FAQ: Grundlagenwissen zu Cyberangriffen und wie sich Risiken verringern lassen

Immer wieder gehen Berichte über Angriffe von Cyberkriminellen durch die Medien. Diese Angriffe können jeden treffen - staatliche Institutionen, Unternehmen, Privatpersonen. In unseren FAQ erklären wir Ihnen, welche Arten von Cyberangriffen es gibt und was Sie tun können, um sich vor Angriffen zu schützen oder zumindest das Risiko zu minimieren.

Was ist ein Cyberangriff?

Typischerweise versteht man unter einem Cyberangriff eine Aktion, die zum Ziel hat, auf Internet-angebundene Systeme oder Daten zuzugreifen oder diese zu stören. Er kann verschiedene Formen und Eintrittsvektoren haben, wie Malware, Phishing, Ransomware oder Social Engineering. Ein Cyberangriff kann erhebliche Auswirkungen, beispielsweise Datenverluste, finanzielle Schäden oder Infrastrukturschäden, haben. Hinzu kommen, insbesondere bei Firmen, immaterielle Schäden wie Reputationsschäden, aber auch die psychische Gesundheit der IT-Administratoren beziehungsweise der Betroffenen kann darunter leiden.

Die Bundesregierung definierte den Begriff in ihrer Cyber-Sicherheitsstrategie für Deutschland 2016 als eine "Einwirkung auf ein oder mehrere andere informationstechnische Systeme im oder durch den Cyber-Raum, die zum Ziel hat, deren IT-Sicherheit durch informationstechnische Mittel ganz oder teilweise zu beeinträchtigen". Manuel Atug von der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG Kritis) kritisiert, dass diese Definition zu allgemein gefasst ist. Die Informationen im aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) verwenden anscheinend sogar eine andere Definition des Begriffs. Dies "verwässert die Diskussion um die echten und ernsthaft bedrohlichen Cyberangriffe und fördert die Verantwortungsdiffusion".

Welche Arten von Cyberangriffen gibt es?

Grundsätzlich gibt es viele verschiedene Arten von Cyberangriffen und -bedrohungen, daher werden wir im Folgenden auf die häufigsten Formen eingehen. Außerdem können die Angriffsarten auch kombiniert werden – etwa Phishing und Social Engineering:

• Phishing: Bei Phishing-Angriffen erhalten Personen E-Mails, Nachrichten oder SMS, die zum Teil den üblichen E-Mails des vorgetäuschten Absenders sehr ähneln. Für solche Zwecke gibt es sogar Baukästen, mit denen Angreifer Eingabemasken so nachbauen können, dass sie genauso aussehen, wie E-Mails und Webseiten von Banken und andere Institutionen, aber auch wie von Online-Shops oder Online-Dienstleistern, sozialen Netzwerken und sonstigen Diensten. Meist geben die Angreifer vor, dass es sich um eine dringliche Angelegenheit handelt, um das Opfer in eine Stresssituation zu bringen. Darüber hinaus gibt es verschiedene Spezialformen des Phishings – etwa Spear- oder Whale-Phishing. Damit sind gezielte Angriffe auf bestimmte Accounts gemeint. Letzterer zielt auf Personen ab, die beispielsweise in Führungspositionen sind.

• Social Engineering: Beim Social Engineering versuchen Angreifer, die Opfer zu manipulieren – dabei nutzen sie menschliche Schwächen und Eigenschaften aus. Die Täter versuchen die Opfer dazu zu bringen, eigenständig Daten und (sensible) Informationen preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Programme auf Systemen zu installieren und etwa einen Fernzugriff für die Täter auf die Systeme zu ermöglichen.
  
