in der Hand des Unternehmens. An dieser Stelle kann es eingreifen und sich (erfolgreich) gegen Angriffe wehren.
1.1.1 Kein Angriff ohne Motiv
Am einfachsten ist es, zunächst die unterschiedlichen Akteure anhand ihrer Motivation zu unterscheiden[23]:
+Cybervandalismus: zielt darauf ab, Schaden anzurichten bzw. Services zu stören. Das Motiv dazu kann ein politisches sein, wie es etwa die Angriffe auf die Webseite des österreichischen Außenministeriums 2016[24] waren, oder auch einfach das Ergebnis von jugendlichem Leichtsinn, wie beim Virus „Loveletter“ aus dem Jahr 2000 vermutet wird.[25]
+Cybercrime: zielt darauf ab, finanziellen Profit zu erzielen bzw. aus ideologischen Gründen kritische Informationen zu erlangen (Informationsdiebstahl). So wird etwa ein Krypto-Trojaner in das Unternehmensnetzwerk eingeschleust, um die Unternehmensdaten zu verschlüsseln. Um die Daten wieder zu entschlüsseln, muss ein bestimmter Betrag an Lösegeld an die Angreifer überwiesen werden. Auch Kreditkarteninformationen stellen ein beliebtes Ziel für Cyberkriminelle zur finanziellen Bereicherung dar.
+Einbruch in das Unternehmensnetzwerk zur weiteren Tatvorbereitung: dient zur Verbesserung der Kenntnisse der IT-Infrastruktur, um Ansätze für zukünftige Angriffe zu gewinnen.
+Cyberspionage, Cybersabotage: Diebstahl von spezifischen, hochwertigen Informationen oder aktives Behindern bzw. Stören einer Organisation. Ende Februar 2018 wurde das deutsche Außen- und Verteidigungsministerium Opfer eines solchen Angriffs. Die Ministerien wurden mutmaßlich von der russischen Gruppierung „APT28“ angegriffen. Die Angreifer schleusten eine Schadsoftware ein und erbeuteten so Daten. Ebenfalls im Jahr 2018 wurde GitHub, ein Online-Dienst für Softwareentwicklung, Ziel einer Cybersabotage. Das Unternehmen wurde unter Anwendung einer DDoS-Attacke (Distributed-Denial-of-Service, siehe auch Kapitel „Vom Hacker zum Cyberkrieger“) konfrontiert. Der Dienst war für einige Zeit nicht erreichbar.[26]
+Cyberconflict/Cyberwarfare: ernsthafte Schädigung einer Organisation oder eines Staates in der Nutzung von Informationen und/oder Infrastrukturen. So wurden beispielsweise 2007 etliche Regierungs- und Verwaltungsstellen Estlands durch einen DDoS-Angriff massiv gestört.[27]
Je nachdem, in welcher Branche eine Organisation tätig ist bzw. wie das Geschäftsmodell aufgebaut ist, lassen sich unterschiedliche Motivationslagen für mögliche Angriffe ableiten. Dadurch ergeben sich in weiterer Konsequenz auch die möglichen Fähigkeiten der Angreifer und die Ausprägung der notwendigen Gegenmaßnahmen.
Ein Unternehmen in der Verteidigungsindustrie wirkt auf manche Angreifer sicherlich interessanter als eine Bank, um dort wertvolle Informationen zu erlangen, während eine Bank für viele ein interessanteres Angriffsziel ist als ein Textilproduzent, um sich bei einem erfolgreichen Angriff finanziell zu bereichern. Aufgrund der variierenden Motive werden sich daher auch die Sicherheitsmaßnahmen entsprechend unterscheiden.
1.1.2 Kein Angriff ohne die notwendige Fähigkeit
Nun liegt es auf der Hand, dass es zum Verfolgen der unterschiedlichen Motivationen auch unterschiedliche technische Fähigkeiten, aber auch Ressourcen bzw. Organisation benötigt. Daher ist es zweckmäßig, Hacker auch nach ihren Fähigkeiten zu unterscheiden:
+Skript Kiddies: bezeichnet wenig technisch versierte Angreifer, die vor allem vorgefertigte Tools – also gebrauchsfertige Lösungen und vorgefertigte Automatismen bzw. schriftliche Anleitungen verwenden. Sie sind hauptsächlich im Bereich des Cybervandalismus einzuordnen, wobei erfolgreiche Versuche oftmals unzureichendem Perimeterschutz[28] oder nicht vorhandenen Basissicherheitsmaßnahmen geschuldet sind.
