Unternehmen müssen sich selbst schützen

Die Zahl ist beachtlich und sorgte für Schlagzeilen: Mindestens 500 Millionen Yahoo-Nutzerkonten sind von einer Hacker-Attacke betroffen, die bereits im Jahr 2014 stattfand. Doch erst im September 2016 ging der Internet-Konzern Yahoo damit an die Öffentlichkeit. Gestohlen wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Die Untersuchung des Angriffs dauert noch an. Der Imageschaden ist enorm. Welche Konsequenz dieses Sicherheitsdebakel für die geplante Übernahme des Konzerns durch den US-Kommunikationsanbieter Verizon hat, ist bis dato noch offen.

Wer genau hinter dem Angriff steht, ist nicht bekannt. Yahoo bezeichnet den Angreifer nicht näher als "state-sponsored actor" - der Angriff gehe demnach von ­einer Regierung aus. Die betroffenen Nutzer wurden benachrichtigt und aufgefordert, ihre Passwörter zu ändern und ihr Nutzerkonto nach verdächtigen Aktivitäten zu durchforsten. Der Vertrauensverlust für den Anbieter dürfte riesig sein, auch deswegen, weil die Attacke an sich schon zwei Jahre zurückliegt. Yahoo muss sich fragen lassen, warum die Nutzer erst jetzt über diesen Angriff informiert und nicht schon früher gewarnt wurden.

Und noch ein zweiter Cyberangriff sorgt gerade für Schlagzeilen, wenn auch eher in Fachkreisen: Der Blog des amerikanischen Sicherheitsforschers Brian Krebs wurde Ziel des größten bislang bekannten DDoS-Angriffs. Bei Distributed-Denial-of-Service-Attacken (DDoS) wird die Netzinfrastruktur so mit Datenpaketen überflutet, dass sie überlastet ist und die Server schließlich in die Knie gehen. Das führt dazu, dass normale Seitenaufrufe nicht mehr durchkommen und die betroffene Webseite für die Nutzer entweder nur mit langer Verzögerung oder gar nicht mehr zur Verfügung steht. Für Unternehmen, deren Business vom Internet abhängt, ein hohes Risiko.

Angriffe auf die Webseite von Brian Krebs gab es bereits in der Vergangenheit, weil der Autor unter anderem über kriminelle Aktivitäten im Cyberspace berichtete. Deshalb wurde der Blog vom Content-Delivery-Netzwerk Akamai bislang kostenlos geschützt. Doch im September prasselten rund 665 Gigabit pro Sekunde ein. Wie ­außergewöhnlich groß dieser Angriff war, macht ein Blick in den "State of the Internet Security Report Q2 2016" von Akamai klar. Dieser vierteljährlich erscheinende Bericht bietet Einblick in die cyberkriminellen Aktivitäten, die auf der Akamai ­Intelligent Platform beobachtet wurden. Demnach verzeichnete Akamai am 20. Juni mit 363 Gigabit pro Sekunde den bis zu diesem Zeitpunkt schwersten DDoS-­Angriff auf einen seiner Kunden.

Die jüngste Attacke war jedoch so heftig, dass der Gratisschutz des Blogs für das Unternehmen schlicht zu teuer wurde, ­berichtete die amerikanische Zeitung "Boston Globe". Wenn solche Angriffe ­andauern, rede man definitiv über meh­rere Millionen Dollar für Cybersecurity-Dienste zitiert der "Boston Globe" Josh Shaul, Vice President Web Security bei Akamai. Krebs äußerte Verständnis dafür, dass Akamai sich entschied, seine Web­seite nicht länger zu schützen. Der Sicherheitsdienstleister habe seine Webseite während der vergangenen vier Jahre ­gegen zahllose Angriffe verteidigt. Diese jüngste Belagerung sei fast doppelt so schwerwiegend gewesen wie die vom Unternehmen bislang gesehenen Attacken. Die Entscheidung sei nötig geworden als deutlich ­wurde, dass der Angriff auf den Sicherheitsblog ein Ausmaß annahm, das Probleme für die zahlenden Kunden des Unternehmens bedeuten würde.

Der Security-Blog ist inzwischen wieder erreichbar und wird nun von Googles "Project Shield" geschützt, einem Programm, mit dem der Suchmaschinen-Riese die kritische Berichterstattung von ­unabhängigen Journalisten kostenlos ­gegen DDoS-Attacken (und damit auch gegen Zensur) schützt.

