Hackerangriffe finden in Deutschland stündlich statt: Die Vorgehensweisen der Cyberkriminellen werden immer raffinierter, die Angriffsflächen größer. Doch nach wie vor unterschätzen viele Unternehmen und Organisationen die Bedrohungslage.
Kennen Sie die Stadt Dettelbach? Nein? Dabei hat es die unterfränkische Kleinstadt kürzlich sogar in die Abendnachrichten des ZDF geschafft. Das beschauliche Städtchen mit knapp 7.000 Einwohnern wurde im Frühjahr 2016 Opfer einer Trojaner-Attacke, die die komplette IT der Stadtverwaltung lahmlegte und die Dateien auf den Servern der Stadt plötzlich verschlüsselte. Eine Anzeige auf dem Bildschirm forderte zur Zahlung eines Lösegeldes auf, um wieder Zugriff auf die Daten zu erhalten. Nach Angaben des Polizeipräsidiums Unterfranken wurde bei der Attacke die Schadsoftware Tesla-Crypt in der Version 2.0 oder 3.0 genutzt. Und was taten die IT-Verantwortlichen der Stadt Dettelbach? Sie zahlten das Lösegeld in Höhe von mehreren hundert Euro an die Erpresser.
Ein Schritt von dem die Polizei strikt abrät. Die Sicherheitsbehörden geben zu Bedenken, dass es keine Garantie dafür gibt, dass die Daten nach der Zahlung auch wirklich entschlüsselt werden. Zum zweiten bestehe das Risiko, dass man die Straftäter zu einer Wiederholung der Tat animiere. Und die Folgen für Dettelbach? Die Kosten belaufen sich auf mindestens 100.000 Euro, die IT wird mit Sicherheit völlig neu aufgesetzt werden müssen, nicht alle Daten konnten wiederhergestellt werden und keiner kann sagen, ob persönliche Daten der Bürger in fremde Hände gelangt sind und in welcher Hinsicht auch in Zukunft mit einem Missbrauch dieser sensiblen Daten gerechnet werden muss. Die Schuldfrage lässt sich abschließend nicht ganz klären, die Zuständigkeiten sind unklar. In einer Pressekonferenz wurden Fehler eingeräumt, die Bürgermeisterin trifft jedoch laut eigener Aussage "sachlich gesehen keine Mitschuld". Drei Jahre sei sie erst im Amt, das EDV-System habe sie so gelassen, wie sie es vorgefunden habe. Und das Lösegeld würde sie wieder bezahlen.
IT-Sicherheit: Das hilft gegen Ransomware
Das hilft gegen Ransomware-Angriffe Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können.
Software-Update Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen.
Backup Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist.
Aktueller Endpunkt-Schutz Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist.
Intrusion Prevention System Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind.
Datei- und Dokumenten-Analyse Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat?
Sample-Extraktion Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen.
Netzwerkprotokolle wiederherstellen Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken.
Verschlüsselungsanalyse Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.
Unklare Verantwortlichkeiten in Sachen IT-Sicherheit
Dieser Fall veranschaulicht die Problematik im Umgang mit dem Thema IT-Sicherheit bei Unternehmenslenkern und anderen Verantwortlichen sehr deutlich: Laut einer IT-Sicherheitsstudie von VMwaresoll die Geschäftsführung für Schäden aus Cyberattacken gerade stehen - doch in der Realität stehlen sich viele Betroffene der Führungsebene aus der Verantwortung und geben diese an die IT-Abteilung ab. Ein Problem, das daraus resultieren könnte, dass jede vierteIT-Führungskraft die Geschäftsführungsebene nicht über Hackerangriffe, Sicherheitslücken und Datenverluste informiert. Ein Teufelskreis der Desinformation, denn aufgrund ihres mangelnden Wissens unterschätzen viele Führungskräfte die Bedrohungslage geschäftskritischer Daten. Nur jeder zehnte Unternehmenslenker weltweit hat das Thema Cyber-Security auf seiner Agenda. Ähnlich dürfte es sich auch bei der Bürgermeisterin von Dettelbach verhalten haben, die das Thema wohl seit Beginn ihrer Amtszeit nicht auf der Tagesordnung hatte.
IT-Führungskräfte und Management sind sich über die IT-Sicherheitsstrategie uneinig. Foto: VMware
Gleichzeitig ist die Bedrohungssituation so akut wie nie zu vor. Allein in Bayern sind vom Trojaner à la Dettelbach rund 60 Kommunen, Institutionen und Unternehmen attackiert worden. Laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom April 2016 waren ein Drittel (32 Prozent) der befragten Unternehmen in den letzten sechs Monaten von einem Ransomware-Angriff betroffen. Drei Viertel der Angriffe waren auf infizierte E-Mail-Anhänge zurückzuführen.
