Cyberkriminalität richtet täglich Millionenschäden in Unternehmen an
/cloudfront-eu-central-1.images.arcpublishing.com/madsack/VI772Z2BQTERUV7UDQ5DWLMH6U.jpg)
Eileen Walther, Country Manager Deutschland bei Northwave.
© Quelle: Wolfgang Sens
/s3.amazonaws.com/arc-authors/madsack/d1c0ffe6-545e-4fe4-a2f6-2d5b224feb10.png)
Leipzig. In der aktuellen Ausgabe des Wirtschaftspodcasts Macher Ost dreht sich alles um Cybercrime und Cybersecurity. Die Moderatoren Susanne Reinhardt und Marco Weicholdt sprechen mit ihrem Gast Eileen Walther über gezielte Cyberangriffe auf Unternehmen durch Hacker, Erpressung von Lösegeld und Arbeitsausfall in Millionenhöhe, Wirtschaftsspionage, internationale Verflechtungen und politisch motivierte Hacks.
Eileen Walther ist Country Manager Deutschland des niederländischen IT-Sicherheitsspezialisten Northwave und kann auf langjährige Erfahrung in der kriminalpolizeilichen Bekämpfung von Cybercrime zurückblicken. Über zehn Jahre arbeitete sie für die niederländische Polizei, leitete eine High-Tech-Crime-Unit und war zeitweise zum deutschen Bundeskriminalamt entsandt.
Lesen Sie hier einen Auszug aus der Podcastfolge über die Vorgehensweise von Hackern vom Auffinden einer Sicherheitslücke bis zur Erpressung und Lösegeldforderung:
Susanne Reinhardt: Es ist gar nicht mehr der Computervirus, den man sich Anfang, Mitte der Neunzigerjahre noch mit einer Diskette auf den Computer gezogen hat und der dann da irgendwie Mist gemacht hat, dann ging etwas nicht mehr und man hat eine Software genutzt, die das reparieren konnte. Sondern da werden heute komplette Unternehmen lahmgelegt. Wie läuft das ab? Wie passiert es, dass Firmen gehackt werden?
Eileen Walther: Es gibt für alles einen Spezialisten. Das heißt, es gibt einen, der sucht eine Schwachstelle. Das ist relativ einfach. Deshalb soll auch jeder selbst ein Schwachstellen- also Vulnerability-Assessment machen, damit man sieht, wo steht die Tür auf. Ein Hacker findet also eine Tür, öffnet sie und organisiert die Möglichkeit, auch wieder zurückzukommen. Dieser Zugang wird dann in den Underground verkauft. Ein anderer kauft sich den Zugang.
Susanne Reinhardt: Die Tür ist der Eingang ins interne Unternehmensnetzwerk?
Eine Schwachstelle, die man von außen benutzen kann, um in ein internes Netzwerk reinzukommen, genau.
Susanne Reinhardt: Also die wird gar nicht in dieser Hackergruppe an sich genutzt, sondern wird an jemanden weiterverkauft für...?
Für wenig Geld. Ich sag mal 50 Euro.
Susanne Reinhardt: Ist das wirklich so wenig? Und dann gibt man das weiter und wieder jemand anderes macht dann richtig Unfug, salopp gesagt, und nutzt diesen Eingang, um das Unternehmen gegebenenfalls auch zu erpressen und Daten zu stehlen?
Hmm, ja, dann sind wir schon ein paar Schritte weiter. Erst kommt der nächste und versucht, sich in dem Netzwerk weiter zu bewegen und einen Überblick zu verschaffen: Was gibt es an Assets [Anm. d. Red.: Werte], was versucht dieses potenzielle Opfer zu schützen und womit kann man diese Organisation erpressen, HR-Daten, Intellectual Property [Anm. d. Red.: geistiges Eigentum] und so weiter. Man schaut, wie weit man sich im Netzwerk bewegen kann, versucht Zugang zu bekommen, Adminrechte und so weiter, damit man das alles wieder verkaufen kann – an denjenigen, der die Zugänge nutzt, um Ransomware zu implementieren oder andere Ziele zu erreichen.
Marco Weicholdt: Also Erpressung dann tatsächlich.
Genau. Das ist dann wieder der nächste Schritt und diese Zugänge inklusive Adminrechten sind natürlich wieder viel mehr wert. Man hat quasi eine Wertschöpfungskette.
Susanne Reinhardt: Das hätte ich nie erwartet, dass das tatsächlich so abläuft. Ich habe immer gedacht, okay, da ist eine Gruppe, die sich auf ein Unternehmen stürzt und das alles alleine macht. Also innerhalb dieser Gruppe. Wie bemerken die Unternehmen denn einen Angriff? Dann geht plötzlich nichts mehr?
Ja, genau so. Also das merkt man schon, wenn es nicht gerade Wirtschaftsspionage ist zum Beispiel. Dann merkt man es im schlimmsten Fall gar nicht. Aber bei Erpressung: Derjenige, der Montagfrüh als erster den Rechner startet und versucht zu arbeiten, kriegt mit, dass vieles oder alles gesperrt ist. Und da ist auch eine Notiz dabei mit Kontaktdaten von den Angreifern und der Telefonnummer vom Servicedesk, den man anrufen kann, wenn man wieder arbeiten möchte.
Susanne Reinhardt: Servicedesk ist auch schön.
Ja, so nennen sie das aber tatsächlich.
Marco Weicholdt: Das ist dann eine Festnetznummer irgendwo? Kann man daraus Rückschlüsse ziehen, wo die Hacker sitzen?
Leider nicht. Dann wären wir bestimmt viel weiter gewesen mit der Bekämpfung. Das läuft alles per E-Mail mit anonymen Accounts. Und ja, das ist für die Kriminalpolizei tatsächlich schwieriger nachzuvollziehen, wer hinter dem Cyberangriff steckt. Diejenigen, mit denen man zu tun hat, das sind ja tatsächlich auch nur Servicedesk-Mitarbeiter. Das sind natürlich nicht die Big Brains behind [Anm. d. Red.: Strippenzieher] dieser Organisation. Und die Servicedesk-Mitarbeiter sagen dann auch, wenn man in der Verhandlung ist ‚da müssen wir jetzt erst mal unseren Chef fragen’ oder ‚das ist außerhalb meines Mandats’.
Hier die gesamte Podcast-Folge anhören:
Laden Sie sich jetzt hier kostenfrei unsere neue LVZ-App herunter:
- Für iOS