#45 – Cyber-Risiken

Hallo und herzlich willkommen zu Folge 45 unseres hagel IT-Podcasts und an meiner Seite ist heute wieder Dennis. Moin. Hallo Philip. Dennis, heute haben wir wieder mal ein Thema auf dem Tisch, das uns schon häufiger beschäftigt hat und nicht nur uns beschäftigt, sondern natürlich auch viele Unternehmen da draußen beschäftigt und immer präsenter wird.

Im Prinzip beschäftigt es eigentlich die ganze Welt. Genau. Weitläufig. Wir wollen einmal schauen, im ersten Schritt so ein bisschen, was sind allgemeine Geschäftsrisiken weltweit vielleicht und dann aber auch ganz schnell den Fokus auf quasi Platz 1 der Liste wenden, würde ich sagen.

Ja, genau. Also man kann dazu sagen, vor uns liegen Informationen, die uns zugespielt wurden von einer großen deutschen Versicherungsgesellschaft.

Ich weiß gar nicht, ist es die größte deutsche? Ich weiß es gar nicht. Genau. Ich weiß nicht, ob die mit Rück im Namen nicht ein bisschen größer ist.

Das kann sein, aber es ist auf jeden Fall eine große deutsche Versicherungsgesellschaft und die hat die Top 10 der Geschäftsrisiken in Deutschland mal aufgestellt für das Jahr 2022, sogar weltweit, Geschäftsrisiken in 2022. Im sogenannten, jetzt kann man sagen, Allianz-Riskbarometer für 2022. Und ja, wenig überraschend für jemanden, der sich damit ein bisschen beschäftigt. Auf Platz 1 ist weder irgendwie Naturkatastrophen oder auch der Pandemieausbruch, der da durchaus auch hinpassen würde. Nein, auf Platz 1 sind Cybervorfälle.

Genau, mit 44 Prozent.

Ja, also fast die Hälfte der ganzen Skala ist quasi gefüllt mit Cybervorfällen.

Genau, vielleicht nochmal zur Verdeutlichung. Jetzt hast du gesagt Pandemie und ich sage mal im weitesten Sinne sowas wie Klimawandel. Das sind ja vielleicht so Dinge, die man noch relativ weit oben ansiedeln würde. Ja. Beim Ausbruch. Beim Ausbruch einer Pandemie sprechen wir von 22 Prozent und beim Klimawandel tatsächlich nur noch von 17 Prozent. Und ich glaube, das zeigt ganz eindeutig auf, wie wichtig Infos zum Thema Cyberrisiken sind oder wie wichtig es ist, da bestmöglich darauf vorbereitet zu sein.

Ich glaube, hättest du mich gefragt, was auf Platz 1 ist, hätte ich wahrscheinlich sowas getippt wie Feuer und Explosionen. Ja. Wobei, da wäre ich komplett falsch mit gewesen, das ist nämlich echt ganz schön weit unten auf Platz 4.

Genau, auch nur mit 17 Prozent.

Also unfassbar weit unten. Aber genau, das ist die Risikoaufstellung, das Riskbarometer der Allianz. Und Platz 1 ist die Cybervorfälle. Ich glaube, das deckt sich tatsächlich aber auch mit dem, was wir im Alltag wahrnehmen, auch bei unseren Kunden, dass Cyberangriffe einfach immer mehr werden, jeden treffen können und auch jeden treffen. Und wir haben ja in den einigen vorigen Folgen auch schon gesagt, es geht eigentlich nicht mehr um die Fragestellung, ob man betroffen ist, sondern nur noch wann. Und das zeigt eigentlich nur die nächste Statistik von der Bitkom, einem großen Branchenverband aus Deutschland, die auch sagen, nahezu neun von zehn Unternehmen sind davon betroffen.

Ja, und die haben das Ganze nochmal ein bisschen detaillierter aufgezeigt. Vielleicht gehen wir einfach mal so ein paar Sachen davon durch und du kannst den ZuhörerInnen vielleicht im Zweifel mal ein bisschen erläutern, wobei es darum geht. Und danach können wir nochmal darüber sprechen, wie können wir das im Zweifel verhindern. Genau. Also wir haben hier, ich sag mal, als letztes Glied der Kette, Man-in-the-Middle-Attacken. Vielleicht verlierst du dazu mal ein, zwei Sätze.

Ja, das ist so eine Variante, da muss man schon relativ tief im Unternehmensnetzwerk im Zweifel drin sein. Beziehungsweise je nachdem, an welcher Stelle man ansetzt, geht es darum, die Datenverbindung, zwischen zwei Endgeräten zu unterbrechen und die Daten, die da übertragen werden, abzugreifen. Und dann gegebenenfalls entweder nur abzugreifen oder zu manipulieren und dann weiter zu gewinnen.

