Herr Hahnrath, würden Sie sich bitte kurz vorstellen.
Mein Name ist Jürgen Hahnrath und ich bin bei Cisco Deutschland verantwortlich für den Bereich IoT Solutions. Mein Team und ich beschäftigen uns sowohl mit dem Verkauf als auch mit der Architektur- und Lösungsseite von IoT. In dieser Position verantworte ich seit November 2015 den gesamten deutschen Markt. Ursprünglich komme ich aus dem Enterprise Sales-Bereich. Zuvor habe mich auch schon einige Jahre mit dem Bereich Collaboration beschäftigt. Außerdem kann ich dank meiner Ausbildung als Nachrichtentechnik-Ingenieur auch heute noch Erfahrungen davon im IoT Umfeld einsetzen und Synergien nutzen.
In letzter Zeit hört man öfters in den Medien, dass Unternehmen und Konten gehackt wurden und Ransomware aufgespielt wurde. Was versteht man unter dem Begriff Ransomware? Und was sind Phishing-Attacken?
Ransomware ist ein Angriff auf ein IT-gestütztes System. Das Ziel ist es nicht das System zu zerstören, sondern es schlicht und ergreifend für den Zugriff zu sperren und zu verschlüsseln. Bestimmte Dateien oder Bereiche können dann gegen Zahlung einer entsprechenden Kryptowährung – in der Regel Bitcoin – wieder freigeschaltet werden. Der Grund, warum solche Attacken häufig eingesetzt werden, hat zum einen mit der psychologisch relativ niedrigen Grenze der aufgerufenen Lösegelder zu tun; sie liegt üblicherweise bei 300 US-Dollar. Dies ist für viele Menschen eine kleine Hürde. Sie sind dann bereit zu zahlen, um ihre Daten wiederzubekommen. Zum anderen können Erpresser den Druck auf die Betroffenen gut steuern. Um zu zeigen, dass sie wirklich Zugriff auf die Dateien haben, können sie beispielsweise Probeentschlüsselungen einsetzen und einen Teil der verschlüsselten Daten freigeben. Zusätzlich wird der Druck erhöht und zeitlich gesteuert. Wenn man nach einer Woche nicht gezahlt hat, verdoppelt sich in vielen Fällen der Preis. Zahlt man eine weitere Woche nicht, bekommt man seine Daten nicht wieder. Dies ist die Idee von Ransomware: Den Zugriff verhindern und gegen Geld wieder freigeben.
Phishing-Attacken liegen dagegen zeitlich vor der eigentlichen Erpressung. Sie sind eine Möglichkeit, um Ransomware in die Systeme zu bekommen. Eine gut gemachte Phishing-Attacke verschickt offiziell aussehende E-Mails von Online-Versendern oder Geschäftspartnern, zumindest sieht es danach aus. An diesen Emails hängt dann ein Anhang, in welchem sich die entsprechende Schadsoftware befindet. Das heißt, bei Phishing-Attacken versuchen Hacker häufig, die Malware per Mail in Unternehmenssysteme oder -netzwerken zu platzieren. Diese Phishing-Attacken können darüber hinaus aber auch von Malware-Webseiten ausgehen, die wie eine offizielle Webseite aussehen, aber in Wahrheit Schadsoftware verteilen.
Welche Attacken sind in der Industrie verbreitet?
Wir sehen in der Industrie alle klassischen Angriffsvektoren. Die Ransomware ist die moderne Form des Befalls bestehender Systeme mit Viren oder Schadsoftware. Es gibt aber auch das Angriffsvarianten, bei denen im Grunde Systeme übernommen werden und beispielsweise eigene, sogenannte Botnetze entstehen. Das sind Netze, die dann wiederum Schadsoftware oder Spam-Mail verteilen. Das ist immer eine Frage des Einfallstors. Das Phishing-Einfallstor ist sehr gängig. Ein anderes gängiges Einfallstor ist in der Industrie ist aber immer noch der Datenträger. Der berühmte USB-Stick, den man durch die Gegend reicht, um Dateien zu verteilen – weil es bequemer ist als über E-Mail (mit entsprechendem Virenscanner). Über solche Datenträger wird Schadsoftware eingeschleppt, die verschiedene Auswirkungen haben kann. Eine davon ist unter dem berühmten Namen WannaCry bekannt.
Das heißt, die Bedrohung Nummer 1 sind immer noch infizierte USB-Sticks…
Wir beschäftigten bei Cisco mit einer eigenen Sicherheitsorganisation, Talos genannt, 280 bis 300 Leute, die weltweit ständig die Bedrohungslagen beobachten.
Sie kümmern sich um die Frage, wo die Schadsoftware herkommt, wie sie in die Systeme eindringt und versuchen gleichzeitig entsprechende Gegenmaßnahmen zu treffen. Man kann kein klassisches Einfallstor bezeichnen, weder den USB-Stick noch die E-Mail oder eine Malware-Webseite.
Letztendlich bedienen sich Hacker, die an unser Geld und an unsere Daten wollen, eines ganzen Systembaukastens von Angriffswerkzeugen. So kann es durchaus mehrere Wege geben, wie eine Schadsoftware in das Unternehmen gelangt. Die Art des Eingriffs in das Netzwerk ist die entscheidende Frage, die Kollegen immer frühzeitig beantworten müssen, um das Loch zu stopfen und weitere Verbreitung schnell einzudämmen. Das ist natürlich zeitkritisch, um die weitere Verbreitung schnell einzudämmen. Eine klare Richtung gibt es jedoch nicht. Der USB-Datenträger wird zwar aufgrund der Cloud und anderen Diensten häufig vergessen, ist aber immer noch weit verbreitet und ein mögliches Einfallstor, das man nicht vernachlässigen darf.