«Im IoT wird die virtuelle zu einer physischen Gefahr»

Nahezu überall lauern heute Cyberbedrohungen. Die Kriminellen sind mittlerweile wohl organisiert und besitzen ausgeklügelte Technologie für die verschiedensten Typen von Angriffen. Multiple Sicherheits­vorfälle in der jüngeren Vergangenheit zeigen auf, dass die Unternehmen noch immer leichte Opfer sind – auch in der Schweiz. Ein Grund sind die weiter lückenhaften Abwehrmechanismen, wie Acronis-Gründer Serguei Beloussov im Interview mit Computerworld sagt.

Serguei Beloussov: Ich denke, jedermann ist schon von einem Cybervorfall betroffen gewesen. Genau wie jedermann auch Krebszellen in sich trägt. Die Krebszellen werden aber typischerweise von den Abwehrkräften des menschlichen Immunsystems zerstört.

Ich bin eine exponierte Persönlichkeit und damit natürlich ein attraktives Ziel für Cyberangriffe. Denn ich bekleide mehrere Rollen: die des Individuums, die des Familienoberhaupts, die des Geschäftsführers von Acronis, die des Teilhabers an diversen Unternehmen und die des Minderheitsbeteiligten an weiteren Firmen. Insbesondere letztere Firmen hatten bereits mehrere Sicherheitsvorfälle zu beklagen, bei denen sie Hunderttausende Dollar verloren haben. Mit meiner Hilfe konnte vielfach ein grösserer Schaden abgewendet werden.

Über Acronis kann ich berichten, dass wir permanent angegriffen werden. Bisher konnten wir alle Attacken abwehren, wobei wir aber teilweise allerdings viel Aufwand betreiben mussten. Hier kann man eher von einem indirekten Schaden sprechen, denn natürlich kostet die Cyber­abwehr ebenfalls eine Menge Geld und Ressourcen.

Beloussov: Nein, Angriffe auf mich persönlich noch nicht. Aber es gab einen Vorfall im Zusammenhang mit meiner Familie. Meine Tochter besuchte vor Jahren die internationale Schule in Jakarta. Eines Tages gab es einen Angriff auf die Computer der Schule, bei dem viele persönliche Daten entwendet wurden. Anschliessend konnten die Angreifer sich als Lehrer ausgeben, da sie Kenntnis hatten von den schulischen Abläufen, den Klassenzimmern, den Bring- und Abholzeiten der Schüler sowie weiteren persönlichen Details. Indem sie meiner früheren Frau vorgaukelten, unsere Tochter habe einen Unfall gehabt, konnten sie zunächst einen kleinen Geldbetrag erpressen. Als Forderungen nach höheren Summen gestellt wurden, wurde meine Ex-Frau misstrauisch und schaltete die Polizei ein. So konnte schlimmerer Schaden abgewendet werden. Denn natürlich hatte unsere Tochter keinen Unfall gehabt.

Diese Methode ist eine der wirksamsten: Zuerst sammeln die Angreifer eine grosse Menge an Informationen über ein Individuum, um das Opfer anschliessend mit möglichst vielen Details überzeugen zu können, dass die Attacke ihnen persönlich gilt.

Beloussov: Nicht unbedingt. Meiner Meinung nach ist die organisierte Cyberkriminalität die grösste Bedrohung überhaupt. Aufgrund ihrer Industrialisierung können diese Organisationen integrierte Angriffe mit Trojanern, Viren, Ransomware, Phishing, Social Engineering und so weiter starten. Diese Attacken werden orchestriert ausgeführt und laufen nach einer Standardprozedur ab. Und mittlerweile wissen eine ganze Menge Leute, wie solche Angriffe am wirksamsten lanciert werden.