  Manchmal gehen Angreifer auch so vor, dass sie ihre Opfer beispielsweise in ein persönliches Gespräch verwickeln, um an weitere Daten wie Passwörter oder Zugänge zu gelangen. Das ist beim Tech-Support-Betrug der Fall. Bei dem oft auch als "Microsoft-Support-Betrug" betitelten Angriff erscheint ein Pop-up oder Sperrbildschirm, der vorgibt, das Opfer hätte einen Virus auf dem System oder Ähnliches. Anschließend folgt etwa ein Aufruf "Bitte rufen Sie diese Nummer des XYZ Supports an". Es folgt ein Anruf aus einem Callcenter, bei dem die Opfer zu einem Fernwartungszugriff überredet werden. Dann kann es sein, dass der Täter Geld des Opfers stiehlt oder das Opfer zum Bezahlen für den technischen Support verleitet. Alternativ kann es sein, dass der Unbekannte ein Programm installiert oder Daten ausspäht.

• Malware: Schädliche Software, die entwickelt wurde, um unautorisierten Zugriff auf Computer oder Netzwerke zu erlangen, Daten zu stehlen oder zu beschädigen.

• Ransomware: Bei Ransomware-Angriffen verschlüsseln die Angreifer Daten auf Computern und/oder Netzwerken, um Lösegeld zu erpressen. Anschließend drohen sie, diese erst nach Zahlung eines Lösegelds zu entschlüsseln. Allerdings kann es sein, dass nach der Zahlung ein weiteres Lösegeld verlangt wird und die Opfer weiterhin keinen Zugriff auf die Daten haben. Diese Art von Angriff kann entschärft werden, indem Unternehmen ihre Daten regelmäßig sichern und eine Backup-Strategie haben, bei der mindestens eine Sicherung ohne Netzanschluss – idealerweise extern – gelagert wird. Die Systeme müssten dann lediglich neu aufgesetzt werden, die Lösegeldzahlung wäre nicht mehr erforderlich. Ferner gibt es auch Double Extortion: Nachdem die Opfer erpresst wurden, um die Verschlüsselung rückgängig zu machen, drohen die Täter, die vorher kopierten Daten noch an andere zu verkaufen oder zu veröffentlichen. Um diese Datenveröffentlichung beziehungsweise den Verkauf zu verhindern, ist eine weitere Zahlung erforderlich.

• Denial-of-Service (DoS): Bei DoS-Angriffen wird das Ziel mit einer großen Anzahl von Anfragen oder Datenpaketen bombardiert, um es lahmzulegen.

• Advanced Persistent Threats (APT): Dahinter verstecken sich (oftmals staatlich gelenkte) Cybergangs. Die hoch entwickelten Angriffe zielen oftmals auf ein bestimmtes Ziel ab. Dort wollen APTs sich langfristig im Netzwerk verstecken, um Informationen zu sammeln oder Schaden zu verursachen.

• Man-in-the-Middle (MITM): Ein MITM-Angriff tritt auf, wenn ein Angreifer den Datenverkehr zwischen zwei Parteien abfängt, um Informationen zu stehlen oder zu manipulieren. Das kann über Software, zusätzlich aber auch mithilfe von Hardware passieren, etwa wenn ein Datenspeichergerät mitschreibt.

• Brute-Force-Attacken: Bei Brute-Force-Attacken werden so lange Passwörter ausprobiert, bis die Angreifer das richtige Passwort finden.

• Credential Stuffing: Beim Credential Stuffing werden Passwörter aus bereits veröffentlichen Datenbanken ausprobiert. Das kann zum Problem werden, wenn man für verschiedene Accounts dieselbe Kombination aus Passwort und E-Mail-Adresse oder Nutzername verwendet und die Daten öffentlich sind. Ob Ihre Kombinationen irgendwo veröffentlicht wurden, können Sie bei have i been pwned herausfinden.

Es gibt natürlich noch viele weitere Methoden oder auch Kombinationen aus den verschiedenen Angriffsarten – wir haben die am häufigsten vorkommenden angeführt.

Wen können Cyberangriffe treffen?

