es in jedem Fall noch ein paar Jahre dauern, so Gerhager.

Dass die politische Kommunikation mit Wirtschaftsverbänden durchaus Früchte tragen kann, zeigt das seit 2004 stattfindende "Lükex"-Programm (Länderübergreifende Krisenmanagement-Übung/Exercise), eine Übungsserie im Bereich des nationalen Krisenmanagements. Es widmete sich unter BSI/NCAZ-Führung im Dezember dem Thema "Cyberwar". Drei Tage lang simulierten rund 3000 Mitarbeiter aus sieben Landesministerien und 21 Bundesbehörden unter anderem gezielte Angriffe auf die IT-Systeme von rund drei Dutzend Unternehmen aus kritischen Bereichen wie Energieversorgung, Logistik und Verkehr. Die Lükex-Übung wird seitdem ausgewertet - mit den Ergebnissen ist frühestens im April zu rechnen.

Gefälschte Treiber

Vertrauen aufzubauen ist nicht nur zwischen Politik, Wirtschaft und Forschung schwierig - auch die IT-Industrie kämpft zunehmend um das Vertrauen ihrer Kunden. Erfolgreich waren Stuxnet und Duqu vor allem deshalb, weil sie unter dem Deckmantel gefälschter Realtek-Netzwerktreiber mit offizieller Microsoft-Signatur arbeiteten und auf den infizierten Windows-Rechnern nicht weiter auffielen - schließlich taten sie so, als seien es von vertrauenswürdiger Seite geprüfte Applikationen. Genau dieses Vertrauen, das automatische Softwareprüfungsroutinen, aber auch die Anwender selbst den seriösen IT-Anbietern entgegen bringen, wird zunehmend missbraucht: "Programme, Unternehmen und Einrichtungen, denen die Menschen vertrauen, werden zunehmend vertrauensunwürdig", stellt Leon Ward, Produktmanager beim Sicherheitsunternehmen Sourcefire, im COMPUTERWOCHE-Interview fest.

Mit der Unterwanderung von Zertifikatsdiensten und schon allein dem gezielten Angriff auf einzelne große Hersteller, auch und gerade in der Sicherheitsindustrie, träfen die Attacken im Endeffekt alle Anwender. Das Grundvertrauen in die IT-Industrie sei irgendwann nicht mehr vorhanden, so Ward. Ilias Chantzos sieht den neuerlichen Vertrauensaufbau beim Kunden als große Herausforderung für die Industrie. "Je stärker wir von IT-Infrastrukturen abhängen, desto größer werden die Risiken eines Angriffs", kommentiert er bekannt gewordene, erfolgreiche Attacken unter anderem auf sein eigenes Unternehmen und den großen Mitbewerber RSA in der vergangenen Zeit.

Was folgt auf Duqu?

Genauso schleichend wie der Prozess des Vertrauensverlustes von statten geht, arbeiten auch die Angreifer an ihrem Ziel. Denn selbst wenn Duqu keinen wirklich bezifferbaren Schaden angerichtet hat, ist es fast ausgeschlossen, dass nicht schon viel früher ähnlich gelagerte Schädlinge im Umlauf waren und/oder bald wieder neue nachkommen. So soll die Plattform "Tilded", auf der die genannten Spionagedateien entwickelt wurden, einem Kaspersky-Bericht zufolge bereits Ende 2007 aufgesetzt worden sein. "Zwischen 2007 und 2011 liefen mehrere Projekte zur Entwicklung von Programmen auf der Basis dieser Plattform, von denen bislang aber nur Stuxnet und Duqu bekannt sind", schrieb Kaspersky-Virenanalyst Alexander Gostev in einem Anfang 2012 veröffentlichten Bericht. Zudem werde Tilded stetig weiterentwickelt, auch weil die Entdeckung einzelner Projekte wie Duqu Änderungen am Framework notwendig mache, so der Experte. Was er in seinem Bericht ebenfalls betonte: Nach wie vor wisse niemand, woher die digitalen Industriespione stammten. Vermutlich steckten staatliche Behörden dahinter.

Aus Erfahrungen Nutzen ziehen

Weit hergeholt ist diese Annahme nicht. So konstatiert das BSI in seinem Report "Die Lage der IT-Sicherheit in Deutschland 2011": "Nachrichtendienste führen heute hoch professionelle IT-Angriffe auf Firmen, Behörden und auch auf Privatpersonen durch. Die Methoden werden immer raffinierter, und die Abwehr von Angriffen erfordert einen höheren Aufwand." Dieses Statement des BSI bezieht sich auch auf die ihm direkt übergeordneten Stellen, denn selbst die deutsche Regierung arbeitet nach analogen Mustern. Der im vergangenen Herbst aufgetauchte und als "Staatstrojaner" betitelte Wurm R2D2 war für ähnliche Spionageaufgaben vorgesehen, wenn auch weitaus plumper umgesetzt: unbemerktes Auskundschaften von fremden Rechnern und die Weitergabe der gesammelten Informationen an den "Angreifer". Da sich R2D2 analog zu den als APTs definierten Schädlingen nach getaner Arbeit unbemerkt wieder "zurückziehen" sollte, sind die genannten Fälle vermutlich nur die Spitze des Eisbergs.

