Zur Suche
Schaden und Unfall

Die fiesen Tricks der Cyberkriminellen

Hacker nutzen verschiedene Methoden, um Betrieben zu schaden: Datendiebstahl, Sabotage oder Erpressung. Mal gehen sie gezielt vor, mal richten sich ihre Angriffe auf die breite Masse.

Lesedauer
© Gettyimages / Zephyr18

Hacker verschlüsseln Computer: Erpresserprogramme sind eine der größten Bedrohungen für Unternehmen. Ihr Auftreten hat oft einen erheblichen Ausfall von Produktion und Dienstleistung zur Folge. 

Sie sind allgegenwärtig und dringen doch nur selten an die Öffentlichkeit: Hackerangriffe auf Unternehmen. Mehr als die Hälfte der Betriebe in Deutschland sind in den letzten Jahren schon Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden, zeigt eine Studie des IT-Branchenverbands Bitkom aus dem Jahr 2017. Der Schutz vor Angriffen ist nicht leicht, denn die Methoden der Hacker sind vielfältig. 

Datendiebstahl

Es ist der bis heute größte bekannte Datenklau der Geschichte: 2013 verschafften sich Hacker Zugang zu Informationen über sämtliche Nutzer des Internetkonzerns Yahoo, insgesamt drei Milliarden Konten waren betroffen. Der Wert des einstigen Internet-Riesen sackte nach Bekanntwerden des Skandals ab, sehr viele Nutzer löschten ihr Konto. Der geschäftliche wie der Imageschaden waren immens.

Datendiebstähle wie dieser sind für Hacker ein lukratives Geschäft: Ob E-Mail-Adressen, Wohnanschrift oder Kreditkarteninformationen – alles lässt sich auf dem Schwarzmarkt zu Geld machen. Doch nicht nur auf Identitätsdaten haben es Hacker abgesehen: Auch Betriebsgeheimnisse oder Patente werden gestohlen und auf dem weltweiten Schwarzmarkt meistbietend verkauft. 

Im Visier der Hacker sind nicht nur Großkonzerne wie Yahoo, sondern auch viele kleine und mittelständische Betriebe, wie der Angriff auf Auerbachs Keller belegt. 2015 drang eine internationaler Hacker-Bande ins Kassensystem des berühmten Leipziger Restaurants ein und erbeutete Kreditkarteninformationen von etwa 400 Gästen. Der Schaden: mehr als 100.000 Euro. 

Das ist vergleichsweise wenig: Auf durchschnittlich 4 Mio. Dollar beziffert eine Studie des US-amerikanischen Ponemon Institute die Kosten von Datendiebstahl. Die Summe beinhaltet nicht nur die direkten Kosten für IT-Experten oder eventuelle Anwaltskosten. Sie schließt auch Umsatzeinbußen mit ein und die nötigen Investitionen, um Kunden wiederzugewinnen. Dazu kommen der Imageverlust und das Absacken des Unternehmenswerts. 

Zudem müssen Unternehmen Klagen von Kunden fürchten, deren Daten entwendet wurden.  Und es drohen behördliche Untersuchungen, Bußgelder oder Strafzahlungen. Aus Angst vor den Folgen versuchen viele Unternehmen deshalb, Datenpannen unter den Teppich zu kehren. Doch das ist nicht zu empfehlen: Ab Mai 2018 müssen Unternehmen den Verlust von Kundendaten in den meisten Fällen den Aufsichtsbehörden melden. Wer das nicht tut, riskiert hohe Strafen.

