INSIDE-Interview: Sebastian Schreiber, Gründer und Gf des IT-Sicherheitsunternehmens Syss GmbH, über Cyper-Erpressung, Lösegeldforderungen und die Notwendigkeit, schneller zu sein als die Hacker.
Herr Schreiber, nach den schweren Vorfällen mit Cyber-Erpressung im vergangenen Jahr hätte man meinen können, die Unternehmen hätten Zeit gehabt, sich darauf einzustellen. Offenbar eine Fehleinschätzung, wenn man sich die aktuellen Fälle auch in der Getränkewelt ansieht. Was wurde versäumt?
Es ist leider nicht so einfach, wie das immer dargestellt wird. Wenn Sie einen Hygieneskandal in der Gastronomie haben, dann können Sie putzen, vielleicht mal eine Zapfanlage ersetzen oder eine neue Spülmaschine kaufen. IT ist dagegen unglaublich kompliziert und komplex. Da gibt es so viele Faktoren, die zusammenspielen müssen, das bekommen Sie auch nicht mit viel Geld einfach so in den Griff. Das ist eine wirklich sehr nachhaltige Angelegenheit, sie müssen da über Jahre, eigentlich über Jahrzehnte am Ball bleiben, um IT-Sicherheit zu gewährleisten.
Wer ist besser geschützt: Mittelständler oder Konzerne?
Das lässt sich so nicht beantworten. Wir haben Unternehmen, die einander sehr ähneln, aber doch einen komplett anderen Fokus auf IT-Security legen. Ich habe das Gefühl, dass gerade über 100jährige Familienunternehmen am besten auf Nachhaltigkeit auch bei der Sicherheitsarchitektur ausgelegt sind. Sicher auch weil man dort nicht so sehr auf die Quartalszahlen blickt, sondern sicherstellen möchte, dass man das Unternehmen auch an die nächste oder gar übernächste Generation weitergeben kann.
Es geht ja bei solchen Attacken nicht immer nur um Lösegeldforderungen…
...doch, geht es absolut. Bei den allermeisten Vorfällen, mit denen wir es in 2020/21 zu tun hatten, geht es immer um das Abzocken von Lösegeld. Wir selbst haben in vier Fällen schon Lösegeld für unsere verzweifelten Kunden übergeben. Das ist ein heißes Business.
Weil Lösegeld Unternehmen brandmarkt?
Behörden raten ab, Lösegeld zu bezahlen, denn es speist die kriminelle Szene. Zudem besteht die Gefahr, dass es Nachahmer gibt.
In manchen Staaten ist das Bezahlen von Lösegeld verboten, Singapur zum Beispiel, teilweise auch in Italien. Welche Erfahrungen haben Sie in Deutschland damit gemacht?
In Deutschland ist das Bezahlen von Lösegeld erlaubt und sogar steuerlich abzugsfähig, als Betriebsausgabe.
Woher weiß ich, dass ich meine Daten wiederbekomme, wenn ich bezahlt habe?
Die meisten Täter sind gewissermaßen ehrlich und geben Ihnen die entschlüsselten Daten anschließend tatsächlich zurück. Warum machen die Täter das? Weil ihr Geschäftsmodell darauf fußt, dass Sie den Tätern vertrauen.
Kann man das vorher gegenprüfen?
Ja, zum Beispiel wenn der Täter Ihnen vorher anbietet, eine einzelne Datei, die Sie ihm genannt haben, wieder zu entschlüsseln. Damit kann er zumindest prinzipiell beweisen, dass er in der Lage ist, eine Datei wieder zu entschlüsseln. Nach einem solchen Akt ist es ratsam, möglichst schnell zu bezahlen.
Weil es sonst Tag für Tag teurer wird?
Ja, oder der Täter taucht unter und mit ihm alles andere, also auch der Schlüssel.
Versichert. Aber wer zahlt am Ende?
Wie hoch kann das Lösegeld für Unternehmen werden?
Bei der letzten Bezahlung, die wir gemacht haben, waren wir bei 900.000 Euro. Beim Supply Chain-Angriff auf Kaseja waren es 70 Mio USD.
Wurde das bezahlt?
Darf ich nicht kommentieren. Fakt ist: Kaseja hat den Schlüssel.
Kann man sich gegen Cyber-Erpressung versichern?
Können Sie. Ist nicht mal so teuer. Aber es gibt dort sehr hohe Ausschlüsse. Die zahlen nicht bei grober Fahrlässigkeit oder wenn Kumulrisiken zugrunde lagen. Versichern können Sie sich also schon, aber die Versicherung zahlt hinterher nicht.
Wie schütze ich dann mein Unternehmen gegen solche Angriffe?
Man ist nicht hilflos ausgesetzt. Systeme sichern, warten, ordentliche Backups machen, die schützenswerten Daten gut wegsperren. Zugriffskontrollen ermöglichen. Wichtig ist, dass Sie auch regelmäßig Penetrationstests durchführen, simulierte Cyber-Attacken gegen Ihr Unternehmen, damit Schwachstellen bekannt werden und Sie diese dann beheben können.
Was bringt ein Backup, wenn es keines ist?
Also einfach mal schnell jeden Tag die Daten auf eine externe Festplatte sichern und mit nach Hause nehmen, das ist zu wenig?
Das wäre schon mal nicht schlecht. Sie müssten halt nur zusehen, dass Sie die Daten auch in einer einspielbaren Version haben. Nicht dass Sie glauben, Sie hätten ein Backup abgespeichert, aber in Wahrheit sind es nur verschlüsselte Daten. Und Sie müssen Ihr Backup schützen, damit der Trojaner das Backup nicht schnappt. – Ganz blöd ist auch, wenn Ihnen die Kundendaten gestohlen wurden. Da werden Sie wieder erpressbar. Da muss man also auch höllisch aufpassen.
Hat Corona die Sicherheitslage verschärft?
Das glaube ich schon. Viele Menschen sitzen jetzt schon lange in Kurzarbeit zuhause. Manche von ihnen, die gerne hacken, können wegen Corona nicht in Clubs gehen, nicht auf Konzerte. Und was tun wohl Hacker, wenn sie viel Zeit haben?
Was sind die größten Einfallstellen für Schadenssoftware? Der gute alte USB-Stick?
Nein, eher ein Email-Anhang, ein Link, auf den man klickt.
Dann öffnen wir künftig keine Anhänge mehr.
Schön wär´s. Das können Sie natürlich niemandem raten. Mann muss diese Anhänge ja öffnen. Wenn ich meiner IT sage, bitte stellt die Firewall so ein, dass alle Anhänge gelöscht werden, dann klappt mein Business nicht mehr. Die Korrespondenz läuft heute eben mit Attachments.
Artikel aus INSIDE 883