Ich verwende hier gerne den Vergleich mit einem Bankraub: Früher stürmte ein Individuum in die Bankfiliale, zückte eine Waffe und zwang das Schalterpersonal zur Herausgabe des Bargelds. Über die Jahre entwickelten auch die Bankräuber neue Techniken, koordinierten und organisierten sich. Zuerst orientierten sie sich über den Tatort, sorgten für einen Defekt bei den Überwachungskameras, warben Bankangestellte als Komplizen an und wählten denjenigen Zeitpunkt, an dem wenig Publikum in der Filiale sowie die Polizei anderweitig beschäftigt ist. Im Vergleich mit dem Bankraub, bei dem es eine ganze Reihe Sicherheitsmassnahmen gibt – Zeitschaltung, Überwachungskameras und Polizei zum Beispiel –, sind die Unternehmen relativ schlecht auf eine Cyberattacke vorbereitet. Oftmals sind die an­gegriffenen Firmen auf sich allein gestellt, müssen sich selbst gegen das organisierte Verbrechen schützen.

Beloussov: Relativ neu sind Angriffe im Millisekunden­bereich. Ihnen bereiten die neuen Netzwerktechnologien wie 5G und Glasfaser den Weg. Die Herausforderung hier ist, dass kaum eine Security-Software fähig ist, einen Angriff überhaupt zu registrieren. Oder sie benötigen einen Patch, der aber nicht innerhalb von Millisekunden ein­gespielt werden kann. Hier müssen die Hersteller und auch die Technologielieferanten neue Methoden entwickeln, um so kurzzeitige Attacken zu verhindern.

Eine dritte grosse Bedrohung sehe ich in der Daten­manipulation. Denn Geschäftssysteme basieren heute vornehmlich auf Entscheidungsregeln, die von korrekten Daten ausgehen. Werden nun von einem Angreifer die Daten manipuliert, arbeiten zwar die Systeme noch korrekt, die Ergebnisse stimmen aber nicht mehr. Und kein Benutzer rechnet damit, dass die korrupten Daten der Grund für die falschen Resultate sein könnten. Die grosse Herausforderung besteht darin, dass Daten sehr einfach manipulierbar sind. Die Online-Enzyklopädie Wikipedia ist das plakativste Beispiel: Die grosse Mehrheit der Benutzer glaubt an den Wahrheits­gehalt der Informationen dort. Aber sowohl Sie als auch ich können die vermeintlichen Fakten problemlos ändern.

Beloussov: Ausschliesslich Acronis kann einen wirklichen Schutz vor Angriffen bieten! [lacht] Ich scherze natürlich. Obwohl die Lage durchaus ernst ist. Denn wir leben in einer Welt, in der sich die grosse Mehrheit der Konsumenten und der KMU nicht ausreichend gegen Cyberbedrohungen schützen. Die Installation einer guten Security-Software wäre zunächst einmal sinnvoll.

Ausserdem empfehle ich einen integrierten Ansatz – insbesondere im geschäftlichen Umfeld. Es muss eine Lösung eingesetzt werden, die Angriffe abwehren kann. Dabei ist es mit der Installation aber nicht getan; das Definieren und Durchsetzen von Sicherheitsrichtlinien, das regelmässige Einspielen von Updates sowie auch Tests der Abwehrmechanismen gehören genauso dazu. Auch das Zurücksetzen der (nicht infizierten) Systeme sollte geübt werden, um im Schadensfall vorbereitet zu sein. Ich halte es für ausgeschlossen, dass nicht jedermann und auch jedes Unternehmen innerhalb der nächste zehn Jahre einmal das Opfer einer Cyberattacke wird.

Nicht zuletzt empfehle ich Methoden der Forensik: Unternehmen müssen im Fall einer Attacke in der Lage sein, die Ursache oder den Angriffsvektor zu bestimmen. Denn nur wer weiss, wie er angegriffen wurde, kann sich in Zukunft schützen und allfällige Sicherheitslücken schliessen. Dieser Prozess wird heute noch grösstenteils vernachlässigt.