Ja, jetzt hast du gesagt, man muss dafür schon relativ weit drin sein. Das erklärt wahrscheinlich auch gleich so ein bisschen, warum das eher in dem Ranking weiter unten angesiedelt ist, weil es vermutlich enorm aufwendig ist.

Ja, es ist im Vergleich zu den anderen Formen von Cyberangriffen, die ja gleich noch folgen werden, deutlich aufwendiger. Ja.

Wenn man ein bisschen weiter hoch geht, dann kommt ein Begriff, den habe ich ehrlicherweise zuletzt vor schon etwas längerer Zeit gehört, beziehungsweise seitdem einfach nicht mehr, so eine SQL-Injection. Das ist schon noch Thema, ja?

Ja, das ist natürlich immer wieder Thema. Gerade auch, weil in den letzten Jahren sich ja der Trend abgezeichnet hat, dass immer mehr Applikationen übers Web bereitgestellt werden, damit eben auch einfacher zugänglich sind von überall aus. Bei SQL-Injections wird schadhaft, wenn... Wenn eine normale Datenbankabfrage schadhafte Inhalte eingemischt und dann, wenn der Programmierer nicht aufgepasst hat, eben mit ausgeführt und dadurch kann natürlich auch Schaden entstehen, sei es durch dann veränderte Passwörter oder durch abgefragte Daten, die derjenige eigentlich gar nicht hätte abfragen dürfen. Ja. Aber auch schon eher im Vergleich zu dem Rest eine eher aufwendige Form des Angriffs. Ja.

Jetzt kommt im nächsten Teil des Rankings im Prinzip etwas, das ich persönlich... ...deutlich weiter oben vermutet hätte, nämlich die Ransomware. Ja. Da hätte ich gedacht, die steht deutlich weiter oben. Also für die ZuhörerInnen, die das jetzt gerade nicht sehen können, wir sprechen hier von, ich sag mal so gut zehn Punkten. Und Ransomware ist eher so am Platz sechs. Und ich hätte das eher unter den ersten drei vermutet.

Genau, also die Zahlen beziehen sich auf 2021, die wir jetzt hier vor uns haben. Das ist also auch nochmal zwei Jahre her oder ein gutes Jahr her. Ja.

Da hat sich zum einen natürlich noch ein bisschen was verändert.

In den letzten zwölf Monaten. Zum anderen ist es aber auch da so, Ransomware ist natürlich eine Sache, die sehr groß auffällt. Aber auch da ist es so, die folgenden Punkte werden sicherlich in einigen Punkten auch das Thema Ransomware beinhalten. Also solche Umfragen entstehen natürlich durch Befragung und da wird natürlich auch ein bisschen vermischt. Ja.

Jetzt vielleicht mal grundsätzlich, wenn man sich das anguckt, also wir kommen gleich noch zu ein paar weiteren Punkten. Ja. Aber man kann schon feststellen, es wird so ein bisschen unterschieden in so Angriffsmechanismen zwischen ich will irgendwie was mutwillig zerstören oder ich möchte einfach nur irgendwie was veranstalten, was dazu führt, dass ich Geld erpressen kann. Genau, ja. Okay, dann hätten wir als nächstes Angriff auf Passwörter. Ich glaube, das ist ganz klassisch, indem man versucht irgendwie über Passwort-Reset-Funktionen etc. einfach mal zu schauen. Genau. Wie weit komme ich da im Zweifel oder mit Hilfe von Social-Media-Profilen vielleicht einzelner Leute zu erahnen? Wie heißt die erste Schule, wie heißt der Hund?

Ja, solche Dinge, aber natürlich auch so banale Sachen wie irgendwie eine Wörterbuch-Attacke. Wir haben ja über die Qualität von Passwörtern auch schon häufiger gesprochen. Und wenn das Passwort eben dann ABC123 ist oder das Passwort 123 ist, das ist natürlich auch bei so einer Wörterbuch-Angriff, bei so einem Wörterbuch-Angriff schnell herausgefunden, das ist damit auch gemeint.

Ja, es ist die klassische Liste der beliebtesten Passwörter, die ja auch so mehr oder weniger regelmäßig veröffentlicht wird. Der nächste Punkt, Phishing, ist ein sehr aktuelles Thema auch bei uns. Wir haben ja auch schon diverse Male über Cybersecurity-Awareness-Trainings gesprochen, die eben dahin gehen sollen, Mitarbeiter zu sensibilisieren, zu erkennen, wann ist eine Mail real oder real und wann sollte ich vielleicht eher nicht auf irgendwelche Links klicken. Das ist schon relativ...

Das ist relativ weit oben angesiedelt. Ja.

