Lohnendes Geschäftsmodell

Die Cyberattack-Liste des US-Center for ­Strategic and International Studies ist seitenlang und liest sich wie das Drehbuch eines Kriminalfilms: Darauf sind Desinformationskampagnen von Regierungen ebenso vertreten wie Cyberattacken privater Gangs. Ob Staaten oder Einzelpersonen: Zugang zu Unternehmensdaten verschaffen sich Cyberkriminelle meist über sogenannte Ransomware, die Daten verschlüsseln, welche sie gegen Lösegeld wieder freigeben. Das Risiko, erwischt zu werden, ist meist gering, der Profit aber hoch. Für Cyberkriminelle ein vielversprechendes Geschäft.

Doch wie bringen Cyberkriminelle die Angestellten dazu, Schadsoftware zu starten? «Meist sind es ahnungslose Anwenderinnen und Anwender, die Malware herunterladen, weil sie einer Quelle vertrauen», schreibt Blogautor Luke Irwin in einem Beitrag des Cyber-Risk-Lösungsanbieters «It Governance». Ein Foulplay sei auf den ersten Blick oft nicht erkennbar, ergänzt Raphael Reischuk, Head of Cybersecurity des Beratungsunternehmens Zühlke: «Täter gehen sehr geschickt vor. Sie verschaffen sich zunächst ein Bild über die Lage. Etwa, welcher Mitarbeiter wo im Unternehmen arbeitet. Erst in einem zweiten Schritt erpressen sie das Unternehmen. Beispielsweise, indem sie leere E-Mails an alle Mitarbeitenden eines Unternehmens schicken und aus Out-of-Office-Meldungen wie: ‹In dringenden Fällen kontaktieren Sie bitte meinen Kollegen aus Abteilung XY› Schlüsse zur Organisationsstruktur ziehen. Diese Daten ergänzen Cyberkriminelle mit weiteren aus dem Web, etwa der Wohnadresse und dem Geburtsdatum eines Mitarbeitenden, und erschleichen sich durch dieses Insiderwissen das Vertrauen der Mitarbeitenden.»

Reputationsschaden durch Datenleck

Doch worin besteht der Wert geklauter HR-Daten für Cyberkriminelle? «Aus Erpressersicht sind sie ein Beweis für den Datenklau, um damit mit der Veröffentlichung zu drohen», sagt Reischuk. ­Werden solche Daten publik, droht Betrieben nicht nur ein Reputationsschaden. Arbeitgebende geraten auch aus Datenschutzgründen unter Druck: «Mitarbeitende könnten sie verklagen, weil ihre HR-Daten nicht ordentlich verwahrt wurden.» Daneben drohen im EU-Raum hohe Bussen, wenn ein Datenleck auf Fahrlässigkeit zurückzuführen ist. «Geldstrafen von bis zu vier Prozent des weltweiten Umsatzes sind nicht unüblich», sagt Reischuk. Das sogar, «wenn kein Datensatz an die Öffentlichkeit gelangt».

Eine Studie des Softwareanbieters Kaspersky zeigt, dass über die Hälfte der angegriffenen Firmen nach einer Cyberattacke Lösegeld bezahlt. Nur ein Viertel erhält jedoch wieder den vollen Datenzugriff. Eines dieser Opfer: das Schweizerische Vergleichsportal Comparis, das diesen Herbst Opfer einer Ransom-Attacke wurde und gemäss eines SRF-Beitrags vom 14. Oktober 2021 rund 400 000 Dollar Lösegeld überwiesen haben soll. Es ist nicht das einzige Unternehmen: Eine ZHAW-Studie zeigt, dass bereits ein Drittel aller Schweizer KMU Opfer von Cyberkriminellen wurde. Rund vier Prozent wurden zudem erpresst. Ransomware-Angriffe nehmen zu. Das konstatiert auch das Nationale Zentrum für Cybersicherheit (NCSC). Wurden 2020 rund 68 Attacken gemeldet, registrierte die Behörde bis Ende Oktober 2021 bereits 143 Angriffe. Prinzipiell sollte ein Unternehmen kein Lösegeld bezahlen, sagt Reischuk: «Das befeuert das Geschäftsmodell der Angreifer und erhöht die Risiken für einen neuen Angriff.» In manchen Fällen dränge jedoch die Zeit. Beispielsweise, wenn durch einen Systemausfall in einem Spital Menschenleben in Gefahr gerieten. «Entscheidet sich eine Firma dennoch für eine Lösegeldzahlung, sollte sie zumindest einen Nachweis für die Wiederherstellbarkeit der Daten verlangen.»