Cyberangriffe können grundsätzlich jeden und alle elektronischen Systeme, Computer, Netzwerke oder private oder geschäftliche Daten betreffen, die mit dem Internet oder anderen Netzwerken verbunden sind. Dabei spielt es keine Rolle, ob Sie selbst eine Website betreiben oder sich nur online dort aufhalten, indem Sie Internetdienste und Kommunikationsmöglichkeiten nutzen. Sie können auch Opfer eines Cyberangriffs werden, wenn Ihre Daten online verarbeitet werden, ohne dass Sie selbst aktiv online waren. Manchmal reicht es hingegen auch, sich ungesichert in einem (öffentlichen) WLAN aufzuhalten. Angriffe können auf smarte Geräte ausgeübt werden, etwa auf Babykameras oder Katzenfutterautomaten, smarte Türschlösser, Haussysteme und alle Internet-of-Things-Geräte. Zu den potenziellen Opfern zählen also:

• Privatpersonen: Ziel der Täter sind Informationen zur weiteren Verwendung oder Geld, Waren und Dienstleistungen – oder mehrere davon gleichzeitig. Dabei versuchen sie, Daten auszuspähen und somit Identitätsdiebstahl zu begehen – etwa mittels Phishing. Anschließend werden die Identität oder die Daten möglicherweise weiterverkauft (Datenhehlerei) oder für eigene (Betrugs-)Taten genutzt. Opfer werden teils auch mit den Informationen erpresst. Mit Schadsoftware kann ausgespäht, sabotiert und/oder erpresst werden. Es kommt auch vor, dass Cyberkriminelle fremde Geräte für Straftaten oder Crypto-Mining nutzen.

• Unternehmen: Ziel ist häufig die Störung von Geschäftsprozessen (Sabotage/Betrug), der Diebstahl geistigen Eigentums (Industriespionage) oder die Erpressung von Unternehmen (Ransomware). Ein erfolgreicher Angriff kann erhebliche Auswirkungen auf Geschäftsprozesse, Kundendaten, finanzielle Stabilität und Reputation haben.

• Bildungseinrichtungen: Schulen und Universitäten verwalten große Mengen vertraulicher Informationen wie personenbezogene Daten von Schülern, Studenten, Professoren und Mitarbeitern. Es können aber auch Forschungsergebnisse und Finanzdaten betroffen sein.

• Gesundheitseinrichtungen: Krankenhäuser, Apotheken, Arztpraxen, Krankenkassen und Gesundheitsdienstleister verwalten vertrauliche Patientendaten, die für Cyberkriminelle von großem Wert sind.

• Regierungsbehörden und Organisationen wie die UN können Ziel von Cyberangriffen und Spionage werden – insbesondere, wenn es um nationale Sicherheitsinteressen geht.

Was sind die häufigsten Cyberbedrohungen?

Das Bundesamt für Sicherheit in der Informationstechnik hat unter anderem die "Top-Bedrohungen" für Gesellschaft und Wirtschaft gelistet.

Für die Gesellschaft gehören Identitätsdiebstahl, Sextortion und Fake-Shops im Internet dazu. Beim Identitätsdiebstahl wird eine digitale Identität des Opfers – etwa durch Social Engineering – gestohlen. Besonders beliebt bei den Angreifern sind beispielsweise Banking- oder Social-Media-Accounts. Letztere, weil die Täter hoffen, Social-Media-Accounts verkaufen zu können oder aber, weil sie so die Daten weiterer möglicher Opfer erhalten.

Sextortion hingegen stellt keinen Angriff im eigentlichen Sinne dar. Bei dem Begriff handelt es sich um eine Erpressungsmasche, bei der Kriminelle ihre Opfer mit der Veröffentlichung (angeblich) gesammelter sexueller Inhalte wie Bildern und Videos erpressen. Es gibt Sextortion in verschiedenen Varianten. Manchmal haben die Täter tatsächlich Daten sexueller Natur, die sie in solchen Fällen meist durch direkten Chatkontakt mit den Opfern bekommen haben. Häufig wird aber auch nur behauptet, dass entsprechendes Material vorliegen würde. Es gibt immer wieder Spamwellen von E-Mails, in denen behauptet wird, man hätte den Computer gehackt und das Opfer dann heimlich über die Webcam beim Masturbieren gefilmt. Diese Variante erfolgt inzwischen auch über andere Kommunikationswege wie zum Beispiel über Nachrichten auf Instagram, Facebook aber auch Ebay Kleinanzeigen.

