Ein sicheres Geschäft?
Latest Articles

Ein sicheres Geschäft?

Die Cyberkriminalität verursacht jedes Jahr Schäden von mehreren hundert Milliarden Dollar. Bei den meisten Angriffen geht es um Geld- und Wirtschaftsspionage. Onlinesicherheit ist einer der am schnellsten wachsenden Märkte der IT-Branche.

Es war einer der grössten Datendiebstähle der Geschichte: Hacker drangen in die Server des Internetkonzerns Yahoo ein und stahlen Informationen zu mindestens 500 Millionen Kunden: verschlüsselte Passwörter, E-Mail-Adressen, persönliche Informationen wie Geburtsdaten oder Telefonnummern. Die Hacker verschafften sich ausserdem Zugang zu Millionen von Nutzerkonten, um mit den ergatterten Informationen Spam zu versenden und Kredit- und Gutscheinkarteninformationen zu stehlen.

Das Unternehmen aus dem Silicon Valley machte den Angriff, der Ende 2014 erfolgt war, erst im September 2016 publik. Details nannte es keine, da das FBI ermittelte. Diesen Frühling nun liess das amerikanische Justizministerium eine diplomatische Bombe platzen: Es erhob in der Causa Yahoo Anklage gegen vier Personen – darunter zwei Mitarbeiter des russischen Geheimdiensts FSB, die die umfassende «kriminelle Verschwörung» gesteuert haben sollen. Die erbeuteten Informationen, so heisst es in der Klageschrift, seien auch verwendet worden, um ausländische Regierungsmitarbeiter, Banken- und andere Manager sowie Journalisten auszuspähen.

In der zunehmend digitalen und vernetzten Welt steigt die Gefahr von Cyberangriffen. 2016 war laut der Non-Profit-Organisation Identity Theft Resource Center ein Rekordjahr: Allein in den USA wurden 1093 Fälle von Verletzungen der Datensicherheit («data breaches») offiziell angezeigt – mehr als doppelt so viele wie noch vor fünf Jahren (siehe Grafik). Dabei wurden laut der Sicherheitsanalysefirma Risk Based Security Milliarden von Datensätzen gestohlen.

Die Angriffe häufen sich

Die Angriffe häufen sich

Gemeldete Daten-Einbrüche in den USA (in Mio.)

Quelle: Identity Theft Resource Center

Jeder wird zum Angriffsziel

Die wirtschaftlichen Schäden, die Cyberkriminalität und Cyberdiebstahl von geistigem Eigentum verursachen, sind gigantisch. Sie liegen bei jährlich 450 bis 600 Milliarden Dollar, schätzt das Center for Strategic and International Studies, eine überparteiliche Denkfabrik in Washington. Nicht kalkulierbar ist der finanzielle und emotionale Schaden, den immer mehr ausgehorchte, gehackte und um ihre Privatsphäre gebrachte Menschen erleiden.

Jeder und alles ist das Ziel digitaler Anschläge: von der Privatperson, ihrem Computer, Handy, vernetzten Haus und Auto über Organisationen und Unternehmen hin zu entscheidenden Infrastrukturen und Regierungen. Bei den meisten Angriffen, so zeigen verschiedene Erhebungen, geht es um Geld- und Wirtschaftsspionage.

Mächtige Cyberspionage-Organisationen, hinter denen nicht selten Regierungen stehen, greifen weltweit andere Regierungen, Militäreinrichtungen, Infrastruktur und Unternehmen an. Wertvolles Know-how aus Wirtschaft, Forschung und Entwicklung wird gestohlen. Hacker knackten sogar schon die Rechner der EU-Kommission oder der Notenbank von Bangladesch – und erbeuteten dort über 80 Millionen Dollar.

Sicherheit ist gut und teuer

Die mit der fortschreitenden Vernetzung rasant zunehmenden Angriffsziele für Hacker haben zu einem Boom für Anbieter von Cybersicherheit geführt. «Sicherheit ist einer der am schnellsten wachsenden Märkte der IT-Branche, und er wird weiter wachsen», sagt Michael Diamond, Analyst beim Marktforscher NPD. Die Ausgaben von Unternehmen für Cybersicherheit wachsen doppelt so schnell wie die gesamten IT-Ausgaben und werden sich im Jahr 2020 auf über 100 Milliarden Dollar belaufen, prognostiziert die amerikanische Marktforschungsfirma IDC.

Am meisten Geld geben Unternehmen und Behörden für Sicherheitsdienstleistungen aus, vor allem für «Managed Security Services»: Hier übernimmt ein externer Dienstleister den Schutz und die Überwachung der ganzen IT-Infrastruktur einer Firma.

Der zweitgrösste Bereich ist Sicherheitssoftware: Hier wird am meisten in die Sicherung von Endgeräten sowie ins Identitäts- und Zugangsmanagement investiert.

Der drittgrösste Bereich ist Sicherheitshardware, der in erster Linie vom Kauf von sogenannten Unified-Threat-Management-Systemen profitiert. Das sind Boxen, die unterschiedliche Aufgaben wie Firewall, VPN Gateway, Virus- und Spamschutz, Authentifizierung und ein System zur Erkennung von Angriffen auf einer Plattform vereinen.

