Cybersecurity
Die Verantwortung nicht auf den Nutzer abwälzen
Der moderne Cyberkrieg weitet sich aus. In immer stärkerem Maße sind auch große Unternehmen und Institutionen von gezielten Hackerangriffen betroffen. Medialer Höhepunkt war bisher der Cyberangriff auf den Deutschen Bundestag, der 2015 über Wochen die Arbeit der deutschen Volksvertreter behinderte.
Ausgelöst wurde der IT-Gau im deutschen Regierungslager vermutlich durch einen schrittweise eingeschleusten Trojaner, der von den Hackern in mehreren Angriffswellen stückweise – wie ein Puzzlespiel – auf bestimmten Computern des Bundestages zusammengesetzt wurde. Laut dpa schickten die Hacker zunächst nur Anhänge mit sehr kleinen Datenmengen, die nur Teilstücke eines Trojaners enthielten, der sich dann – etwa durch Anklicken eines Anhangs – erst nach und nach zusammengesetzt habe. Dieser Prozess hat, so die Presseagentur weiter, schon rund ein halbes Jahr vor seiner Entdeckung begonnen. Bemerkt wurde der Trojaner laut Bundesamt für Verfassungsschutz (BfV) jedoch erst, als von Parlamentscomputern aus verdächtige Server angesteuert wurden.
Die Fragen, die sich nach dem erfolgreichen Bundestagshack stellen, liegen auf der Hand: Wie konnte das passieren? Waren die Abgeordneten zu unvorsichtig? Oder handelte es sich doch um einen besonders raffinierten Angriff, der in dieser Form nur selten durchgeführt wird und somit nur wenige betrifft?
Dass ein Angriff auf eine Regierungsinstitution nicht nach dem 08/15-Schema läuft, verwundert nicht. Auch das schrittweise Einschleusen eines Trojaners ist nicht neu. Zudem hat sich das Hacking in den vergangenen Jahren zu einem äußerst lukrativen Business entwickelt, in dem große Mengen an Geld fließen. Inzwischen kommt dabei viel kriminelle Energie zum Einsatz.
Den Angriff auf die deutsche Regierungsinstitution der Unvorsichtigkeit bestimmter Mitarbeiter anzulas-ten, greift daher entschieden zu kurz. Denn eines ist klar: Moderne Cyberangriffe sind heute derart raffiniert, dass selbst geschulte IT-Experten im Arbeitsalltag nur schwer erkennen können, ob ein E-Mail-Anhang, den sie erhalten haben, Malware beinhaltet, oder ob ein Link, den sie zugeschickt bekommen haben, zu einer infizierten Webseite führt.
Mit anderen Worten: Awareness-Schulungen von Mitarbeitern sind für Unternehmen empfehlenswert und wichtig, doch einen zuverlässigen Schutz vor Hackerangriffen bieten sie keinesfalls. Auch die ständig steigenden Investitionen in die IT-Sicherheit (2015 wurden laut Gartner weltweit mehr als 75 Milliarden Dollar in IT-Sicherheitstechnologien investiert) können den immer komplexer und raffinierter agierenden Cyberkriminellen nicht in jedem Fall die Stirn bieten.
Angesichts des allgemeinen Widerwillens von IT-Abteilungen, Daten über Infizierungen und Sicherheitslücken zu veröffentlichen, lässt sich die heutige Situation mit den vergangenen Jahren nur sehr schwer vergleichen. Niemand möchte Statistiken über seine Ausfallraten preisgeben. Laut des „Verizon Data Breach Investigations Reports“ 2015 blieben 56 Prozent der Angriffe auf Unternehmensnetzwerke über Stunden oder länger unentdeckt, in 25 Prozent der Fälle dauerte es sogar Tage oder Wochen. Je mehr Zeit es jedoch in Anspruch nimmt, ein sicherheitsrelevantes Ereignis zu entdecken, desto mehr Zeit haben die Cyberkriminellen, Schaden anzurichten.
- Die Verantwortung nicht auf den Nutzer abwälzen
- Mit den Hackern mithalten
Lesen Sie mehr zum Thema