So hilft eine Cyberversicherung bei Datendiebstahl

  • IT-Forensik zur Aufklärung des Datendiebstahls
  • Datenschutzrechtliche Beratung bei möglichem Kundendatenverlust
  • Bezahlung von gesetzlichen Haftungsansprüchen aus dem Datenverlust
  • Gegebenenfalls Übernahme der Vertragsstrafen an Zahlungsanbieter für Verlust von Daten
  • Abwehr von unberechtigten Schadenersatzansprüchen
  • Bezahlung von Krisenkommunikation
  • Kostenübernahme für die Benachrichtigung geschädigter Kunden


Sabotage

Früher ängstigten sich Unternehmen davor, im Firmennetzwerk nach Betriebsgeheimnissen ausspioniert zu werden. Wer keine Geheimnisse hatte, wähnte sich sicher: Ein Irrglaube. Zum einen, weil immer mehr Schadsoftware darauf ausgerichtet ist, die – spätestens im Zuge von Industrie 4.0 zunehmend computergesteuerten – Abläufe innerhalb von Unternehmen lahmzulegen. Zum anderen, weil es als Sabotage-Akt völlig ausreicht, den Zugriff auf die Daten zu unterbinden, um das Geschäft weitgehend oder komplett zum Erliegen zu bringen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt die Bedrohung durch Cybersabotage „besorgniserregend“. Seit dem Computerwurm Stuxnet wisse man, „dass die Sabotage von Maschinen und Einrichtungen durch Cyberangriffe nicht nur denkbar ist, sondern tatsächlich auch durchgeführt wird“. Mit Stuxnet sollten 2010 wahrscheinlich iranische Atomanlagen sabotiert werden. Auch in Deutschland gibt es ähnliche Sabotage-Fälle zum Beispiel von Produktionsanlagen durch ausländische Konkurrenten. 

Auch Ddos-Attacken gehören zum Repertoire der Saboteure: Dabei wird ein Internet-Server mit so vielen Anfragen bombardiert, bis er überlastet zusammenbricht. Gerade Internet-Shops, die auf eine funktionierende Website angewiesen sind, können enorme Einbußen erleiden. Denn ist die Website nicht zu erreichen, steht der Betrieb still.

Für die meisten Sabotage-Akte sind allerdings keine kriminellen Hackerbanden verantwortlich. Laut einer Umfrage des Digitalverbandes Bitkom haben 52 Prozent der betroffenen Unternehmen aktuelle oder ehemalige Mitarbeiter als Täter ausgemacht. Sie manipulieren oder löschen absichtlich Daten oder zerstören ganze Datenträger.

So hilft eine Cyberversicherung bei Sabotage

  • Übernahme von Betriebsunterbrechungsschäden infolge von IT-Sabotage
  • IT-Forensik zur Aufklärung und gegebenenfalls Bekämpfung der IT-Saboteure
  • Kostenerstattung für Datenwiederherstellung und Bereinigung der eigenen IT
  • Gegebenenfalls Übernahme der Vertragsstrafen an Zahlungsanbieter für Verlust von Daten

Erpressung

Die größte aktuelle Bedrohung sind Erpresserprogramme: Laut einer BSI-Umfrage wurde fast jedes dritte von rund 600 befragten Institutionen Opfer sogenannter Ransomware. 23 der 190 Betroffenen meldeten einen erheblichen Ausfall von Produktion und Dienstleistung, 21 verloren wichtige Daten, bei vieren gefährdete der Angriff sogar die wirtschaftliche Existenz.

Angreifer schleusen Verschlüsselungstrojaner wie Locky oder WannaCry über E-Mail-Anhänge in die Computer ihrer Opfer ein. So werden Dokumente, Fotos, E-Mails und sogar komplette Datenbanken unbrauchbar. Wer wieder an seine Daten will, muss den Angreifern ein Lösegeld („ransom“) zahlen.

Ransomware breitet sich mit rasender Geschwindigkeit aus. Solche Schadprogramme machten 2016 fast 40 Prozent der verschickten Spam-Mails aus, errechneten Forscher von IBM. Ein Jahr zuvor waren es lediglich 0,6 Prozent. In den Mails wird – häufig sehr überzeugend formuliert – zum Öffnen eines Dateianhangs oder Anklicken eines Internet-Links aufgefordert, hinter dem sich die aktuellste Version des Schädlings verbirgt. Das FBI schätzt, dass Kriminelle in den USA allein in den ersten drei Monaten 2016 rund 209 Mio. Dollar erpresst haben. Wer nicht zahlt, ist seine Dateien häufig los. Es sei denn – und das ist die gute Nachricht –, er hat seine Daten zuvor gesichert. So können Betroffene die Folgen eines Angriffs kleinhalten.

