Hackerangriffe auf Firmen Ein Treffer pro Monat

Immer mehr Unternehmen werden zum Ziel von Cyber-Attacken. Meist reicht es, Zugang zum Praktikantenrechner zu haben oder einen USB-Stick herumliegen zu lassen. Oder Hacker kaufen sich die Sicherheitslücken gängiger Software gleich auf dem Schwarzmarkt.

Von Marlene Weiss

Die gute Nachricht zuerst: Es gibt Möglichkeiten, sensible Daten auf einem Computer verlässlich abzusichern. Die Methode, die Fachleute dafür empfehlen: Man schaltet den Rechner aus, schließt ihn in einen Safe, gießt diesen in Beton - und vergräbt den Block tief in der Wüste. Praktischere Systeme? Fehlanzeige. Das ist die schlechte Nachricht.

Bei einem Unternehmen werden durchschnittlich 70 Angriffe pro Woche registriert, einer im Monat ist erfolgreich", sagt Michael Teschner vom IT-Sicherheitsanbieter RSA. "Wir müssen davon ausgehen, dass der Angreifer fast immer im Firmennetz ist, das kann man nicht mehr verhindern." Wenn einer seiner Kunden ein Sicherheitssystem einbaut, ist es also eigentlich bereits zu spät. Und dabei geht es um ganz normale Angriffe ganz normaler Hacker; nicht um hochkomplexe Systeme wie die Schadsoftware Flame, die, wie jetzt entdeckt wurde, seit über drei Jahren im Nahen Osten Gespräche belauscht und Netzwerke ausspäht - aber die Ausnahme ist.

Teschner kann sich um Schadensbegrenzung bemühen; etwa mit Software, die verdächtige Datenbewegungen aufspürt. Und jedes Unternehmen kann versuchen, sich so gut abzuschotten, dass nur besonders erfahrene Hacker durchkommen. Wenn sie all zu lange an einem Angriff tüfteln müssen, lohnt sich die Mühe irgendwann nicht mehr.

Völlig veraltete Software

Doch nur wenige Firmen sind so sicher: Unter 800 Unternehmen, die der IT-Verband Bitkom kürzlich befragte, schätzte jedes dritte seine IT-Sicherheit als unzureichend ein. Und dabei geht es meist nicht um hochmoderne maßgeschneiderte Sicherheitslösungen: Oft ist völlig veraltete Software im Einsatz, sensible Daten sind nicht oder mit schwachen Passwörtern gesichert. Unter diesen Umständen kann sich jeder drittklassige Hacker bei den Firmen bedienen.

Theoretisch ist Sicherheit normiert: ISO 27001 enthält Vorgaben für minimale Maßnahmen. Aber die werden längst nicht überall umgesetzt - und mit der Realität haben sie ohnehin nicht viel zu tun. "Viele Unternehmen glauben, es wäre damit getan, die Vorgaben dieser ISO-Norm zu befolgen wie ein Kochrezept", klagt Teschner. Stattdessen sollten sie sich seiner Ansicht nach lieber Gedanken machen: Welche Informationen gilt es zu schützen? Was sind sie wert? Wer hat Interesse daran? Und wie kann man überprüfen, ob der Schutz funktioniert?

Oft sind Kundendaten oder Produktionsgeheimnisse Ziel der Angreifer. Laut einer Unternehmensbefragung der Beratungsfirma KPMG aus dem Jahr 2010 war deren Diebstahl die häufigste Straftat im Netz; insgesamt gab ein Viertel der befragten Unternehmen an, in den drei Jahren zuvor von Cybercrime betroffen gewesen zu sein.

Das Ausspähen von Daten hat stark zugenommen: Zwischen 2000 und 2010 wurden aus gut 500 Fällen pro Jahr in der Kriminalstatistik mehr als 15 000. Andere Angreifer setzen darauf, fremde Computer für Attacken zu kapern, mit denen sich Internetseiten lahmlegen und Online-Dienste erpressen lassen: Wer nicht zahlt, wird abgeschaltet. Und schließlich sind da Hacktivisten und Cyber-Terroristen, die im Sinne ihrer Sache sabotieren.

Vorläufer von Flame

Was gezielte Cyber-Attacken anrichten können, zeigte im Jahr 2010 der Computerwurm Stuxnet, eine Art Vorläufer von Flame, der Teile des iranischen Atomprogramms lahmlegte. Seine Zerstörungskraft war so groß, dass die Geschichte für Scott Borg in zwei Epochen zerfällt: "vor Stuxnet" und "nach Stuxnet". Borg ist der Chef der US Cyber Consequences Unit, ein Think Tank der US-Regierung. "Stuxnet bewegt sich von Rechner zu Rechner, verwischt seine Spuren, braucht keine Internetverbindung", sagt er.