DB: Warum nutzen Hacker die Zeit um Weihnachten und den Jahreswechsel so gerne für ihre Angriffe?
Schinner: Das Muster ist immer ähnlich – besonders Feiertage, Urlaubszeiten und Wochenenden wurden in der Vergangenheit häufig für Angriffe ausgenutzt, da viele Unternehmen und Organisationen zu diesen Zeiten eine geringere Reaktionsfähigkeit aufweisen. Die Cyberkriminellen gehen davon aus, dass auch die IT-Abteilungen in Unternehmen und Organisationen in dieser Zeit vermehrt Urlaub machen und Angriffe daher später bemerkt werden. Kurz gesagt: Eine schöne Bescherung für Cyberkriminelle.
DB: Mit welcher Art von Angriffen haben wir es aktuell zu tun?
Stünkel: Der Trend der letzten Zeit hin zu ausgefeilteren Angriffen, wie die anhaltenden Bedrohungen durch staatlich unterstützte Hacker, gezielte Ransomware-Angriffe auf kritische Infrastrukturen oder KI-gestützte Phishing-Angriffe mit verblüffend authentischer Sprache und Visualisierung setzt sich fort.
Schinner: Apropos Ransomware-Angriffe – hier ist in den letzten Jahren ein deutlicher Anstieg zu verzeichnen. Bei diesen Angriffen werden für Unternehmen hochrelevante Daten verschlüsselt. Gegen Zahlung eines Lösegeldes, also Ransom, erhalten die Betroffenen wieder Zugriff auf die Daten. Und die steigenden Preise machen auch vor Cyberkriminellen nicht halt. Eine aktuelle Studie (Studie von G DATA, brand eins und Statista aus dem September 2024, Anm. d. Red.) zeigt, dass deutsche Unternehmen im vergangenen Jahr im Durchschnitt über 525.000 € Lösegeld für Ransomware-Angriffe gezahlt haben. Dieser Betrag hat sich in den letzten zwei Jahren um mehr als 230 % erhöht. Und wenn es so viel Geld zu ergaunern gibt, bildet sich schnell eine regelrechte Ransomware-Ökonomie, die das Thema von Randphänomen zu einer der Hauptbedrohungen innerhalb der Cyberwelt entwickelt hat.
Stünkel: Stimmt; generell muss man aber sagen, dass wir nur Trends oder Entwicklungen aufzeigen können. Cyberangriffe entwickeln sich ebenso wie Sicherheits- und Abwehrmaßnahmen ständig weiter und sind oft sehr individuell.
DB: Sie erwähnten die wachsende Bedeutung von KI. Haben sich die Strategien der Hacker verändert?
Stünkel: Trotz zunehmender Professionalisierung, KI und ständiger Weiterentwicklung der Angriffe bleibt es dabei, dass der Mensch die am häufigsten genutzte Schwachstelle ist. Schon ein einziger Klick auf eine Phishing-Mail, die nach wie vor zu den häufigsten Angriffen zählt, kann zu erheblichen wirtschaftlichen Schäden führen. Angreiferinnen und Angreifer nutzen das sogenannte Social Engineering, um überzeugende und personalisierte Angriffe durchzuführen und mit manipulierten E-Mails von gefälschten Absendern beispielsweise Benutzernamen oder Passwörter zu erlangen. Die Nutzung von Cloud-Infrastrukturen erleichtert es Kriminellen zudem, ihre Aktivitäten zu verschleiern.
DB: Kann man sich gegen solche Angriffe überhaupt wirksam schützen?
Schinner: Schutz ist möglich – aber es wird keinen Schutz geben, der Angriffe verhindert. Vielmehr geht es darum, mit dem richtigen Schutz und der richtigen Vorbereitung die Auswirkungen eines Angriffs so gering wie möglich zu halten. Leider glauben heute noch viele, dass möglichst lückenlose Backups der richtige Weg sind. Das ist zwar ein Baustein, aber bei Weitem nicht alles – es kommt zum Beispiel auch auf ein effektives Business Continuity Management (BCM) an.