Die Schadsoftware wird zumeist automatisiert und in großer Zahl versendet. Doch Erpressungen im Cyberspace können sich auch gezielt gegen einzelne Unternehmen richten, zum Beispiel durch angedrohte Ddos-Attacken. Zahlt der Betrieb nicht, greifen die Hacker an und legen das Netzwerk oder die Website lahm. So können zum Beispiel Online-Händler erpresst werden.

So hilft eine Cyberversicherung bei Erpressungen

  • Übernahme von Betriebsunterbrechungsschäden infolge von IT-Erpressungen
  • Kostenerstattung für Datenwiederherstellung und Bereinigung der eigenen IT
  • IT-Forensik zur Aufklärung und gegebenenfalls Bekämpfung der Erpresser
  • Gegebenenfalls Übernahme der Vertragsstrafen an Zahlungsanbieter für Verlust von Daten

Betrug

Immer wieder versuchen Kriminelle, mit der Betrugsmasche „Fake President“ Geld von Firmen zu erbeuten. Dazu bedienen sie sich realer Identitäten und geben sich beispielsweise als Vorstandsvorsitzende, Geschäftsführer oder Abteilungsleiter einer Firma aus. Mithilfe täuschend echt wirkender E-Mails weisen sie Mitarbeiter des Unternehmens an, Geld auf ein bestimmtes Konto zu überweisen. Als Begründung dient eine vermeintliche Übernahme oder ein neuer Geschäftskontakt. Mit dem Verweis auf die Dringlichkeit und Vertraulichkeit  der Angelegenheit erzeugen sie zusätzlich Druck auf die Zielperson, damit diese unbedacht und schnell das Geld überweist. 

Mit dieser Chef-Masche erbeuteten Betrüger beispielsweise vom Nürnberger Kabelhersteller Leoni 40 Mio. Euro. Doch es müssen nicht auf einen Schlag gleich Millionensummen sein. Die Einzelbeträge können auch gering sein, was es schwerer macht, den Betrug zu entdecken.

Diese Fälle unterscheiden sich jedoch von anderen Internetattacken. Zwar wird auch eine E-Mail genutzt, sie dient jedoch ausschließlich als Kommunikationsweg – übrigens zumeist in Kombination mit Telefonanrufen, die zusätzlich Druck auf die Mitarbeiter aufbauen. Die Computersysteme werden bei der Chef-Masche hingegen nicht beschädigt oder manipuliert. Und so ist auch das erbeutete Geld nicht standardmäßig von einer Cyberversicherung eingeschlossen.

Gegen solche Angriffe können sich Unternehmen aber mit einer Vertrauensschadenversicherung wappnen. Diese Police schützt Betriebe nicht nur vor gutgläubigen Überweisungen ihrer Mitarbeiter an Kriminelle. Sie leistet auch, wenn Angestellte den Betrieb gezielt schädigen, zum Beispiel durch Betrug, Unterschlagung, Diebstahl oder Untreue.

Glossar

  • Malware

    Malware ist der Oberbegriff für Schadprogramme – ein Kofferwort aus malicious und Software. Viren gehören genauso zur Malware wie Würmer oder Trojanische Pferde. Anti-Virenprogramme sind eigentlich Anti-Malware-Programme, da moderne Virenscanner eben auch Würmer und Trojaner erkennen.
    Den größten Anteil auf Windows-Rechnern machen immer noch Viren aus: Laut der Internet-Security-Firma AV-Test waren 2016 rund 37,6 Prozent der Schadprogramme Viren. Ein Viertel der Schädlinge ließen sich der Katergorie der Würmer (25,44 Prozent) zuordnen, die allgemeinen Trojaner machten 23,74 Prozent aus. Der Anteil von Ransomware, eine spezielle Art von Erpressungs-Trojanern, lag 2016 noch nicht einmal bei einem Prozent. Doch die Verbreitung sagt nichts über die verursachten Schäden aus. Diese dürften gerade bei Ransomware besonders hoch sein.