Die Hackerangriffe werden immer raffinierter und ausgefeilter und die Szene professionalisiert sich zunehmend. Als Bewerbungen auf echte Stellen, Rechnungen, Bestellbestätigungen oder Paketempfangsbestätigungen getarnt, kommen die E-Mailsoft von vermeintlich vertrauenswürdigen Absendern, weil sich die Schadprogramme über die Adressbücher ihrer Opfer-Computer selbst weiterverschicken. Die Konsequenzen dieser zunehmenden Cyberattacken sind existenziell bedrohlich, denn der Verlust des geistigen Eigentums und sensibler Kundendaten bzw. der Daten eines Einwohnermeldeamts wie im Falle von Dettelbach, kann erhebliche Auswirkungen auf den Umsatz, das Image und das Vertrauen der Bürger oder Kunden zur Folge haben.
Die größten Cyberangriffe auf Unternehmen
Die Top 15 Hacker-Angriffe auf Unternehmen Unternehmen weltweit rücken seit Jahren in den Fokus von Hackern und Cyberkriminellen. Identitäts- und Datendiebstahl stehen bei den Anhängern der Computerkriminalität besonders hoch im Kurs - kein Wunder, dass Cyber-Risk-Versicherungen immer mehr in Mode kommen. Wir zeigen Ihnen 15 der größten Hacking-Attacken auf Unternehmen der letzten Jahre.
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Cicis Auch die US-Pizzakette Cicis musste Mitte 2016 einen Hackerangriff eingestehen. Wie das Unternehmen mitteilte, wurden die Kassensysteme von 130 Filialen kompromittiert. Der Diebstahl von Kreditkartendaten ist sehr wahrscheinlich. Wie im Fall von Wendy's und Target gelang es Hackern auch bei Cicis Malware in das Point-of-Sale-Kassensystem einzuschleusen. Erste Angriffe traten bereits im Jahr 2015 auf, im März 2016 verstärkten sich die Einzelattacken zu einer groß angelegten Offensive. Nach eigenen Angaben hat Cicis die Malware inzwischen beseitigt.
Wendy's Anfang Juli 2016 wurde ein Hacker-Angriff auf die US-Fastfood-Kette Wendy’s bekannt. Auf den Kassensystemen wurde Malware gefunden – zunächst war von weniger als 300 betroffenen Filialen die Rede. Wie sich dann herausstellte, waren die Malware-Attacken schon seit Herbst 2015 im Gange. Zudem ließ die Burger-Kette verlauten, dass wohl doch bis zu 1000 Filialen betroffen seien. Die Kreditkarten-Daten der Kunden wurden bei den Malware-Angriffen offenbar ebenfalls gestohlen. Wie im Fall von The Home Depot hatten sich die Hacker per Remote Access Zugang zum Kassensystem der Fast-Food-Kette verschafft.
Heartland Payment Systems Noch heute gilt der 2008 erfolgte Cyberangriff auf das US-Unternehmen Heartland Payment Systems als einer der größten Hacks aller Zeiten wenn es um Kreditkartenbetrug geht. Heartland ist einer der weltweit größten Anbieter für elektronische Zahlungsabwicklung. Im Zuge des Hacks wurden rund 130.000.000 Kreditkarten-Informationen gestohlen. Der Schaden für Heartland belief sich auf mehr als 110 Millionen Dollar, die zum größten Teil für außergerichtliche Vergleiche mit Kreditkartenunternehmen aufgewendet werden mussten. Verantwortlich für den Hack war eine Gruppe von Cyberkriminellen. Deren Kopf, ein gewisser Albert Gonzalez, wurde im März 2010 wegen seiner maßgeblichen Rolle im Heartland-Hack zu einer Haftstrafe von 20 Jahren verurteilt. Heartland bietet seinen Kunden seit 2014 ein besonderes Security-Paket - inklusive "breach warranty".
Sony Playstation Network Im April 2011 ging bei vielen Playstation-Besitzern rund um den Globus nichts mehr. Der Grund: ein Cyberangriff auf das digitale Serviceportal Playstation Network (PSN). Neben einer Ausfallzeit des PSN von knapp vier Wochen (!) wurden bei der Cyberattacke jedoch auch die Daten (Kreditkarteninformationen und persönliche Daten) von rund 77 Millionen PSN-Abonennten gestohlen. Sony informierte seine Nutzer erst rund sechs Tage über den Hack - und musste sich dafür harsche Kritik gefallen lassen. Die Kosten des PSN-Hacks beliefen sich auf circa 170 Millionen Dollar. Die Verantwortlichen wurden bislang nicht identifiziert.
