Mit der Gefahr im Netz ist es ein bisschen wie mit dem Grundrauschen in der alten Stereoanlage. Sie ist permanent vorhanden, leise, kaum wahrnehmbar und doch potenziell in der Lage, plötzlich aus dem Hintergrund hervorzutreten.
Uwe Claaßen kennt sich bestens aus mit den digitalen Attacken. Er ist Leiter des Arbeitsbereiches Wirtschaftsschutz beim niedersächsischen Verfassungsschutz. Die Behörde berät Unternehmen, die eventuell im Visier fremder Nachrichtendienste stehen könnten (seine Aufgaben im Bereich Wirtschaftsspionage erklärt der Verfassungsschutz hier).
Claaßen weiß deshalb auch, warum Kleinunternehmer überhaupt Ziel von Attacken werden, selbst wenn es bei ihnen auf den ersten Blick nicht viel zu holen gibt.
IT-Angriffe gibt es tagtäglich
„Häufig werden sie Opfer von ungezielten Angriffen“, erklärt Claaßen. „In Niedersachsen gibt es diese Angriffe auf Unternehmen tagtäglich.“ Diese ungezielten Attacken nehmen im Prinzip jeden Computer mit, der nicht ausreichend geschützt ist. Die infizierten Rechner werden oftmals Teil eines sogenannten Bot-Netzes von Kriminellen genutzt, um Spam zu verbreiten.
Für infizierte Computer besteht zudem die Gefahr, dass ihre Daten nicht nur mitgelesen, sondern manipuliert, gelöscht oder gar zur Erpressung genutzt werden. „Jeder, der seinen Schriftverkehr, Rechnungen, Kundendaten oder die Steuerunterlagen digital organisiert, kann sich leicht ausrechnen, wie schwer ihn ein Angriff auf sein Computernetzwerk treffen kann“, sagt Claaßen.
Script Kiddies – Gefahr aus der Nachbarschaft
Neben den ungezielten gibt es noch ganz gezielte Attacken. „Auch die finden sehr, sehr häufig statt“, warnt der Verfassungsschützer. Er unterscheidet drei Arten krimineller Motive der Täter: Daten abgreifen, Schaden zufügen oder Beschaffungskriminalität mit Geldforderung und Erpressung. Hinter solchen Angriffen kann zum Beispiel ein Wettbewerber stecken.
Eine weitere Variante gezielter Angriffe stellen Attacken durch sogenannte Script Kiddies dar. „Ihnen macht es einfach Spaß, in Netzwerke einzudringen und dort herumzustöbern“, sagt Claaßen. Sie lauern in der unmittelbaren Nachbarschaft, wohnen zum Beispiel bei Mutti und Vati wohlbehütet im Reihenhaus und planen von dort ihre Angriffe.
Per Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) handelt es sich bei den Script Kiddies um Jugendliche, die ausschließlich mit vorgefertigten Schadprogrammen arbeiten. So machen sie ihre Gehversuche als Hacker. Ihre Angriffe sind gefährlich, weil sie oft gar nicht wissen, was sie da genau tun und so fahrlässig große Schäden anrichten können.
Und wie wird man zum Opfer? So schnell kann‘s gehen: Seite 2
So schnell wird man zum Opfer
Im Fischernetz landet man leicht. Dazu reicht es, eine infizierte Webseite aufzurufen. Oder ein Mitarbeiter steckt, ohne es zu wissen, einen infizierten USB-Stick in den Betriebs-Computer. Oder ganz klassisch: Man öffnet den Anhang einer Spam-Email.
Doch auch gezielte Angriffe sind meist mit sehr wenig Aufwand und für wenig Geld durchzuführen. „Jeder kann sich relativ einfach Spionagesoftware im Netz besorgen“, warnt Claaßen.
Die einfachste Art gezielter Angriffe
Simple aber erfolgreiche Attacken erlaubt zum Beispiel das sogenannte Social Engineering, erklärt Claaßen. Hier muss der Täter nur minimale Nachforschungen anstellen. Schon kann er den Meister oder Mitarbeiter in einer Email persönlich zum Beispiel mit einer Auftragsanfrage ansprechen. Und im Emailanhang befindet sich ein Trojaner. „Das ist ja kein Hexenwerk“, sagt Claaßen.