Dicht gefolgt oder dicht davor, Spoofing. Kannst du dafür vielleicht nochmal zwei, drei Sätze zu sagen?

Ja, beim Spoofing geht es eben darum, es ist eine andere Form von Phishing im Endeffekt, aber es geht darum vor allen Dingen, jemandem vorzugaukeln, dass man jemand anders wäre. Also ich versuche eben jemandem vorzugaukeln, ich wäre zum Beispiel Geschäftsführer einer Firma oder sein Vorgesetzter, um dann eben bestimmte... Ja, das Verhalten dadurch zu erzwingen. Ja, auch eine sehr beliebte Form. Gerade auch in Zeiten von Homeoffice, von Remote Work natürlich einfacher geworden, weil häufig der direkte Kontakt eben seltener stattfindet und viel mehr eben über E-Mail oder auch über andere Chatfunktionen eben kommuniziert wird. Ja, und dann ist natürlich sowas leichter mal eben gemacht.

Das ist so dieses Klassische wahrscheinlich, ich sag mal so zwei Wochen E-Mails mal mitlesen. Genau. Das ist der beste Fall für den Angreifer und dann einfach sich als Buchhaltung auszugeben und zu sagen, überweis mal bitte Summe X auf das und das Konto.

Ja, der Klassiker, den man immer so anführt, ist eigentlich so die Mail vom Geschäftsführer, vom vermeintlichen, die dann irgendwie freitags um 16.30 Uhr bei der Buchhaltung eintrudelt. Genau. Wir müssen unbedingt noch heute schnell die Überweisung XY fertig machen. Bitte überweisen Sie 20.000 Euro an folgende Bankverbindung. Das muss unbedingt heute, damit wir Montag die Ware haben. Solche Sachen sind das immer. Also die sind immer vorhanden. Das ist ja auch verbunden auch eigentlich mit einer zeitkritischen Komponente dahinter, um so ein bisschen Druck aufzubauen. Um Stress aufzubauen, ja genau. Ja genau, um Stress aufzubauen und dafür zu sorgen, dass eben die Wahrscheinlichkeit höher ist, dass die andere Person diese gewünschten Aktionen dann auch ausführt. Ja.

Dann sind wir quasi in den Top 2 und Platz 2 sind die klassischen DDoS-Attacken. Das hat sich bisher nicht geändert, das gibt es schon sehr lange.

Das gibt es schon unfassbar lange. DDoS meint... Im Endeffekt, dass ich von einer Vielzahl von Geräten Zugriffe erzeuge, zum Beispiel auf eine Website. Also klassisch werden damit Websites angegriffen. Das heißt, ich erzeuge ganz viele Zugriffe innerhalb kürzester Zeit und sorge damit dafür, dass die Website einfach nicht erreichbar ist.

Okay, das ist aber auch eher so ein bisschen gleichsinnig mit Mutwilliger Zerstörung.

Es ist Sabotage, genau. Es ist eigentlich eine Sabotage. Also es geht darum, Webseiten eben nicht erreichbar zu machen. Die Server stürzen ab. Und es ist eine sehr einfache durchzuführende Art von Angriff, weil dafür in der Regel Maschinen verwendet werden, die irgendwo gekapert wurden. Das heißt, einfach ungesicherte oder schlecht gesicherte Router, schlecht gesicherte Server, die werden dafür verwendet.

Das sind dann diese sogenannten Botnetze wahrscheinlich, ne?

Die sind häufig Teil von Botnetzen dann, genau. Und das lässt sich dadurch eben sehr, sehr schnell, sehr, sehr groß aufbauen. Das ergibt... Ja, einige Dienstleister, die sich auf die Fahnen geschrieben haben, das zu verhindern. Aber ja, viele Dienste sind dadurch gar nicht geschützt, ja. Ja.

Damit wären wir quasi bei der Top 1 des Rankings. Und ich glaube, das ist wahrscheinlich wenig überraschend, die klassische Malware.

Genau, das ist das, was ich vorhin bei der Ransomware meinte, dass da, glaube ich, auch manches in einen Topf geworfen wird. Infizierung mit Schadsoftware bzw. Malware ist natürlich alles, was irgendwie darunter... Also das kann der klassische Trojaner sein, das kann ein Virus sein, das kann aber auch, und das ist häufig der Fall, eben eine Ransomware sein, die dann Daten verschlüsselt und erpresst. Das ist auch immer nachher dann, ja, Frage der Definition, ab wann ist eine Ransomware eine Ransomware? Ist sie es ab der Verschlüsselung? Ist sie erst ab der Erpressung? Das ist so ein bisschen, ja, verschwimmt sicherlich und deswegen auf jeden Fall klassisch auf Platz 1 die Schadsoftware und Malware. Interessanterweise, weil man ja eigentlich meinen sollte, dass... Auch die Schutzmaßnahmen gegen diese ja doch sehr alte Form der Bedrohung inzwischen immer besser werden, aber ja, immer noch sehr beliebte Form bei Angreifern.