Livingsocial.com Die Online-Plattform Livinggsocial.com (inhaltlich vergleichbar mit Groupon) wurde im April 2013 Opfer eines Hacker-Angriffs. Dabei wurden die Passwörter, E-Mail-Adressen und persönlichen Informationen von circa 50 Millionen Nutzern der E-Commerce-Website gestohlen. Glücklicherweise waren die Finanzdaten von Kunden und Partnern in einer separaten Datenbank gespeichert. Die Verursacher des Security-Vorfalls wurden nicht identifiziert.
Adobe Systems Mitte September 2013 wurde Adobe das Ziel von Hackern. Circa 38 Millionen Datensätze von Adobe-Kunden wurden im Zuge des Cyberangriffs gestohlen - darunter die Kreditkarteninformationen von knapp drei Millionen registrierter Kunden. Die Hacker die hinter dem Angriff standen, wurden nicht gefasst.
Target Corporation Die Target Corporation gehört zu den größten Einzelhandels-Unternehmen der USA. Ende des Jahres 2013 musste Target einen Cyberangriff eingestehen, bei dem rund 70 Millionen Datensätze mit persönlichen Informationen der Kundschaft gestohlen wurden. Weitaus schwerer wog jedoch, dass unter diesen auch 40 Millionen Datensätze waren, die Kreditkarteninformationen und sogar die zugehörigen PIN-Codes enthielten. Für außergerichtliche Einigungen mit betroffenen Kunden musste Target rund zehn Millionen Dollar investieren, der damalige CEO Gregg Steinhafel musste ein halbes Jahr nach dem Hack seinen Hut nehmen.
Snapchat Ein kleiner Fehler führte Ende Dezember 2013 dazu, dass Hacker die Telefonnummern und Nutzernamen von 4,6 Millionen Snapchat-Usern veröffentlicht haben. Snapchat selbst geriet darauf ins Kritikfeuer von Nutzern und Sicherheitsforschern, denn wie so oft war die Ursache für die Veröffentlichung der Daten ein Mangel an Sicherheitsvorkehrungen. Die von Hackern verursachten Probleme sind jedoch meist weniger schlimm als der Schaden, der nach der Veröffentlichung folgt. Auch wenn man seinen Nutzernamen oder seine Telefonnummer nicht als großes Geheimnis ansieht – ein motivierter Angreifer wie ein Stalker oder ein Identitäts-Dieb könnten mit diesen Daten Übles anrichten. Dieser Hack zeigt wiederum, dass alle Daten wichtig sind - vor allem wenn sie den Nutzern gehören. Man kann mit Sicherheit davon ausgehen, dass die Entwickler von Snapchat diesen Sicherheitsfehler gerne vor den Hackern gefunden hätten.
Ebay Inc. Im Mai 2014 wurde Ebay das Ziel von Cyberkriminellen. Zwar wurden bei der Attacke keine Zahlungsinformationen entwendet - dafür aber E-Mail-Adressen, Usernamen und Passwörter von knapp 145 Millionen registrierten Kunden. Die Hacker erlangten scheinbar über von Ebay-Mitarbeitern gestohlene Logins Zugriff auf die Datenbanken des Unternehmens. Die Verantwortlichen wurden nicht identifiziert.
J.P. Morgan Chase Mit J.P. Morgan rückte im Juli 2014 eine der größten US-Banken ins Visier von Cyberkriminellen. Rund 83 Millionen Datensätze mit Namen, Adressen und Telefonnummern von Kunden fielen den Hackern in die Hände. Zugang erlangten die Kriminellen offensichtlich über gestohlene Login-Daten eines Mitarbeiters. Allerdings musste sich J.P. Morgan den Vorwurf gefallen lassen, seine Systeme nicht ausreichend zu schützen. Inzwischen wurden in den USA und Israel vier Personen festgenommen, die mutmaßlich an diesem Hack beteiligt waren.
The Home Depot Die US-Baumarktkette The Home Depot wurde im September 2014 Opfer eines besonders hinterhältigen Hacks. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2000 Filialen einzuschleusen. Die Folge davon: 56 Millionen Kreditkarteninformationen von Bürgern der USA und Kanada wurden direkt bei der Zahlung in den Home-Depot-Geschäften entwendet. Darüber hinaus fielen auch noch 53 Millionen E-Mail-Adressen in die Hände der Hacker. Der Schaden für das US-Unternehmen wird auf rund 62 Millionen Dollar beziffert.
