Cyberangriffe legen kommunale Einrichtungen lahm und Jeff Bezos wird per WhatsApp ausspioniert. Was können Kleinunternehmer und Mittelständler daraus lernen?
In den vergangenen Tagen und Wochen haben sich die Nachrichten über erfolgreiche Hackerattacken auf kommunale Einrichtungen und Behörden gehäuft. Nach den jüngsten Cyberattacken gegen die Städte Potsdam, Hofgeismar, Frankfurt, Bad Homburg oder Alsfeld ist die Lage angespannt, heißt es vonseiten des Bundesamts für Sicherheit in der Informationstechnik (BSI). Kommunen haben in diesem Zusammenhang mit kleinen und mittelständischen Unternehmen gemein, dass sie sich zumeist nie hätten vorstellen können, einmal Opfer eines Cyberangriffs zu werden. Was sollten Hacker von ihnen wollen? Was können die mit ihren Daten anfangen?
Heute besitzt jeder Datensatz einen Wert
Die Antwort auf diese Fragen ist zunächst einmal so einfach wie banal. Die Hacker wollen oft gar nichts mit den Daten anfangen. Relevant ist, dass Sie als Nutzer und Besitzer etwas mit den Daten anfangen müssen und dies nicht können. Und in dem Moment, in dem dies nicht mehr möglich ist, können Sie Ihren Betrieb oft auch nicht weiterführen. Der finanzielle Schaden, der aus dieser Ohnmacht entsteht, ist weitreichend. Insbesondere Cyberangriffe mit der Schadsoftware Emotet haben in den vergangenen Wochen und Monaten immer wieder Behörden und Kommunalverwaltungen getroffen. Auf infizierten Systemen späht Emotet zum Beispiel die Zugangsdaten von E-Mail-Konten sowie auch den Inhalt der Postfächer aus. Die Zugangsdaten werden anschließend missbraucht, um die Schadsoftware weiter zu verbreiten. „Bekannte Absender schaffen Vertrautheit“, warnt das BSI. Emotet kann weitere Schadsoftware nachladen. Dies ist meist zunächst ein Banking-Trojaner, der den Tätern Komplettzugriff auf das Netzwerk verschafft und es lahmlegen kann.
35 Millionen Schad-E-Mails allein in Hessen
Die Motivation dieser Cyberangriffe ist vielfältig. Monetäre Interessen sind genauso denkbar wie die Schädigung von Konkurrenten oder politisch motivierte Beweggründe. Lösegeldforderungen bilden bei Kommunen aber den Schwerpunkt. Denn die Verwaltungen arbeiten mit sensiblen, personenbezogenen Daten. Deshalb sind sie gezwungen, die Daten wiederzubekommen, um ihren öffentlichen Auftrag zu erfüllen. Wenn man selbst dazu nicht in der Lage ist, erscheinen Lösegeldangebote oft der leichtere Weg, sind jedoch nicht zu empfehlen. Allein im vergangenen Jahr wurden über 35 Millionen Spam-, Viren- und Phishingmails bei 29.000 Anwender in hessischen Behörden abgefangen. Die größte Schwachstelle bei der IT-Sicherheit bleibt aber der Mensch.
Unsicherheitsfaktor Mensch
Dass nicht nur die Mitarbeiter kommunaler Organisationen digital auf leichtem Fuß leben zeigt das aktuelle Beispiel von Jeff Bezos. Stichwort: Bekannte Absender. Dieser Vordenker des digitalen Zeitalters wurde mithilfe seines Smartphones und der Messenger App WhatsApp überrumpelt. Hinter dem Angriff soll der saudische Kronprinz Mohammed bin Salman stecken. Er soll Bezos eine Videonachricht über WhatsApp geschickt haben, die mit einem Trojaner versehen war. Das zentrale Werkzeug beim Angriff soll eine Schadsoftware namens Pegasus gewesen sein. Hacker können damit Textnachrichten auslesen, Anrufe zurückverfolgen, Passwörter sammeln, Daten aus Apps auslesen und nachverfolgen, wo sich das Telefon gerade befindet.
Für Sie als Kleinunternehmer oder Mittelständler bedeutet dies, dass im Zeitalter der Digitalisierung alle Datensätze einen Wert haben und geschützt werden müssen. Zweitens lässt sich festhalten, dass vor allem die menschliche Komponente eine große Rolle spielt. Sensibilität in der E-Mail-Kommunikation und bei der Nutzung von mobilen Apps hat deshalb höchste Priorität.