Ja, die Angreifer werden natürlich mit besser.

Genau, richtig, ja.

Aber ich glaube, das ist auch ein Punkt, wo man nochmal sagen kann, dass von uns nun in den letzten anderthalb Jahren Episoden, die wir hier machen, angesprochene Cyber Awareness Training, soll eben auch dafür sorgen, dass ich auch das im Zweifel erkennen kann, wann ist eine Mail nicht so ganz sauber, dass ich vielleicht den Anhang nicht öffne. Dass ich nicht blind jede PDF-Datei öffne, um da gegebenenfalls dem Angreifer Tür und Tor in mein Unternehmen zu öffnen.

Ja, und gerade gegen diesen Punkt kann ich natürlich auch wahnsinnig viel auf technischer Ebene tun. Also gegen Schadsoftware kann ich an vielen Stellen was unternehmen, kann viele technische Maßnahmen ergreifen, damit die eben gar nicht erst gefährlich wird. Die Liste haben wir. Genau.

Ich glaube, das hat ganz gut geholfen nochmal zu untermauern, dass auch das Jahr 2023 nicht weniger Cyberangriffe mit sich bringen wird und es weiterhin nicht mehr zur Debatte steht, ob man irgendwann mal Opfer einer dieser Cyberattacken wird.

Der wichtigste Punkt ist eigentlich immer, sich Gedanken darüber zu machen, wie schnell kann ich den Normalbetrieb wiederherstellen. Also man sollte sich einfach gedanklich darauf vorbereiten und darauf einstellen, dass irgendwann ein Tag da ist, an dem man betroffen ist. Und für genau diesen Tag sollte man sich dann eben Gedanken gemacht haben, wie gehe ich damit um? Also wie komme ich da wieder raus? Wo sind meine Backups? Sind die dort wirklich geschützt? Wie gehe ich damit um? Und da wirklich einfach viel Zeit und notwendigerweise auch Geld reinzustecken. Dass der Wiederanlauf einfach sichergestellt ist.

Das ist so ein bisschen Hand in Hand gehen von Prävention und auf den Ernstfall vorbereitet sein.

Genau richtig, ja. Auf jeden Fall. Also Prävention ist wichtig, aber vor allen Dingen muss ich mich dann eben auch auf den Ernstfall vorbereiten und dafür vorsorgen. Das kann man auf verschiedenen Wegen tun. Backups haben wir immer wieder angesprochen. Wichtigster Punkt an der Stelle. Awareness schaffen haben wir auch gesagt. Passwortrichtlinien. Vor allen Dingen aber auch Test der Wiederherstellung. Oder auch mal in Betracht ziehen, nicht nur eine Phishing-Simulation zu machen, sondern wirklich auch mal vielleicht von außerhalb überprüfen zu lassen, wie ist es eigentlich wirklich gestellt, um unsere Sicherheit. Mal so einen Penetration-Test durchführen lassen. Mal wirklich eine Firma beauftragen, damit mein Unternehmen mal zu hacken. Um mal zu gucken, wie die reinkommen. Da gibt es durchaus ja einige seriöse Anbieter. Am Markt. Total. Die das anbieten und die dann am Ende wirklich auch Maßnahmen auflisten können, wie die Sicherheit weiter verbessert werden kann.

Ja, ohne da jetzt ins Detail zu gehen, da gibt es ja auch ganz spannende Varianten von. Also es ist ja nicht einfach, dass man stumpf sagt, ich mache jetzt hier so einen Penetration-Test. Der ist immer nach Schema F, sondern es gibt ja auch unterschiedliche Herangehensweisen. Genau. Sehr individuell.

Genau abgestimmt eigentlich auf das, was man auch an Produkten nutzt, an Diensten nutzt. Ja.

Ja, für all das selbstverständlich an alle da draußen. Immer gerne. Die ja noch auf uns zukommen. An der Stelle vielen Dank. Ich glaube, dass wir eine ganze Menge abgearbeitet haben, was potenzielle Angriffsziele, Angriffsarten angeht. Und nach wie vor gilt, wenn sich da draußen jetzt jemand berufen fühlt, ich brauche da mal Hilfe oder würde da gerne mit einem darüber sprechen. Jederzeit hagel-it.de slash Termin. Genau. Und ja, Philip, ich danke dir. Danke, Dennis. Nächste Woche wieder 5 Minuten IT.

Wir sehen uns in zwei Wochen. Bis dann.