Anthem Inc. Anthem gehört zu den größten Krankenversicherern der USA. Im Februar 2015 gelang es Cyberkriminellen, persönliche Daten von circa 80 Millionen Kunden zu stehlen. Die Datensätze enthielten Sozialversicherungsnummern, E-Mail-Adressen und Anschriften. Darüber hinaus wurden auch Gehaltsinformationen von Kunden und Angestellten entwendet. Immerhin: Medizinische Daten sollen nicht betroffen gewesen sein. Verschiedenen Security-Experten zufolge führt die Spur des Hacks nach China.
Ashleymadison.com Anschriften, Kreditkartennummern und sexuelle Vorlieben von circa 40 Millionen Usern hat eine Hackergruppe namens Impact Team im August 2015 nach einem Cyberangriff auf das Seitensprung-Portal Ashley Madison öffentlich gemacht. Der Angriff bewies, dass Ashley Madison nicht – wie eigentlich versprochen – persönliche Informationen der Nutzer gegen eine Gebühr löschte. Das erbeutete 30-Gigabyte-Paket beinhaltete insgesamt 32 Millionen Datensätze, darunter 15.000 Regierungs- und Militäradressen von Nutzern. Auch Teile des Seitenquellcodes und interne E-Mails der Betreiber lagen dadurch offen. Aufgrund der intimen Nutzerdaten und der geheimnisvollen Natur von Ashley Madison ist dieser Hackerangriff besonders heikel. Dass die Betreiber persönliche Daten auch auf Wunsch nicht vernichtet haben, zeigt ein Problem von Unternehmen, die personenbezogene Daten auf verschiedenen Systemen verarbeiten. Aber auch solche Unternehmen müssen Nutzerinformationen gegen Gefahren schützen – ganz gleich, ob die Gefahr von externen Hackern, böswilligen Insidern oder zufälligen Datenverlusten ausgeht. Ein Ashleymadison-User hat inzwischen vor einem Gericht in Los Angeles Klage gegen Avid Life Media eingereicht. Der Vorwurf: fahrlässiger Umgang mit hochsensiblen Daten. Ein Antrag auf Sammelklage ist ebenfalls bereits eingegangen. Sollte das Gericht diesem folgen, könnten ALM Schadenersatzforderungen in Milliardenhöhe ins Haus stehen.
Hacker & Mitarbeiter - der Risikofaktor Mensch
Des Weiteren hat die VMware-Studie aufgedeckt, dass für IT-Verantwortliche Bedrohungen nicht nur von außen kommen. Eine wesentliche Schwachstelle ist neben unzureichender Technologie und Organisationsstruktur der Faktor Mensch. Mehr als die Hälfte (56 Prozent) der IT-Entscheider ist der Meinung, dass die Mitarbeiter eine Gefahr für die Datensicherheit seien. Im Falle von Dettelbach war der Mensch gleich in vielfacher Hinsicht ein Sicherheitsrisiko. Zunächst haben ein oder mehrere Mitarbeiter den schädlichen Anhang einer E-Mail geöffnet und damit dem Virus Zugang zum System der Stadt verschafft. Aber es geht noch einfacher: "Es reicht aus", sagte mir einmal ein professioneller Hacker, "dass man ein paar USB-Sticks auf dem Parkplatz verteilt. Einer findet sich immer, der das Ding mitnimmt und gleich am Arbeitsplatz in seinen Rechner einsteckt. Sei es - um in ehrenhafter Absicht - zu sehen, ob er den Besitzer ausfindig machen kann, oder um den Stick zu löschen und ihn selbst zu behalten."
In beiden Fällen wird das Ziel, einen Schädling einzuschmuggeln, erreicht. Auch die Zahlung eines Lösegeldes geht auf den Faktor Mensch zurück, da ein vermutlich etwas in Panik geratener Mitarbeiter der Stadtverwaltung die Angelegenheit so schnell wie möglich regeln wollte - entgegen der gängigen Empfehlungen der Sicherheitsbehörden. Aber auch bereits im Vorfeld der Attacke hätte das Sicherheitskonzept der Stadtverwaltung überprüft und ggf. angepasst werden müssen, das wird nun vermutlich nachgeholt werden. Die Gründe für den Risikofaktor Mensch: Mitarbeiter verfügen oft über wenig Bewusstsein hinsichtlich der Datensicherheit sowie über unzureichende Technologiekenntnisse. Außerdem fehlt oft ein unternehmens- bzw. behördeninterner Notfallplan, was in dieser Situation zu tun ist.