Als weitere Bedrohung listet das BSI Fake-Shops im Internet, die allerdings keinen typischen Cyberangriff darstellen. Dabei handelt es sich um Online-Shops, die keine sind. Bei diesen Fake-Shops bestellen und bezahlen Menschen, erhalten hinterher allerdings keine Ware. Außerdem kann es sein, dass die Angreifer Bezahldaten abgreifen, die dann missbräuchlich durch die Täter verwendet werden. Wenn Sie online etwas bestellen wollen, ein Artikel allerdings in einem deutlich anderen Preissegment liegt als überall sonst, sollten Sie lieber die Finger davon lassen. Die Verbraucherzentrale stellt einen Fakeshopfinder zur Verfügung, um Verbraucher zu schützen.

In der Wirtschaft gehört laut BSI Ransomware zu den häufigsten Angriffsmethoden. Bei Großunternehmen, Verwaltungs- und Regierungsorgane gibt es demnach häufig komplexe Angriffe, die Computer und/oder Netzwerke infiltrieren und typischerweise längere Zeit unbemerkt bleiben sollen. Es handelt sich um die zuvor erläuterten Advanced Persistent Threats oder APT-Angriffe, bei denen beispielsweise Netzwerke gezielt gescannt und ausgekundschaftet werden, um den geeigneten Angriffsvektor zu finden.

Warum ist Cybersicherheit wichtig?

Cybersicherheit ist entscheidend für den Schutz unserer zunehmend digitalisierten Welt und Lebensweise und damit die körperliche Unversehrtheit, das Eigentum und die Freiheit. Die Digitalisierung umfasst praktisch die gesamte Gesellschaft. Wenn diese Struktur unsicher und auf verschiedenen Ebenen angreifbar ist, kann das weitreichende Konsequenzen für den einzelnen und die Gesellschaft als Ganzes haben.

Mangelnde Cybersicherheit kann bei einem Cyberangriff im Ernstfall ganze Landstriche unbewohnbar machen – etwa, wenn infolgedessen ein Chemieanlagenunfall oder ein Atomkraftwerk betroffen sind. Auch die Manipulation von Ampelschaltungen oder Fahrzeugen kann zu Unfällen führen. Eine Wahlmanipulation könnte sogar ganze Staaten destabilisieren.

Daher dient Cybersicherheit insbesondere dem Schutz

• der kritischen Infrastruktur, die entscheidende Bedeutung für die öffentliche Sicherheit hat, etwa Energieversorgung, Stromnetz und Gesundheitseinrichtungen.
• vor Identitätsdiebstahl, der zu finanziellen Verlusten und schwerwiegenden Konsequenzen für das Opfer führen kann.
• vor finanziellen Verlusten, sei es durch Diebstahl von Geld oder durch die Auswirkungen von Ausfallzeiten auf das Geschäft.
• der Privatsphäre wie Name, Adresse, Kontoinformationen und anderer Daten
• von Unternehmen und Wirtschaft vor finanziellen Verlusten, Rufschädigung und Bankrott.

Schlussendlich dient Cybersicherheit dem Menschenschutz, denn mit sicheren Systemen schützen wir Daten, um Menschen zu schützen. Insbesondere in KRITIS aber auch außerhalb.

Wie kann ich mich vor einem Cyberangriff schützen oder das Risiko minimieren?