  • Computervirus

    Jeder Virus ist ein Programm, das sich in anderen Programmen einnistet. Er kann sich selbst kopieren und so neue Programme infiltrieren. Er kann Daten oder sogar die gesamte Hardware des infizierten Rechnersystems zerstören. Aber da sich ein Virus fast immer hinter einer EXE-Datei, also eine Programmdatei, versteckt, braucht ein Virus einen Nutzer, der auf die Datei klickt und somit den Virus ausführt. Für die Verbreitung braucht ein Virus auch wieder den Menschen, der infizierte Dateien kopiert und zum Beispiel über einen USB-Stick auf einen anderen Rechner überträgt. 

  • Trojaner / Trojanisches Pferd

    Diese Angriffsart hat ihren Namen in Anlehnung an die griechische Sage, in der sich feindliche Soldaten in einem geschenkten Holzpferd verstecken, um die uneinnehmbaren Stadtmauern Trojas zu bezwingen und die Stadt von innen einzunehmen. Der Trojaner funktioniert ähnlich: Dem Nutzer wird suggeriert, ein nützliches Programm herunterladen zu können, doch im Programmcode befindet sich versteckt der Schädling, der vom Nutzer aktiviert wird. Weniger als die konkrete Art des Schadprogramms beschreibt der Begriff Trojaner den Angriffsweg: Versteckt, aber auf die Hilfe des unwissenden Nutzers angewiesen. Angreifer brauchen dazu wenig Fachwissen, doch das dahinterliegende Know-how ist immens. Ein Trojaner, der sich als Banking-Homepage oder -App ausgibt und unbemerkt vom Nutzer Passwörter und Tan-Listen kopiert, per Mail verschickt und dann das betreffende Konto räumt, kann aus über 7000 Software-Modulen bestehen. WannaCry nutze diese Methode, besteht aber aus verschiedenen Schadprogramm-Elementen. Zum Beispiel installiert der Trojaner eine Backdoor.

  • Bot-Netze

    Hacker können infizierte Firmen-PCs über das Internet mit anderen infizierten PCs zu einem Rechner-Netzwerk zusammenschalten, über das sie Spam verschicken oder Angriffe auf Server starten. Im November 2016 sollten 900.000 Telekom-Router in solch ein mächtiges Botnetz eingebaut werden – der Plan ging zwar schief, aber Tausende Telekom-Kunden saßen da ohne Telefon und Internet.
    Ein ganzer Dienstleistungssektor beruht auf Botnetzen, deren Dienste man im Darknet problemlos mieten kann. Zum Beispiel, um „Distributed Denial of Service“-Angriffe (DDoS) zu fahren, Spam-Mails zu versenden oder um Bitcoins zu schürfen. Wenn der eigene Rechner Teil eines Botnetzes wird, sind Betroffene nicht nur Opfer, sondern werden unbewusst auch zu Tätern, quasi zum Werkzeug von Cyberkriminellen. Denn ein Benutzer kann mit einem Botnetzwerk gleich hunderte, oder tausende Computer fernsteuern und deren Rechnerleistung nutzen.

  • Ddos-Attacken

    Bei „Distributed Denial of Service“-Angriffe (DDoS) bombadieren Angreifer Internetserver mit so vielen Anfragen, dass er zusammenbricht. Ddos-Attacken werden in der Regel mit großen Bot-Netzen gefahren. Eine Ddos-Attacke gegen Dyn, einen Internet-Dienstleister, der für die Umwandlung der www-Internetadressen in numerale IP-Adressen zuständig ist, legte im Oktober 2016 kurzzeitig einen Großteil des Internetverkehrs an der US-Ostküste lahm. Seiten wie Netflix, Twitter oder AirBnB konnten nicht mehr aufgerufen werden, weil die Dyn-Server unter der Belastung der Ddos-Attacke zusammengebrochen waren.  Ddos-Attacken sind ein klassisches Beispiel von Sabotage, doch mit der Androhung einer Ddos-Attacke können auch Betriebe erpresst werden. Hacker drohen etwa Onlineshops. Denn bricht deren Website zusammen, kann ein Online-Shop nicht mehr verkaufen.

