26.08.2022 – Das meint Carsten Maßloff vom Beratungsunternehmen Brandeis Digital. Er skizziert die größten Einfallstore für Cyberkriminelle bei Stadtwerken und Versorgern und erläutert die Angriffsmethodik des Social Engineering.
Herr Maßloff, wie bewerten Sie das derzeitige Schutzniveau bei Stadtwerken und Versorgern gegen Cyberkriminalität?
Trotz der Zunahme an Sicherheitsvorfällen besteht noch immer eine latente Ignoranz bei einer Vielzahl von Verantwortlichen und Anwendern. In der Versorgungswirtschaft sehen wir ein hohes Schutzniveau für die Kernprozesse in Erzeugung, Verteilung und Transport. Nachholbedarf gibt es hingegen in den administrativen Bereichen, im Vertrieb und Kundenservice sowie dort, wo Dienstleistungen outgesourct wurden. Firewall-Lösungen, Multi-Faktor-Authentifizierungen, Pentests, Biometrische Zugangskontrollen, Digitale Zertifikate – das sind jede für sich genommen unbestritten sinnvolle Maßnahmen. Wenn die letzte „echte Firewall“, also der Mitarbeitende, dem vermeintlich netten Handwerker die Sicherheitstür offenhält und ihn ungefragt und vor allem unbegleitet weiterziehen lässt, haben jedoch alle anderen Maßnahmen versagt. Auch das Passwort 123456 oder schatz123 ist nicht hilfreich, um Angreifern die Arbeit zu erschweren.
Wo sehen Sie die größten Einfallstore für Cyberkriminelle?
Die Einfallstore sind abhängig vom Ziel der jeweiligen Angreifer. Geht es darum, Kundeninformationen und Bankdaten abzufischen, sucht der Angreifer konkret nach diesen Informationen. Hier haben wir häufig negative Auswirkungen auf die IT-Sicherheit, aber auch auf den Schutz personenbezogener Daten nach der EU-DSGVO. Der Supergau für die Reputation eines Unternehmens – egal, ob es sich dabei um einen kleinen Webshop oder ein Stadtwerk handelt.
Geht es hingegen um Erpressung, also Ransomware-Attacken, finden wir uns mit einer internationalen Erpresser-Industrie konfrontiert. Angegriffene Unternehmen berichten von einem sehr professionellen Support, der bei der Einrichtung eines Krypto-Wallets und dem Erwerb von Kryptowährungen unterstützt. Was sich zunächst grotesk anhört, ist in Wahrheit eine sich rasant entwickelnde Industrie, die international tätig ist und sehr effizient arbeitet.
Können Sie die Angriffsmethodik des Social Engineering näher erläutern?
Im Falle von Ransomware-Attacken recherchieren die Angreifer im Vorfeld häufig sehr intensiv. Auch hier sind Muster erkennbar. Wenn ich als verantwortlicher Mitarbeiter im Vertrieb Informationen in den sozialen Netzwerken über meine beruflichen Fähigkeiten und Verantwortlichkeiten, über Kundendaten, zum Beispiel auf Xing oder LinkedIn öffentlich kundtue, werde ich ein attraktives Ziel. Wenn auf Instagram zu finden ist, dass ich zudem eine Vorliebe für schnelle Motorräder habe, setzt sich langsam ein Puzzle zusammen. Wo ich in der Unternehmenshierarchie stehe, ist anhand öffentlicher Organigramme leicht herauszufinden. Wenn also auch noch die Fragen „Wer sind die Kollegen?“ und „Wer ist der Chef?“ beantwortet sind, kann ein versierter Angreifer an den richtigen Triggerpunkten ansetzen. Sie sehen an diesem Beispiel: Das schwächste Kettenglied ist und bleibt der Mensch. Wenn es gelingt, dass ich einen kritischen Link in einer vermeintlich harmlosen Mail anklicke, ist der Angriff erfolgreich und die Auswirkungen sind enorm.
Thema Datenschutz: Welchen Nutzen können Versorger aus Ihrer KRITIS-kompatiblen Software ziehen?
Der Gesetzgeber hat mit der EU-DSGVO und deren Umsetzung die Unternehmen und Behörden vor Herausforderungen gestellt, die es bereits im Bundesdatenschutzgesetz einzuhalten galt, aber plötzlich wurden messbare Parameter festgesetzt. Die Haftungsfrage ist geklärt und sollte auch jeder Geschäftsführung bekannt sein. Wer heute in seinem Unternehmen beispielsweise noch Impf- oder Genesenen-Nachweise aus dem letzten Lockdown von seinen Mitarbeitern bzw. Gästen und Besuchern gespeichert hat, ist seinen Pflichten zum Löschen dieser personenbezogenen Daten nicht nachgekommen. Genau hier setzen wir mit unserer Lösung an. Wir unterstützen unsere Kunden dabei, solche Pflichten in fachlicher und zeitlicher Hinsicht einzuhalten und die Dokumentation, zum Beispiel in Form eines Löschkonzeptes, nachzuhalten. (ds)