"Alle DAX-30-Unternehmen sind infiziert"

Der "Cyberkrieg" ist noch eine eher abstrakte Bedrohung - finanziell motivierte Angriffe auf Unternehmen, die aber ähnlichen Angriffsmustern wie den bereits beschriebenen folgen, sind um einiges konkreter. Über ihr Ausmaß und den finanziellen Schaden, den sie heute bereits verursachen, gibt es ziemlich verlässliche Erfahrungswerte. Gerald Hahn, CEO der Münchner Softshell AG, einem Spezialdistributor für Cloud-Services, ist sich sicher, dass die Rechner von "100 Prozent der DAX-30-Unternehmen auf Vorstandsebene infiziert sind." Dank der internen Auskünfte von Datenforensikern der Softshell-Partnerunternehmen, die mit Wiederherstellungsarbeiten in diesen Konzernabteilungen beauftragt worden seien, ließen sich diese Zahlen ziemlich genau ermitteln.

Bestätigt werden Hahns Angaben von Michael Heuer, Vice President von Akamai Technologies, das viele Konzerne bei der Trafficanalyse im Web unterstützt. "Wir helfen den DAX30-Unternehmen auch dabei, zeitnah Ersatz-Websites bereitzustellen, wenn Server durch Großangriffe zeitweise nicht mehr erreichbar sind", so Heuer gegenüber der COMPUTERWOCHE. Weil dadurch Webservices fast ununterbrochen zur Verfügung stünden, gelange eine Vielzahl von Attacken auf die großen Unternehmen nur selten in die öffentliche Wahrnehmung.

Aber auch die Netze vieler kleinerer Unternehmen mit geringen IT-Sicherheitsbudgets, geraten ins Blickfeld von Datendieben. Gerade deutsche Mittelständler seien laut Hahn stark gefährdet - viel mehr als amerikanische: "Die amerikanischen Unternehmen merken es, wenn sie angegriffen werden - die deutschen nicht", wirft Hahn vielen seiner Berufskollegen "Ignoranz und Rückständigkeit" beim Thema IT-Sicherheit vor. "Entscheidend ist nicht die Organisationsgröße, sondern der Wert der gestohlenen Daten auf dem Schwarzmarkt", schreibt der Bochumer Softwarehersteller G Data in seinem Security-Report "Trends 2012". Der "Symantec Cybercrime Report 2011" beziffert den Schaden, den deutsche Unternehmen pro Jahr durch Cyberkriminalität erleiden, auf satte 24,3 Milliarden Euro.

Steinzeitliche Abwehr

Doch selbst diese horrenden Beträge scheinen viele Unternehmen nicht wachzurütteln. "Wir müssen feststellen, dass seit Stuxnet in Sachen IT-Sicherheit nicht viel passiert ist", erklärt Andreas Stein, Managing Director bei Dell Services in Frankfurt am Main. Noch immer beschränke sich die IT weitgehend darauf, auf Attacken zu reagieren und überlasse den Angreifern das Gesetz des Handelns. Professionell geplanten und geführten Angriffen werde noch immer "mit Verfahren aus der Anfangszeit des Web begegnet."

Die Folgen könnten verheerend sein: "Quartal für Quartal scheint bei Ihnen alles in Ordnung zu sein, Datendiebstahl findet augenscheinlich nicht statt. Jahrelang geschieht nichts - bis eines Tages aus dem Nichts in einem anderen Teil der Welt ein bis dato eher unbedeutendes Unternehmen langsam zum Marktführer in Ihrem Geschäftsbereich wird - subventioniert von den Investitionsgeldern, die sie über Jahre in Ihre Forschungs- und Entwicklungsabteilung gesteckt haben." Dieses düstere Szenario zeichnet Tim McKnight, Chief Information Security Officer beim 2011 selbst attackierten Security-Dienstleister Northrop Grumman.

Den Angreifer kennen, bevor er zuschlägt

Doch wie sollen sich Unternehmen verteidigen? Sicher ist eines: Bei Übungen wie "Lükex" geht es in erster Linie um die Absicherung kritischer Infrastrukturen und die Abwehr von Cyber-Attacken von außen. Der Aufbau von Know-How, solchen Angriffen angemessen begegnen zu können, ist aber ebenso gefragt - in der Politik wie in der Wirtschaft. Im Fußball macht dieser Tage die richtige Mischung aus Defensive und Offensive die Musik - im Umgang mit den neuen Angriffsformen ist es genauso. Wolfgang Kandek, CTO des Security-Service-Providers Qualys, erwartet etwa, dass sich Sicherheitsexperten großer Unternehmen künftig gezielter mit internationalen "Untergrundforen", die oftmals in russischer oder chinesischer Sprache betrieben würden, beschäftigten, um drohende Angriffe frühzeitig zu kennen. "Konzerne, die kritische IT-Infrastrukturen betreiben, werden ihre Topleute zudem verstärkt mit der Analyse bekannter Advanced Persistent Threats beauftragen, um erfolgreiche Angriffsvektoren besser verstehen zu lernen", prognostiziert Kandek im COMPUTERWOCHE-Gespräch.