Es gibt zahlreiche Möglichkeiten, sich vor Cyberangriffen zu schützen. Einige dieser Möglichkeiten werden allerdings aus Bequemlichkeit nur von den wenigstens umgesetzt – etwa die Verwendung eines separaten WLANs für die Arbeit im Homeoffice. Sie können Cyberangriffe vorbeugen, indem Sie beispielsweise ein VPN (Virtual Private Network) nutzen oder Daten oder E-Mail-Anhänge nur von vertrauenswürdigen Quellen herunterladen und öffnen. Falls Sie Dokumente teilen wollen, empfehlen sich Passwort-geschützte Links. Wichtig ist, dass Sie das Passwort anschließend über einen anderen Weg als den Link verschicken. Im (beruflichen) Alltag kann es im Zweifelsfall hilfreich sein, einfach bei der Person anzurufen, von der Sie angeblich eine E-Mail erhalten haben. Am besten stecken Sie auch keine fremden USB-Sticks in den eigenen Rechner. Halten Sie jegliche Software und Betriebssysteme auf dem neuesten Stand und patchen Sie Sicherheitslücken sofort. Eine Firewall, ein Antivirenprogramm samt neuesten Virensignaturen ist ebenfalls hilfreich. Beachten Sie aber, dass es trotzdem vorkommen kann, dass Ihr Programm Schadsoftware nicht erkennt.

Außerdem sollten Sie für Ihre Online-Konten die Zwei- oder Mehr-Faktor-Authentifizierung aktivieren und einen Passwort-Tresor verwenden, bei dem Sie nur mit einem Master-Passwort an Ihre weiteren Passwörter gelangen. Sicherer ist die Anmeldung im Passwort-Tresor in Verbindung mit einem USB-Stick (denn den muss erst jemand stehlen). Auch hier gilt: Vorsicht ist besser als Nachsicht. Bleiben Sie auf dem neuesten Stand. Nicht nur technisch, sondern auch Nachrichten-seitig. Informieren Sie sich regelmäßig über aktuelle Angriffsmuster, Cybercrime-Phänomene und Identitätsdiebstahl.

Hilfreich ist es ebenfalls, sich regelmäßig (selbst) zu schulen, um für den Ernstfall gewappnet zu sein und gar nicht erst auf nicht vertrauenswürdige E-Mails reinzufallen. Teils bieten Cyberversicherungen Unternehmen bei regelmäßigen Schulungen sogar Vergünstigungen an. Um eine Cyberversicherung abzuschließen, muss ein bestimmtes IT-Sicherheitsniveau vorhanden sein.

Falls Sie beispielsweise versehentlich Schadsoftware auf Ihrem Gerät installiert haben, sollten Sie das nicht verschweigen. Durch schnelles Handeln kann der Schaden meist noch eingedämmt werden, da ein Cyberangriff oft aus verschiedenen Phasen besteht – nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aus drei Phasen: der Initiierung, der Vorbereitung und der Durchführung. In der Initiierungsphase werden Angriffsziele ausgemacht. In der anschließenden Phase werden Informationen für das Angriffsobjekt eingeholt und in der Durchführungsphase kommt es dann zum Angriff. Für den "Sicherheits-Faktor Mensch" stellt das BSI weiteres Informationsmaterial zur Verfügung.

Für den Fall, dass es in Unternehmen zu einem IT-Vorfall gekommen ist, stellt das BSI einen "Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle für Digitale Ersthelfer" bereit. Sind bei dem Vorfall personenbezogene Daten betroffen und Sie müssen den Vorfall Datenschützern melden, können Sie die zuständigen Datenschutzbeauftragten auch über den Kontaktfinder des Bundesbeauftragten für Datenschutz und Informationssicherheit ermitteln.

Darüber hinaus hat das BSI eine Meldestelle für Sicherheitslücken eingerichtet. Dort können beispielsweise Sicherheitsforscher nach einer CVD-Richtlinie (Coordinated Vulnerability Disclosure) zum Umgang mit Sicherheitslücken, gefundene Schwachstellen zu melden. Anschließend versucht das BSI zwischen dem Unternehmen und dem Sicherheitsforscher zu vermitteln.

Hinweis: Natürlich ist uns bewusst, dass Cybercrime und alles, was damit zusammenhängt, ein hochdynamisches Feld ist. Ständig kommen in der digitalen Welt neue Möglichkeiten hinzu, die auch neue Möglichkeiten für Cyberkriminelle bieten. Daher werden diese FAQ auch laufend erweitert.

(mack)