  • Phishing

    Profis sprechen von Phishing, wenn Opfer auf gefälschte Emails, Websites oder Apps hereinfallen und persönliche Daten unbewusst an Cyberkriminelle weitergeben. So täuschen Hacker beispielsweise mithilfe einer Email vor, Nachrichten von der Bank, einem Internetdienst oder Paketlieferanten für den Kunden zu haben, der nur sein Passwort eingeben muss, um an die Nachricht zu kommen. Sobald das Opfer sein echtes Passwort auf der gefälschten Website eingegeben hat, nutzen die Hacker das Passwort, um Geld direkt vom Konto zu erbeuten oder die Daten zu verkaufen. 

  • Scareware

    „Scare“ heißt auf Deutsch „erschrecken“: Scareware sind Software-Programme, die plötzlich auf dem Monitor auftauchen, den Benutzern Angst einjagen und zu unbedachten Aktionen verleiten sollen, etwa zum Installieren von schädlichen Programmen oder zum Anfordern  kostenpflichtiger Dienstleistungen.

  • Spyware

    Hinter dem Begriff Spyware verbergen sich Schadprogramme, die Daten aus Betroffenen Rechnern an die Hacker senden. Das kann zum Beispiel ein Keylogger sein, der alle Tastaturanschläge aufzeichnet, womit Passwörter ausgespäht oder das Surfverhalten im Internet analysiert werden kann.

  • Würmer

    Anders als Viren agieren Würmer unabhängig von anderen Programmen, sie können sich allerdings ebenso reproduzieren. Sie graben sich tief ins System ein und können immense Schäden verursachen, indem sie beispielsweise Postfächer überlaufen oder Mailserver zusammenbrechen lassen. Sie verbreiten sich häufig als Email-Anhänge, die nur mit einem harmlosen Dateinamen getarnt sind. Anders als ein Virus kann sich der Wurm oft selbst verbreiten, zum Beispiel indem er eine Kopie seines Schadcodes an alle Nutzer im Email-Adressbuch verschickt. 

  • Backdoor-Programme

    Diese Programme öffnen für Cyberkriminelle eine Hintertür auf dem System der Opfer. Die Hintertür hebelt die Sicherheitsmechanismen wie Firewalls einfach aus. Damit können Hacker auf bestimmte Funktionen des Systems aus der Ferne zugreifen, zum Beispiel um Daten auszuspähen oder Computer zu sabotieren. Die Programme können zum Beispiel über einen Trojaner eingeschleust werden.

  • Makrovirus

    Diese Viren sind in Dokumenten wie Power-Point-Präsentationen, Excel-Tabellen oder Word-Dokumenten versteckt – als sogenannte Makros. Das sind kleine Programme, mit denen zum Beispiel bestimmte Befehle innerhalb des Programms in einer bestimmten Reihenfolge ausgeführt werden können. Makros sind also durchaus nützlich. Doch sie können eben auch durch Viren missbraucht werden. Aktiviert ein Nutzer das Makro in einem verseuchten Dokument, wird der Virus aktiv. Viele Betriebe haben deshalb die Nutzung von Makros deaktiviert. Die Gefahr ist einfach zu groß.

  • Exploit

    Dahinter verbirgt sich das Ausnutzen von Schwachstellen und Sicherheitslücken. In komplexen Computercodes verbergen sich oftmals Fehler oder nicht gestopfte Lücken. Deshalb sind die meisten Programm-Updates allein darauf ausgelegt, über die Zeit entdeckte Schwachstellen zu beseitigen. Trotzdem gelingt es Hackern immer wieder, Schwachstellen zu finden, bevor diese bekannt werden, und diese für Attacken auszunutzen. Dies sind die sogenannten ZeroDay Exploits, also solche, die vor dem Tag Eins der Entdeckung schon ausgenutzt werden.