Kein Wunder ist der Bereich Cybersicherheit mittlerweile eines der beliebtesten Betätigungsfelder für Risikokapitalgeber im Silicon Valley. Sie investierten vergangenes Jahr 3,1 Milliarden Dollar in 279 Cybersicherheit-Start-ups, heisst es beim Marktforscher CB Insights. Das ist viermal so viel wie noch 2010.

Gefahr im Babyfon

Ein ganz besonders hohes Risikopotenzial birgt das Internet der Dinge (Internet of Things, IoT). Das Gros dieser IoT-Geräte – von Webkameras über Babyfone bis zu Fernsehern – wird ohne grosse Sicherheitsmechanismen verkauft. Dadurch können sie von Angreifern problemlos und ohne Wissen der Besitzer gekapert und zu einem aus Millionen von Geräten bestehenden, zentral gesteuerten Netzwerk zusammengeschaltet werden. Mit diesen sogenannten Botnetzen, einer Gruppe automatisierter Schadenprogramme, greifen Hacker die Server ihrer Opfer an und bringen sie zum Erliegen.

Der bisher prominenteste Botnetz-Angriff erfolgte vergangenen Oktober. Die Websites von Internetriesen wie Amazon, Netflix oder PayPal und Dutzenden anderen viel besuchten Unternehmen wie Airbnb, «The New York Times» und Twitter waren stundenlang nicht verfügbar, nachdem ein Botnetz-Angriff die Server eines von den Unternehmen genutzten Netzwerkdienstleisters lahmgelegt hatte. Experten vermuten, dass auf diese Weise eine Cyberwaffe getestet wurde.

Auch die Angreifer rüsten auf

Trotz des riesigen Angebots an Produkten und Dienstleistungen zum Schutz der Daten, Systeme, Infrastrukturen, Konten und Privatsphäre wird das Internet nicht unbedingt sicherer. Parallel zum immer grösseren Angebot für die Verteidigung rüsten die Angreifer laufend auf. Das Arsenal der Cyberkrieger wird nicht nur immer ausgefeilter, es ist auch leichter denn je, sich das Rüstzeug für Angriffe aller Arten zu beschaffen. Cybergangs verkaufen Werkzeuge, Informationen, Dienstleistungen und Rat im Darknet, dem bei Kriminellen bevorzugt genutzten, nur mit spezieller Software zugänglichen Teil des Internets.

In diesem Schattenbereich wird auch die Beute zum Kauf angeboten. Auf einem russischsprachigen Untergrund-Marktplatz etwa wurden letztes Jahr 70'000 geklaute Anmeldedaten für gehackte Server angeboten. Für nur 6 Dollar waren zum Beispiel die Zugangsdaten zum Regierungsnetzwerk eines EU-Staats zu kaufen.

Obschon viel Geld für die Cyberabwehr ausgegeben wird, sind viele Unternehmen und Behörden unzureichend auf Cyberangriffe vorbereitet und räumen dem Kampf gegen die Cyberkriminalität wenig Priorität ein. In einer 2016 von der Nasdaq und dem US-Sicherheitsanbieter Tanium in Auftrag gegebenen Studie gaben über 90 Prozent der befragten Manager zu Protokoll, dass sie nicht imstande seien, einen Sicherheitsbericht zu verstehen. Des Weiteren seien ihre Unternehmen nicht auf einen grösseren Angriff vorbereitet. Und das, obwohl neun von zehn Unternehmen in den letzten fünf Jahren Ziel eines grösseren Cyberangriffs waren.

Die Folgen einer Attacke können erheblich sein. Ein Drittel der Unternehmen, die 2016 ein Datenleck vermeldeten, musste einen Verlust von 20 Prozent beim Umsatz, der Kundschaft und den Geschäftsmöglichkeiten hinnehmen. Das geht aus dem neuen «Annual Cybersecurity Report» des weltgrössten Netzwerkausrüsters Cisco hervor.

95 Prozent aller erfolgreichen Angriffe auf Unternehmen sind gemäss Untersuchungen auf menschliches Fehlverhalten zurückzuführen. Zu den häufigsten Fehlern gehören der Versand von E-Mails mit heiklen Unterlagen an falsche Empfänger oder das Öffnen von mit Schadsoftware bestückten E-Mails. Weit oben auf der Liste ist auch das Einrichten von Standard-Namen und -Passwörtern durch die firmeninterne IT. Dagegen helfen selbst hohe Ausgaben in Cybersicherheit wenig. Die National Cyber Security Alliance, ein Verbund aus amerikanischen IT-Firmen und dem US-Ministerium für Innere Sicherheit, plädiert deshalb für mehr Mitarbeiterausbildung: «Die beste Sicherheitstechnologie der Welt hilft nichts, wenn den Mitarbeitern ihre Rolle und Verantwortung beim Schutz von heiklen Daten und Firmenressourcen nicht klar ist.»