Stünkel: Die Reaktion auf Cyberangriffe sollte jedenfalls klar definiert sein, einschließlich Rollenverteilung und Kommunikationsplänen für interne und externe Belange sowie dem Umgang mit Lösegeldforderungen. Unsere Planspiele mit Verantwortlichen zeigen, dass viele Unternehmen in diesem Bereich unerfahren sind. Der klassische Ansatz der Risikoanalyse und Informationssicherheits-Managementsysteme reicht nicht mehr aus; entscheidend ist der Aufbau einer Widerstandsfähigkeit, um effektiv auf Vorfälle reagieren zu können – die sogenannte Cyber Resilience.
Und nur wer regelmäßig und realitätsnah trainiert, kann im Ernstfall souverän und schlagkräftig agieren. Simulationen und Übungen dienen dazu, die notwendigen Handgriffe in realistischen Szenarien zu üben und die Teams darauf vorzubereiten, das Unvorhersehbare zu erkennen und zu bewältigen – sowohl technisch als auch mental. Den Ernstfall zu trainieren ist ein guter Vorsatz für das neue Jahr.
DB: Was sind also die richtigen Reaktionen? Wie verhält man sich, wenn man aus dem Weihnachtsurlaub zurückkommt und Opfer eines Cyberangriffs wurde?
Schinner: Ruhe bewahren und durchatmen. Wie in jeder anderen Krise ist es auch bei einem Sicherheitsvorfall oder einem Cyberangriff von entscheidender Bedeutung, „richtig“, geordnet und rechtzeitig zu reagieren. Es müssen geeignete Sofortmaßnahmen ergriffen werden, um finanziellen Schaden und Reputationsverlust abzuwenden. Auch die schnelle und sorgfältige Sicherung der richtigen Beweismittel für eine forensische Untersuchung ist entscheidend, um einen Vorfall bestmöglich aufklären zu können. Entscheidend ist daher in jedem Fall, planvoll vorzugehen und einen kühlen Kopf zu bewahren. Oft ist es auch sinnvoll, krisenerfahrene Expertinnen und Experten von außen beizuziehen.
DB: Für wen ist die Bedrohungslage über die Feiertage größer: Konzerne oder Mittelständler?
Stünkel: Eine größere Bedrohungslage ist schwer auszumachen – die Situationen sind eher als unterschiedlich zu bezeichnen. Während ein namhaftes Unternehmen oder ein großer Konzern aus Sicht der Hacker auf den ersten Blick höhere „Gewinne“ verspricht, sind die Erfolgsaussichten dort aufgrund größerer personeller Kapazitäten und oft professionellerer Strukturen in der Regel geringer. Bei kleineren Unternehmen ist die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs über Weihnachten dagegen höher. Denn auch Ende 2024 wiegen sich manche KMU noch in vermeintlicher Sicherheit und nehmen die akute Bedrohungslage nicht wahr. Hinzu kommt oft eine ungünstige „Gemengelage“ – die IT-Sicherheit ist in vielen dieser Unternehmen nicht mehr auf dem neuesten Stand, es fehlt an Fachkräften oder es gibt aus finanziellen Gründen schlicht keine ausreichende Personalstruktur in diesem Bereich. Dadurch rechnen sich Cyberkriminelle gerade in diesem Bereich oft größere Chancen aus.
DB: Vielen Dank für das spannende Gespräch und trotz aller Gefahren: Frohe Weihnachten!
Interviewpartner
Prof. Dr. Alexander Schinner ist Partner und Leiter der Security Academy der BDO Cyber Security GmbH. In der Cyber Academy wird Wissen über Cybersecurity für unterschiedliche Zielgruppen vermittelt.
Nils Stünkel ist Manager im Cyber Incident Response und Crisis Center und unterstützt Kunden bei Sicherheitsvorfällen. Die BDO Cyber Security GmbH ist als Tochterunternehmen der BDO AG Wirtschaftsprüfungsgesellschaft der Berater und Anbieter von ganzheitlichen Cyber-Resilience-Lösungen.