Je mehr Schnittstellen, desto mehr Angriffsflächen

Nicht nur die Anzahl, auch die Schwere der Angriffe nimmt zu, belegt der Mid Year Report 2021 der amerikanischen Softwareschmiede «Check Point». Cyberkriminelle begnügen sich nicht mehr damit, Daten zu sperren oder Logins unzugänglich zu machen, sie stehlen diese auch. Manche gehen noch viel weiter und erpressen wie bei einer finnischen Psychiatrie sogar die Kundinnen und Kunden des Unternehmens. Dass die Zahl der Angriffe steigt, ist auf verschiedene Faktoren zurückzuführen, sagt Raphael Reischuk. So sei es heute einfacher, Angriffe auszuführen, da Lieferketten vermehrt digitalisiert werden oder Kryptowährungen wie Bitcoin die ­Spuren im Internet verschleiern. Durch die Vielzahl der Software, die auf externen Servern laufe, steige die Komplexität sowie die Zahl der ­Schnittstellen. «Das erhöht die Angriffsmöglichkeiten signifikant.»

Auch im HR kommt Software von Drittanbietern zum Einsatz, etwa im Payrolling. Doch bieten Schnittstellen vom HR zum Softwareanbieter tatsächlich Angriffsflächen? «Ja, das stellen wir immer wieder fest, wenn wir Kundensysteme testen», sagt Reischuk. «In 95 Prozent der Fälle konnten wir auf Firmendaten zugreifen.» Das funktioniere nicht zuletzt deshalb, weil Betriebe nicht genau wissen, nach welchen Kriterien die Software eines Dienstleistenden entwickelt wurde und welche Sicherheitsvorkehrungen dieser trifft oder wo die Software gehostet wird. Hinzu käme, dass mehr Schnittstellen mehr Angriffsflächen böten. «Das wissen Cyberkriminelle.» Häufig seien solche Attacken aber erst durch menschliches Versagen möglich. Beispielsweise, weil ein Angreifer einen Payroll-Anbieter anruft, ihn im Namen einer Firma um eine Mutation bittet, der Dienstleister aber nicht überprüft, ob der Anrufer überhaupt dazu berechtigt war. Um solche Vorfälle zu verhindern, sollte HR mit einem Softwareanbieter Arbeitsabläufe definieren und die für diese Prozesse verantwortlichen Personen bestimmen. «Um Datenhacks zu erschweren, könnte HR von Softwareanbietern einen Sicherheitsaudit-Nachweis verlangen.»

Auch intern sei vorzusorgen. Beispielsweise durch eine neue Daten-Policy: «Datenberechtigungen sollten nur nach dem ‹Need to know›-Prinzip vergeben werden», sagt Reischuk. «Befindet sich eine Mitarbeiterin beispielsweise im Mutterschaftsurlaub, sollte sie während dieser Zeit keinen Zugriff auf Firmendaten haben. Daneben erschweren Mehrfachfaktoren bei der Authentifizierung Datenmissbräuche.» Etwa, weil Mitarbeitende ein Passwort und einen per App übermittelten Code eingeben müssen.

Was also tun, wenn eine Attacke das HR und das Unternehmen lahmlegt? «Im Prinzip müsste jedes Unternehmen einen Notfallplan zur Hand haben, welcher der Geschäftsleitung, dem HR- sowie den IT-Verantwortlichen in gedruckter Form vorliegt», empfiehlt Reischuk. Sei der Angriff jedoch bereits erfolgt, müssten alle Geräte sofort vom Netz genommen werden, um weitere Zugriffe übers Internet zu verunmöglichen. «Diese dürfen zudem nicht heruntergefahren werden, damit wichtige Datenspuren nicht verschwinden, die Forensiker benötigen, um die Täter zu ermitteln.» Nebst dem Aufbieten von Forensikern sollte ein Datenvorfall in der Schweiz trotz nicht existenter Meldepflicht dem Nationalen Zentrum für Cybersicherheit gemeldet werden. Ausserdem sei die Polizei für die Strafverfolgung einzuschalten. «Die eigenen IT-Fachkräfte für die Krisenbewältigung in die Verantwortung zu nehmen, genügt nicht. Diesen fehlt häufig das forensische Know-how.»