Diese beiden Beispiele machen deutlich, welche Dimensionen Cyberattacken inzwischen angenommen haben. DDoS-Angriffe gibt es zwar bereits seit 20 Jahren, doch viele Unternehmen setzen sich nicht mit dem Risiko auseinander, Ziel eines Angriffs zu werden. So berichtet Arbor Networks, Anbieter von Sicherheits-Dienstleistungen, dass die wenigsten Unternehmen Maßnahmen zur Erkennung und Abwehr von DDoS-Angriffen implementiert haben. Ein Großteil verlasse sich auf die vorhandene Sicherheitsinfrastruktur wie Firewalls und Intrusion-Prevention-Systeme (IPS).

Akamais Berichte zeigen, dass DDoS-Angriffe von Quartal zu Quartal zunehmen. Im zweiten Quartal 2016 registrierte das Unternehmen über 4.900 Angriffe, im Vorquartal lag die Zahl bei 4.523 Attacken, ein Anstieg um neun Prozent.

Ralf Gehrke, Director Presales für die ­Region Europa bei Akamai Technologies, empfiehlt Organisationen, vorbeugend zu handeln. Jedes Unternehmen sollte durch eine Business-Impact-Analyse ermitteln, welche Auswirkungen ein Cyberangriff haben könnte. Zudem sei die Bereitschaft wichtig, proaktiv Schutzmaßnahmen zu ergreifen. Viele Unternehmen wenden sich an Akamai Technologies, wenn sie akut von einer Cyberattacke betroffen sind. Akamai könne zwar relativ schnell helfen, doch der größte Stolperstein sei, dass es in vielen der betroffenen Unternehmen keine klaren Zuständigkeiten ­gebe. Dann sei der Zeitfaktor eine Herausforderung. "Wenn ein Unternehmen ­unvorbereitet angegriffen wird, herrscht dort meist ein Durcheinander", berichtet Gehrke, "wir stellen dann ein strukturiertes Projektmanagement zur Verfügung."

Häufig folgt auf einen Angriff eine Erpressung: Unternehmen erhalten Drohbriefe und werden aufgefordert, einen Geldbetrag zu zahlen, sonst werde der Angriff fortgesetzt und intensiviert. Gerade für ­E-Commerce-Unternehmen stellen Erpresser eine große Bedrohung dar. Gesprochen wird darüber jedoch nicht gern. Ausgeführt werden die Cyberattacken oft über angemietete Botnetze.
Gehrke weist auf eine weitere Gefahr hin: "DDoS-Attacken sind zunehmend Ablenkungsmanöver, um darauf die Aufmerksamkeit zu lenken, während parallel andere Angriffe stattfinden." Dabei werden dann Kundendaten oder Firmengeheimnisse gestohlen.

Paul Kaffsack, Chief Operating Officer und Mitgründer von Myra Security, Anbieter eines Content-Delivery-Networks und Sicherheitsdienstleister, bestätigt, dass Erpressungen zunehmen - auch von kleineren Shops. "Während der Sommermonate war es etwas ruhiger, aber zum Jahresende wird es wieder zunehmen", prognostiziert er. Viele Shops gehen ­davon aus, dass es sie nicht treffen werde, berichtet Kaffsack. Das Risiko, Angriffen ausgesetzt zu sein, wird auch durch die ständig wachsende Zahl von vernetzten Geräten, Stichwort Internet of Things (IoT), höher. "Man kann diese vernetzten Geräte dazu nutzen, umfangreiche Angriffe zu verüben - eingesetzt als IoT-Botnetz", erklärt Kaffsack.

Ein Grund, der Unternehmen davon abhält, einen Sicherheitsdienstleister zu beauftragen, sind die Kosten. Genaue Angaben zu den monatlichen Kosten für die Absicherung von Unternehmenswebseiten machen weder Paul Kaffsack von Myra ­Security noch Ralf Gehrke von Akamai. Die Begründung lautet, dass jede Sicherheitslösung individuell sei und unter anderem von den Besucherzahlen der Webseite beziehungsweise des Shops abhängt.

Sicherheitsaspekten zu wenig Beachtung zu schenken kann jedoch im Falle ­eines Angriffs teuer werden, wenn zum Beispiel der Shop nicht mehr erreichbar ist und dadurch Umsatz verloren geht. Sven Ehrmann, Unit-Direktor Transaktion bei der E-Commerce-Agentur Nexum, weist darauf hin, dass es keinen hundertprozentigen Schutz gebe, professionelle Hoster würden jedoch hohe Sicherheitsstandards bieten. Zudem können Shops ihre Sicherheitsmaßnahmen durch Audits von externen Anbietern dokumentieren lassen. "Das bringt Vertrauen und zeigt Professionalität", meint er.