Die Zuständigkeit für das Thema IT-Security ist nach wie vor in vielen Organisationen und Unternehmen nicht klar geregelt, wie das Beispiel Dettelbach eindrucksvoll zeigt. Und solange alles gut läuft, fühlt sich auch niemand berufen, etwas am aktuellen Status Quo zu ändern. Die IT-Abteilung sollte zwar vorausschauend sein und die IT auch auf zukünftige Bedrohungen vorbereiten und ausrichten. Aber in der Praxis werden Vorschläge und Bedenken aus Kostengründen nicht Ernst genommen und abgelehnt. Liegt die Zuständigkeit bei der Geschäftsführungsebene, fehlt oft das technische Verständnis und Wissen um die Komplexität der IT-Infrastruktur. Abhilfe soll hier der Chief Information Security Officer (CISO) schaffen, der als Teil der Geschäftsführung verantwortlich für die Abstimmung von Sicherheitsinitiativen mit den Unternehmenszielen ist. Er soll beide Welten vereinen und sowohl technologisches als auch unternehmerisches Denken unter einen Hut bringen.
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Kein ausreichender Schutz vor neuen Angriffsmethoden
Doch wie sind die IT-Abteilungen hierzulande überhaupt aufgestellt angesichts der derzeitigen Cyberattacken? Ein ganzes Drittel der IT-Fachleute (31 Prozent) sieht sich gegen die neuen Angriffsmittel und -methoden sowie deren zunehmende Frequenz nicht ausreichend gewappnet. Ein wesentlicher Grund: Starre und veralteteSicherheitskonzepte können mit der digitalen sowie zunehmend komplexen, mobilen Unternehmenswelt nicht Schritt halten. Die Möglichkeiten, um schnell und adäquat auf Angriffe von außen und Datenverstöße etwa der Mitarbeiter zu reagieren, sind begrenzt - mit entsprechenden Folgen für die Sicherheit des Unternehmensnetzwerkes und der Daten. Denn reaktive Sicherheitsmaßnahmen und Hardware-Appliances mit ihren manuell gepflegten Firewall-Regeln können mit der Dynamik heutiger Infrastrukturen und der aktuellen Bedrohungssituation nicht Schritt halten.
Eine langfristige Lösung hierfür kann ein Software-definierter Ansatz sein: Die Sicherheit wird hier fest auf der Architekturebene verankert. Denn neben den Vorteilen in punkto Sicherheit überzeugt das Software-definierte Rechenzentrum auch in Sachen Leistungsfähigkeit, Agilität, Geschwindigkeit und Effizienz. Angesichts ständig zunehmender Angriffe von Hackern greifen viele Organisationen beim Aufbau ihres Software-definierten Rechenzentrums zur Mikrosegmentierung des Netzwerkes, die sich laut Forrester bereits zur Best-Practice-Methode der IT-Sicherheit entwickelt hat. Der Grund: Bewegen sich Hacker innerhalb des Rechenzentrums von Workload zu Workload, gibt es in herkömmlichen Umgebungen wenige Kontrollen, da Rechenzentren häufig nur mittels Firewalls abgesichert werden. Ein ganzheitlicher Software-definierter Ansatz, der das gesamte Rechenzentrum umfasst, ist die ideale Grundlage für eine sichere und flexible IT, die den heutigen Anforderungen gerecht wird.
Über die reine Technologie hinaus ist es wichtig, ein breites Bewusstsein für das Thema IT-Sicherheit zu schaffen. Sämtliche Mitarbeiter sollten über ein Basis-Knowhow in Sachen Security verfügen, zusätzlich sollte es in jedem Unternehmen einen festen Ansprechpartner für Fragen rund um das Thema geben. Hierbei sollte man nur darauf achten, nicht ausschließlich mit Regelungen und Verboten zu agieren und damit eine Angst-Kultur zu schaffen, die die Belegschaft verunsichert. Vielmehr sollte man seinen Mitarbeitern Vertrauen entgegenbringen, sie mit Weiterbildungen fördern und ihre IT-Kompetenz ausbauen. Die Stadtverwaltung Dettelbach hat hier in nächster Zeit mit Sicherheit noch einiges zu tun. (fm)
11 Placebos für die IT-Sicherheit
Splash Screens Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht.
Antivirus Software Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance.
Perimeter Security Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen.
Alarm-Ermüdung Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden.
Ignoranz Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus.
Passwort-wechsel-dich Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss?
Security Training Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt.
Harte Worte Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen.
Mauer-Fetisch Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei.
Sharing Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken.
Schadens-PR "Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?