Ist überhaupt irgendein Unternehmer sicher vor den IT-Attacken? Uwe Claaßen ist sicher: „Nur wenn er alle Aufträge mit Schreibmaschine, Zettel und Stift bearbeitet oder den herkömmlichen Postdienst nutzt.“
Schutz gegen ungezielte Attacken
Doch das ist nicht nötig. Denn ein wirksamer Schutz ist leicht aufgebaut. Für ungezielte Attacken sieht der laut Uwe Claaßen so aus:
Diese drei Maßnahmen sichern den Computer bereits gegen viele Gefahren. So haben die Angriffe weniger Chancen, Schaden anzurichten. Auch helfen ein paar einfache Verhaltensregeln, sich vor ungezielten Attacken zu schützen:
Seite 3.
Eine Sicherheitsstrategie für den Betrieb
So rät Uwe Claaßen Betrieben, private Hardware gar nicht im Unternehmen zu dulden. Das beugt Angriffen vor, die etwa über infizierte USB-Sticks der Mitarbeiter den Betriebscomputer infiltrieren. Falls nötig, können Dienst-USB-Sticks mit einer speziellen Sicherheitstechnik eingeführt werden.
Wer das nicht durchsetzen kann: Einige Software-Firmen stellen mögliche Alternativen zur allzu restriktiven USB-Verhaltensregel zur Verfügung. Die sogenannten USB-Immunizer sollen Schadprogramme auf USB-Sticks vom Computer fernhalten.
Claaßen empfiehlt: „Man muss alle Mitarbeiter in die Sicherheitsstrategie einbeziehen. Ihnen muss bewusst sein, dass die Angriffe existieren.“ Zur Aufklärung gehöre dabei auch, dass die Mitarbeiter keine Erwachsenen-Webseiten aufsuchen – bei denen sei die Gefahr, auf einer infizierten Seite zu landen, besonders hoch.
Zudem sollte der Schutz konstant aufrechterhalten werden. Das kann ein paar Minuten pro Woche kosten. So sollte man sich über sicherheitskritische Updates auf dem Laufenden halten. Hierfür bietet etwa das BSI einen Newsletterservice an.
Selbstanalyse für einen gezielten Schutz
Und was ist mit den gezielten Angriffen? Wie entscheidet ein Unternehmen, ob es sich gegen Angriffe besonders schützen sollte? „Wir empfehlen jedem, sich einmal seine Alleinstellungsmerkmale zu überlegen“, rät Claaßen. Dabei helfen Fragen wie: Was macht meinen Erfolg aus? Wo grenzt sich mein Produkt von anderen ab? Was könnte meinen Wettbewerber an meinem Betrieb interessieren?
Besonders gefährdet seien laut Claaßen innovationsorientierte Technologieunternehmen, die zum Beispiel im Auftrag der Industrie arbeiten. Aber es kann durchaus auch der Bäcker sein, der seine Rezepte digital auf der Festplatte abgespeichert hat.
„Es braucht eine Selbstanalyse, damit man die Kronjuwelen des Betriebs findet und sie gezielt schützt“, erklärt Claaßen. Die Mitarbeiter des Verfassungsschutzes in Niedersachsen bieten dazu kostenlose Beratungsgespräche an. Sie helfen den Betrieben, ihr Gefährdungspotenzial besser abzuschätzen und geben Empfehlungen für einen individuellen Schutz.
(deg)
Mehr zum Thema IT-Sicherheit:
Nachtrag vom Verfassungsschutz zu seinen Aufgaben in der Wirtschaftsspionage
Der Verfassungsschutz Niedersachsen berät Unternehmen, die eventuell im Visier fremder Nachrichtendienste stehen könnten, der sogenannten Wirtschaftsspionage. Aus der Aufgabe heraus hat sich der Arbeitsbereich Wirtschaftsschutz mittlerweile zu einem wertvollen Partner für die niedersächsische Wirtschaft entwickelt. Häufig ist anhand der elektronischen Attacke nicht sofort erkennbar, handelt es sich hier um eine Ausspähung eines ausländischen Nachrichtendienstes, um eine Attacke eines Konkurrenzunternehmens oder zum Beispiel einfach um einen Hacker. Geschweige denn, wer hinter dem Angriff auf die IT Systeme steckt! Aus diesem Grund berät der Niedersächsische Verfassungsschutz auch Unternehmen präventiv.