Mehr zu holen

Cyberkriminelle nehmen verstärkt Firmen ins Visier

(Bild: © 2010 Photos.com, a division of Getty Images)

Bis 2001 hatten es die Schöpfer von Computerviren auf Zerstörung abgesehen und wollten ihr Ego pflegen, dann entdeckten sie, dass man mit dem Diebstahl von Informationen auch etwas "verdienen" kann. Mittlerweile sind jedoch vor allem Unternehmen in den Blickpunkt der Cyberkriminellen gerückt, denn dort ist einfach mehr zu holen - Geld oder sensible Daten, die der Konkurrenz nutzen können, wie Sicherheitsexperten am Donnerstag bei einem Security-Workshop in Klosterneuburg erläuterten.

Auch die Methoden der Angreifer haben sich deutlich gewandelt: Wurden Viren früher hauptsächlich per E-Mail verbreitet, haben die aktuellen Schutzprogramme hier einen Riegel vorgeschoben, der nur schwer zu durchbrechen ist, so Rüdiger Trost von F-Secure. Aber auch jene, die keine Post eines zweifelhaften Absenders öffnen würden, haben kein Problem damit, einen gefundenen USB-Stick am Firmenrechner anzuschließen - und schon ist das Unglück passiert.

Auch beim Surfen auf gekaperten Webseiten, und diese müssen keinesfalls "anrüchig" sein, kann man sich so manches Schadprogramm einfangen, das dann beim Überweisen per Internet-Banking einen anderen Empfänger und einen höheren Geldbetrag eingibt. Werden 100.000 Euro von einem Privatmann überwiesen, wird eine aufmerksame Bank sich dies wohl telefonisch bestätigen lassen, bei größeren Firmen jedoch nicht, meint Trost. Entsprechend habe sich der Fokus der Kriminellen eher diesen zugewandt.

Aber nicht nur Cyberkriminelle haben Firmen im Visier, sondern ganze Staaten, die ihrer Industrie helfen wollen, technologisch mit Europa gleichzuziehen, sagte Hubert Bartl vom Bundesamt für Verfassungsschutz und Terrorismusbekämpfung. China etwa habe dieses Ziel eindeutig bis 2020 formuliert und sei nach Schätzungen für rund 60 Prozent der Industriespionage verantwortlich. Russland sei ebenfalls äußerst aktiv. All dies geschieht nicht nur auf der guten alten James-Bond-Spionageschiene über das Einschleusen von Mitarbeitern, das Anwerben von Informanten oder andere Geheimdienstmethoden, sondern auch durch Hacken.

Mitarbeiter als Schwachstelle
Auf die Bedeutung der Bewusstseinsbildung innerhalb des Unternehmens wies Michael Walchshofer, Corporate Security Officer der voestalpine AG, hin. Ein Problem sei, dass die Menschen extrem kommunikativ sind. In einem Planspiel bei einem Seminar habe man sich bemüht, an interne Daten einer beliebig ausgewählten oberösterreichischen Firma zu gelangen. Man nahm sich drei Mitarbeiterinnen vor, von denen eine sich auf ihrem Facebook-Profil als depressiv beschrieben hatte, auf einer Single-Börse aktiv war und fürs Reiten interessierte.

Überraschenderweise waren Pferde auch die große Leidenschaft des neuen Internet-Bekannten, des virtuellen John aus den USA. Zufällig arbeitete er in derselben Branche. In nur drei Stunden gelang es der Gruppe, dadurch an Informationen zu gelangen, die nicht für außen bestimmt waren, worauf das "Spiel" abgebrochen wurde. "Und das gelingt in jedem Unternehmen", versicherte Walchshofer.

"Wie ein Schachspiel"
Jeder sollte nur Zugriff auf jene Daten haben, die er wirklich braucht. Zudem sollte man nicht blind Vertrauen schenken. Ständig laufende Kampagnen sollen mithelfen, das Verhalten und die Einstellung der Mitarbeiter zu verändern. Zugleich müsste man sich bewusst sein, dass diese Aufklärung nicht von jedem verstanden werde. Walchshofer verglich seine Arbeit mit einem Schachspiel: "Wir versuchen, Remis zu spielen - und wenn wir verlieren, wissen wir es nicht..."