„Angreifer suchen sich immer das schwächste Glied in der Kette“

Herr Kuhlee, Cyberkriminelle stellen sich zunehmend breiter auf. Welche Art von Angriffen beobachten Sie derzeit am häufigsten?

Lorenz Kuhlee: Wir sehen aktuell eine gewisse Beständigkeit bei den Attacken – Ransomware-Angriffe sind dabei immer noch die ungeschlagene Nummer 1, gefolgt von Angriffen über Schwachstellen in ungepatchten Systemen und Phishing-Attacken, bei denen sensible Zugangsdaten gestohlen werden. In der Praxis beobachten wir auch verschiedene Mischformen dieser Szenarien. Ransomware-Angriffe beginnen beispielsweise fast immer mit erfolgreichen Phishing-Versuchen. Die betroffenen Unternehmen stehen dann häufig vor gleich zwei Problemen: Zum einen werden ihre Daten geleakt. Und zum anderen sollen sie im Falle einer Verschlüsselung der Daten auch noch für deren Freigabe zahlen. Zu letzterem kommt es aber häufig gar nicht, weil der Datenleak oft schon für die Erpressung reicht und unauffälliger ist.

Woher weiß man als betroffenes Unternehmen denn, dass die geklauten Daten nach Zahlung des Lösegeldes wirklich vernichtet werden?

Kuhlee: Das weiß man nie zu 100 %. Bei der Hackergruppe LockBit gab es Fälle, in denen alte Daten mehrfach verwendet wurden, weil die Daten über Ransomware-Affiliate-Programme verbreitet wurden. Dabei nutzen selbstständige Cyberkriminelle die Software und Infrastruktur der Gruppe und erhalten im Gegenzug einen Anteil an den Lösegeldern. Dieses Vorgehen hat auch unter Cyberkriminellen für Aufruhr gesorgt, weil so natürlich deren gesamtes „Geschäftsmodell“ nicht mehr funktioniert. Es gibt also eine Art Kodex, nach dem die Daten gelöscht werden müssen – darauf verlassen sollte man sich aber nicht. In meinen letzten Verhandlungen ging es genau um diesen Punkt. Selbst, wenn behauptet wird, dass die Daten gelöscht seien, sollte man wachsam bleiben. Es empfiehlt sich dann, via Dark- und Deep-Web-Monitoring im Auge zu behalten, ob die Daten nicht doch irgendwo auftauchen, um dann entsprechend faktenbasiert reagieren zu können.

Wie gut sind Unternehmen gegen solche Szenarien geschützt?

Kuhlee: Die meisten Unternehmen haben gelernt, sich mit Backups und Business Continuity Management zu schützen. Viele haben auch die Notwendigkeit einer gut geschützten IT-Infrastruktur verstanden und machen das schon sehr gut. Wichtig ist, dass nicht nur Firewalls und Anti-Viren-Schutz im Einsatz sind, sondern auch fortgeschrittene Detektionsmechanismen. Nur so können Betroffene schnell reagieren, wenn sie kompromittiert sind.

Wie sieht es aus, wenn Angreifer beispielsweise über kompromittierte Zulieferer oder Dienstleister an Unternehmensdaten kommen?

Kuhlee: Solche Supply-Chain-Attacken nehmen zu und sind insbesondere dann ein Problem, wenn es gemeinsame IT-Plattformen oder Schnittstellen in den Netzwerken gibt. Daher sollten Unternehmen auch an ihre Partner hohe Sicherheitsstandards anlegen und mit Zero-Trust-Ansätzen elaborierte Schutzmechanismen über die klassischen Perimeter hinaus aufbauen. Angreifer suchen sich immer das schwächste Glied in der Kette.

Welche Rolle spielt KI in dieser Risikolandschaft?

Kuhlee: Eine große, weil sie gerade in der Vorbereitung von Attacken – etwa durch Phishing – eine neue Qualität der Manipulation ermöglicht. Die Zeiten von schlecht geschriebenen E-Mails sind vorbei. Mit genug Daten können Large Language Modelle (LLM) vom Vertriebschef bis zum CEO jeden imitieren. Wie in allen Anwendungsfeldern sorgt KI auch hier für mehr Effizienz. Damit wird für Angreifer der Return on Investment höher. Wenn Kriminelle mit einem Knopfdruck 30 hochwertige Phishing-Mails erstellen können, müssen Unternehmen zwangsläufig mit mehr Angriffen rechnen – einfach, weil es deutlich schneller und billiger als bisher funktioniert. Leider beschränkt sich dieses erhöhte Manipulationsrisiko nicht nur auf E-Mails, sondern kann auch in viel gefährlicheren Formen auftreten.

Was können Unternehmen dagegen machen? 

Kuhlee: Technisch sind solche Szenarien schwer zu mitigieren, da es schlichtweg nicht praktikabel wäre, sämtliche Mails durch einen manuellen Check laufen zu lassen. Hier müssen Unternehmen auf Awareness und Weiterbildung der Mitarbeitenden setzen. Es muss ein Bewusstsein für die Risiken vorherrschen. Cyber Security ist immer ein Dreiklang aus Prozessen, Technologien und Menschen. Die Menschen sind dabei aber die „First Line of Defense“. Daher ist es besonders wichtig, diese gut vorzubereiten. Studien zeigen beispielsweise, dass Mitarbeitende, die unter enormen Stress stehen oder monotone, wiederkehrende Tätigkeiten durchführen besonders anfällig für das Klicken auf Phishing-Links sind. Entsprechende Trainings sollten also darauf abzielen, auch in stressigen Situationen einen kühlen Kopf zu bewahren und bei Routinetätigkeiten wachsam zu bleiben, um verdächtige Vorgänge frühzeitig zu erkennen und zu melden.