Cyberkriminalität stellt größte Gefahr für Unternehmen dar

Cyberkriminalität ist Risikofaktor in Unternehmen. Log4j ist das jüngste Problem

Das ist die Quintessenz einer aktuellen weltweiten Studie der Allianz-Versicherung. Damit rangieren Cyberattacken bei der Risikobewertung für Unternehmen erstmals noch vor Betriebsunterbrechungen, rechtlichen Veränderungen oder Klimagefährdung. Ein guter Grund, einmal genauer hinzusehen. Und weil Presse und Öffentlichkeit den Begriff Cyberkriminalität gerne auch mal missverständlich verwenden, hier die eindeutige Definition: Es handelt sich hierbei um aktive Angriffe auf Privathaushalte und Unternehmen unter Verwendung von Internet-Technologie.

Ein typisches Beispiel: tückische Mailanhänge

Sie kennen bestimmt das folgende Szenario mit dem Namen „Emotet“, haben schon einmal davon gehört oder bei uns darüber gelesen. Diese altbekannte Schadsoftware ist wieder da und löst eine neue Welle der Cyberkriminalität aus.

Täglich landen E-Mails im Eingangsordner der Mailsoftware, auch Mail-Client genannt. Wahrscheinlich handelt es sich hierbei um Microsoft Outlook, denn unter den Windows-Anwendern ist es das am weitesten verbreitete. Open Source Befürworter verwenden wahrscheinlich Thunderbird. Das eine Werkzeug, nämlich Microsoft Outlook, ist deutlich gefährdeter als Thunderbird, aber generell funktioniert der Angriff mit beiden. Jeder von uns erhält E-Mails, die vermeintlich seriös daherkommen und eine Datei im Anhang mitbringen, die wichtig erscheint.

Entscheidend ist der nächste Schritt. Denn trotz vieler Warnungen klickt irgendjemand im Unternehmen mit der Maus auf das Symbol für den Anhang. Ein Moment der Un(bed)achtsamkeit und dieser Jemand bejaht diese eine Systemmeldung. Sie fragt: Soll die Datei geöffnet oder gespeichert werden? Die Antwort per Mausklick: Ja klar – „öffnen“! Und so nimmt das Unheil seinen Lauf.

Microsoft Office Dokumente als Türöffner

Häufig handelt es sich bei diesen korrumpierten Anhängen um eine Microsoft Office Datei. Schließlich sind Programme wie MS Word oder Excel weit verbreitet und jedem Anwender gut bekannt. Beim Klick auf den Anhang startet das dazugehörige Programm automatisch. Es fragt, ob „aktive Inhalte“ aktiviert werden sollen. Der/die typische „Benutzende“ antwortet mit sehr grosser Wahrscheinlichkeit mit „JA!“.

Damit war’s das dann mit der Sicherheit und Ruhe in der IT-Landschaft. Denn jetzt aktivieren sich in die Microsoft Word-Datei eingebettete „Visual Basic for Application“-Macros. Das passiert zunächst auf dem lokalen Microsoft Windows PC. Von dort aus verbreiten sich diese Schadsoftwares überall: im internen Netzwerk oder per Mail übers Web. Das schlimme daran ist, dass diese Macros beinahe jede beliebige Funktion enthalten können. Sie verwenden die Rechte der Benutzenden, die in den Betriebssystem-Einstellungen hinterlegt sind. Im schlimmsten Fall und gar nicht so selten sind es Admin-Rechte.

Das kann alles passieren …

Die folgende Aufstellung gibt Ihnen einen kleinen Einblick in die derzeit am häufigsten auftretenden Szenarien.

  • Die Schadsoftware verschlüsselt Dateien auf dem lokalen Microsoft Windows-PC. Damit sind diese Dokumente für Sie verloren.
  • Dateien im lokalen Netzwerk, auf das der PC zugreift, werden verschlüsselt. Damit sind sie für das gesamte Unternehmen verloren. Backups helfen da oft nicht, weil die aktuellen Generationen häufig auch korrumpiert sind.
  • Vom lokalen PC und/oder vom erreichbaren lokalen Netzwerk werden Zugangsinformationen an den Angreifer versandt. Dieser liest dann unbemerkt E-Mail-Empfängeradressen und komplette Kommunikationsinhalte aus. Anschließend verwendet der Hacker diese Daten für den Aufbau und Versand weiterer E-Mails, benutzt und tarnt mit deren Hilfe weitere „Social Hacking“-Angriffe.
  • Die Makros analysieren Dateien des lokalen Microsoft Windows PC bzw. des lokalen Netzwerkes und manipulieren, löschen oder stehlen diese je nach Interesse.

Gegenüber früheren Szenarien, die lediglich lokale Daten angriffen, sind die heutigen Angriffs-Werkzeuge in der Lage, ganze Netzwerke zu attackieren. Dabei nutzen Cyberkriminelle durchaus altbekannte Schwachstellen aus. Hierzu gehören:

  • Programmierfehler im Betriebssystem Microsoft Windows (sämtliche Versionen), speziell im Bereich Netzwerk.
  • Komfort-Merkmale, die allesamt mit Vereinfachung (z.B. Doppelklick startet Anwendungsprogramm), Verstecken (Dateinamenserweiterungen werden nicht gezeigt), gezieltem Verschweigen und standardmässigen Fehlkonfigurationen einhergehen.

Microsoft Anwendungen – nur ein Teil des Problems

Damit kein Missverständnis aufkommt: Wir sind keine Microsoft oder Windows-Hasser. Für diesen Artikel verwendeten wir einen PC mit (derzeit noch) Windows 7 und Libre Office Writer. Aber die oben beschriebenen Szenarien funktionieren allesamt nur auf Rechner-Systemen, die mit einem beliebigen Microsoft-Betriebssystem laufen. Doch warum ist das so?