+Cyberkriminelle: sind vornehmlich finanziell motivierte Akteure, die durchaus technisch versiert auftreten oder soweit organisiert sind, dass sie ihre Angriffe technisch professionell gestalten. Wenn sie selbst nicht über das notwendige Know-how verfügen, ihre Angriffe zu gestalten, kaufen sie die Expertise zu. Cyberkriminelle zeichnen sich jedenfalls dadurch aus, dass sie im ersten Moment keinen offensichtlichen Schaden bzw. keine Rufschädigung beabsichtigen, sondern alle Mittel zum Zweck der finanziellen Bereicherung einsetzen. Wenn dadurch Sachschaden entsteht, wie etwa durch den Einsatz von Ransomware, oder es zu Rufschädigung durch die Veröffentlichung von Informationen kommt, weil eine Erpressung nicht erfolgreich war, nehmen sie den Schaden in Kauf.
+Insider: hierbei handelt es sich um interne Mitarbeiter, die dem Unternehmen/der Organisation angehören und externe Mitarbeiter, die eine Vertrauensstellung in der Organisation einnehmen. Insider benötigen im Normalfall keine besonders ausgeprägten technischen Fähigkeiten, weil sie über ihre bereits bestehende Vertrauensstellung viel Schaden anrichten können.
+Staatliche Angreifer oder staatlich gesponserte Angreifer: verfügen nicht nur über exzellente technische Fähigkeiten, sondern auch über die notwendigen Ressourcen, Angriffe langfristig bzw. mehrphasig zu gestalten. Dabei können physische Angriffe mit virtuellen Angriffen kombiniert werden oder/und es kann nach erfolgreicher Infiltration über mehrere Schichten hinweg operativ gearbeitet werden. Wenn Angriffstechniken entdeckt werden, ist es auch möglich, die Vorgehensweisen und eingesetzten Tools zu wechseln. Ebenfalls ist es möglich, Angriffe durch das Nachbauen von Infrastrukturen und durch gezieltes Erforschen von Schwachstellen der eingesetzten Komponenten vorzubereiten.
Diese Einteilung ist zwar nur sehr grob, lässt aber einen Rückschluss darauf zu, wie komplex ein zu erwartender Angriff sein kann. Der Umstand, dass mittlerweile ein breites Repertoire an Beispielen zu durchgeführten Angriffen vorliegt und dieses auch stetig wächst, wirft kein gutes Licht auf die Zukunft. Diese Beispiele können jedoch maßgeblich dafür genutzt werden, um daraus den optimalen Einsatz von Sicherheitsmaßnahmen abzuleiten.
Zudem empfiehlt es sich, zu recherchieren, welche Angriffe andere Unternehmen in ähnlichen Branchen zu erleiden hatten, welche Motivation und welche Fähigkeiten hinter diesen Angriffen steckten und wie diese Unternehmen damit umgegangen sind.
1.1.3 Erst die Angriffsfläche ermöglicht den Angriff
Damit Bedrohungsakteure gegenüber einem Unternehmen oder einer Organisation letztlich kriminell, politisch, radikal oder terroristisch motiviert vorgehen können, benötigen sie zuallererst eine Angriffsfläche, um den Angriff überhaupt zu ermöglichen.
Die Möglichkeiten zum Angreifen werden durch das jeweilige Unternehmen bzw. die Organisation und ihre betriebene Infrastruktur selbst geschaffen. Dabei besteht ein natürliches Spannungsfeld zwischen dem Betreiben von digitalen Services und dem Exponieren von Angriffsflächen des Unternehmens im Cyberraum. Als Faustregel gilt: Je digitaler das Geschäftsmodell einer Organisation ist, desto verwundbarer ist es im Cyberraum.
Es ist daher naheliegend, dass ein geordneter IT-Betrieb mit gut strukturierten Prozessen weitaus weniger angreifbar ist als eine komplex aufgebaute Organisation, die unzureichend organisiert ist und deren Prozesse kaum überblickt werden können.
!
Praxistipp:
Angriffsfläche verkleinern
Disziplinen wie Schwachstellenmanagement zum Identifizieren von aktuellen Lücken in IT-Systemen, Patch-Management (siehe Kapitel 6.5) zum geordneten Schließen dieser Lücken und Change-Management zum Überwachen und Verwalten der Software- und Konfigurationsstände bewirken eine Verkleinerung der Angriffsfläche. Sie ermöglichen eine konsequente Überwachung von bekannten Lücken und sind daher auch geeignete
