Jena – Ob Hacker, die von Regierungen unterstützt werden, oder finanziell motivierte Cyberkriminelle: Die Unterscheidung zwischen diesen Akteuren ist kaum mehr möglich. Nach Einschätzung der ESET Sicherheitsexperten haben die Kampagnen staatlicher Akteure zugenommen. Doch die Grenzen zwischen dieser und «klassischer» Cyberkriminalität verschwimmen immer stärker. Hackergruppen, die durch Advanced Persistent Threat (APT)-Attacken auf sich aufmerksam gemacht haben, versuchen auch finanzielle Profite aus ihren Aktivitäten zu erzielen. Umgekehrt verkaufen Cyberkriminelle zum Beispiel ihre Werkzeuge im Dark Web an staatliche Akteure. Unternehmen müssen sich daher effektiv vor den sich verändernden Gefahren schützen.
«Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Betrieben 20 Prozent ihres IT-Budgets für Sicherheit auszugeben. Der Schweizer Verband Electro Suisse empfiehlt 15-18 Prozent. Die Realität sieht allerdings oft anders aus. Nach offiziellen Schätzungen investieren Unternehmen insgesamt weniger als zehn Prozent vom IT-Budget für IT-Sicherheitsmassnahmen. Im Wettlauf gegen staatliche Akteure und professionelle Cyberkriminelle ist das nach unserer Einschätzung nicht ausreichend», so Thomas Uhlemann, Security Specialist bei ESET.
Grenzen verschwimmen
Mit Cyberkriminalität werden jährlichen Billionen Euro umgesetzt – eine genaue, seriöse Schätzung ist kaum möglich. Die voll funktionsfähige Schatten-Wirtschaft erzielt mehr Einnahmen als das Bruttoinlandsprodukt vieler Länder beträgt. So wie legitime Verteidigungsunternehmen und Zulieferer von Regierungen aus der Privatwirtschaft angeheuert werden, sind auch Cyberkriminelle und ihre Ressourcen zunehmend Gegenstand informeller und oft ad hoc geschlossener Outsourcing-Vereinbarungen. Anbieter im Dark Web verkaufen mittlerweile Exploits und Malware an staatliche Akteure. APT-Gruppen sind nicht mehr nur darauf erpicht, Zugang zu Unternehmensnetzwerke zu erhalten und dort über längere Zeit Daten zu stehlen, sondern versuchen auch Einnahmen zu generieren. Es wird auch vermutet, dass es Regierungsmitarbeitern erlaubt ist, nebenher zu arbeiten, um sich etwas Geld dazuzuverdienen.
Unternehmen müssen sich für diese Bedrohungen wappnen
In den USA wurden einige Cyberkriminelle auf schwarze Listen gesetzt. Bei Ransomware-Angriffen durch diese Gruppen würden sich sowohl Versicherer als auch Opfer bei der Zahlung eines Lösegeldes strafbar machen. Entsprechend versuchen diese Kriminellen durch Namensänderung die Regelung zu umgehen. Solange es einen Markt für ihre Dienste gibt, werden diese Gruppen weiterarbeiten. «Ob gewöhnlicher Cyberkrimineller oder staatlicher Akteur, diese Angreifer sind keine Übermenschen. Unternehmen müssen ihre Sicherheitsstrategien unabhängig vom möglichen Gegner erstellen. Dazu gehören das kontinuierliche Prüfen der Prozesse, mehrschichtige Verteidigungsmassnahmen, das Schulen der Mitarbeiter sowie eindeutige Richtlinien», empfiehlt Thomas Uhlemann. (ESET/mc)