Dass diese Analyse nötig ist, sieht auch das von RSA, dem Security-Dienstleister innerhalb der EMC Corporation, gesponserte "Security for Business Innovation Council" (SBIC) so. Das SBIC ist ein Zusammenschluss von 17 Chief Information Security Officers aus Großunternehmen wie eBay, BP, SAP, Nokia und T-Mobile USA, die regelmäßig Sicherheitskonzepte diskutieren und Empfehlungen für die Branche aussprechen. Im jüngsten SBIC-Report "Getting Ahead of Advanced Threats" vom Januar diesen Jahres heißt es: "Die meisten Unternehmen wissen nicht genug über die aktuelle Bedrohungslage sowie ihre eigenen Stärken und Schwächen bei der IT-Sicherheit, um sich angemessen verteidigen zu können." Weil die Muster der neuesten Angriffstechniken nicht ausreichend analysiert würden, könnten auch keine entsprechenden Abwehrmechanismen entwickelt werden.

Präventivschläge?

"Wir müssen in unserem Denken davon wegkommen, defensiv zu spielen und bedeutungslosen Einzelereignissen nachzugehen", forderte Art Coviello, Executive Chairman von RSA, auf der hauseigenen Security Conference Ende Februar. Weiter führte er aus: "Wir brauchen die Fähigkeit, riesige Datenbestände blitzschnell zu sichten und vorausschauende, präventive Gegenmaßnahmen zu ergreifen, um die allenfalls schwachen Signale zu erkennen, die von hochentwickelten, verborgenen Attacken ausgehen." Coviellos Unternehmen hatte vor gut zwei Jahren selbst mit einer groß angelegten Attacke zu kämpfen, bei der Informationen über das Zweifaktoren-Authentifizierungssystem SecurID abhanden gekommen waren. Um solche Vorfälle künftig zu vermeiden, empfehlen die SBIC-Experten einen informationsbasierten Sicherheitsansatz, die sogenannte "Intelligence-driven Security"-Strategie:

1. Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen? Soweit einigermaßen in Zahlen auszudrücken, sollten sie aufgeschrieben werden;

2. Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente wie Signaturdatenbanken sollten gründlich ausgewertet werden;

3. Wichtig sind zudem die gründliche Analyse bekannter Angriffsvektoren und das Know-How innerhalb der eigenen Sicherheitsteams in Bezug auf die Auswertung der Informationen. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen. Das erleichtert vor allem die Kommunikation der Sicherheitsansätze in Richtung der Vorgesetzten, die die finanziellen und organisatorischen Mittel zur Verfügung stellen müssen;

4. Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird - ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden;

5. Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzerverhalten voneinander unterscheiden zu können;

6. Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern.

Fokus auf die einzelne Information

Dass der Wert der einzelnen Daten stärker in den Fokus rücken muss, sieht auch Symantec-Vertreter Zeitler so "Wir entwickeln alle unsere Sicherheitskonzepte gemeinsam mit den Unternehmen nicht mehr unter der Prämisse 'Wie schütze ich das System', sondern anhand der Fragestellung 'Wie schütze ich die Information'." Nur so sei eine wirkungsvolle Abwehr ausgeklügelter Angriffe überhaupt noch möglich. Symantec, vor einigen Jahren ebenfalls Ziel einer erfolgreichen Hackerattacke, propagiert öffentlichkeitswirksam, dass es erst durch die Abkehr vom bisherigen System- und Geräte-Ansatz möglich sei, Identitätsdaten und Informationen auf jeder Infrastruktur angemessen zu schützen - ob auf Servern, mobilen Geräten oder in der Cloud. Auch SafeNet, Anbieter für Datensicherheit und Authentifizierungslösungen, wirbt mit seiner "Information Lifecycle Protection"-Strategie: "Das Schützen ganzer Netze ist nicht zukunftstauglich", meint Thorsten Krüger, Director Regional Sales bei SafeNet. Kritische Daten müssten einzeln gesichert und verschlüsselt werden, um sie schwerer an- und abgreifbar zu machen. Ausgeklügelte Zugriffsrechte und ein dauerhaft überwachtes Netzwerk könnten zudem bei der Gefahrenabwehr helfen.

Und wenn Zeit und Geld für einen aufwändigen Security-Masterplan einfach nicht da sind? Für solche Unternehmen bleibt immerhin noch das "Modell Apple", das im Herbst 2011 durchgespielt wurde: Lange Zeit hatte der private Betreiber der Internetplattform Jailbreakme.com regelmäßig Hacks für neue iOS-Betriebssysteme veröffentlicht. Andere Unternehmen hätten ihn sicher verklagt - Apple tat jedoch etwas anderes: Das Unternehmen stellte ihn als Sicherheitsexperten ein. Die Folge: Apple war bislang noch nie Ziel einer öffentlichkeitswirksamen größer angelegten Hackerattacke. Mikko Hypponen rät deshalb: "Bevor ein schlauer Kopf Sie angreifen kann, stellen Sie ihn lieber ein!"