Von Datenklau bis Erpressung: Unternehmen, die online sind, bieten Hackern eine gute Angriffsfläche. Tipps für den Umgang mit Attacken.

Das ist ein Ranking, in dem man ungern die Top-Position einnimmt: Das Hauptangriffsziel von Cyberkriminellen ist seit dem vergangenen Jahr der Einzelhandel, so das Ergebnis des "2016 Global Threat Intelligence Report" des IT-Dienstleisters NTT. Demnach waren Händler fast drei Mal so häufig Angriffen aus dem Internet ausgesetzt wie Unternehmen der Finanzbranche, die im Vorjahr noch an erster Stelle gestanden hatte. Mehr als jeder zehnte Cyberangriff galt einem Einzelhandelsunternehmen.

"Handelsunternehmen verarbeiten große Mengen personenbezogener Informationen und Kreditkartendaten. Durch das Eindringen in diese Unternehmen können Hacker sensible Daten wie beispielsweise Kreditkartendaten auf dem Schwarzmarkt zu Geld machen", warnt Philipp Jacobi, Sicherheitsexperte bei der NTT-Tochter Dimension Data in Deutschland.

Knapp zwei Drittel der Angriffe gingen demnach von Internetadressen in den USA aus. Diese IP-Adressen können sich jedoch überall auf der Welt befinden. "Hacker nutzen kostengünstige, hochverfügbare und geografisch strategische Infrastrukturen für ihre Attacken", berichtet Jacobi. 2013 hatten 49 Prozent der Cyberangriffe auf IP-Adressen ihren Ursprung in den USA, 2014 waren es 56 Prozent und 2015 alarmierende 65 Prozent in insgesamt 217 Ländern, in denen Angriffe festgestellt wurden. Auf Deutschland entfielen demnach allerdings gerade einmal 2 Prozent der globalen Angriffe.

Erpressungen per DDoS-Angriffe

Laut Sicherheitssoftwareanbieter Kaspersky Lab ist jedes sechste Unternehmen weltweit Opfer einer so genannten DDoS-Attacke, kurz für "Distributed Denial of Service". Bei einer solche Attacke senden gekaperte Rechner zunächst massenhaft Anfragen an einen Webshop oder eine Website. Deren Server bricht unter der Last zusammen. Anschließend schicken Erpresser eine Lösegeldforderung. Zahlt der Unternehmer nicht, kommen weitere, heftigere Attacken. Laut Kaspersky kostet ein DDoS-Angriff ein mittelständisches Unternehmen im Schnitt rund 44.000 Euro.

Die meisten Attacken richteten sich der Studie "Denial of Service" zufolge gegen externe Ressourcen – so habe knapp die Hälfte der befragten Unternehmen Angriffe auf öffentliche Firmenwebseiten bestätigt. 38 Prozent hätten eine DDoS-Attacke auf Kundenportale und Login-Seiten und 37 Prozent auf Kommunikationsdienste beklagt. Bei einem Viertel hätten Transaktionsdienste unter DDoS-Beschuss gestanden.

Die Studie zeige aber, dass auch interne Web-Ressourcen von derlei Attacken betroffen sind: Gut jeder vierte Befragte bestätigte Angriffe auf Dateiserver, 15 Prozent auf geschäftskritische Server und weitere 15 Prozent geben an, dass die Verbindung zum Internetnetzwerk angegriffen wurde.

Überlastungsangriffe einfach durchzuführen

"Man muss DDoS-Angriffe sehr ernst nehmen: Sie sind relativ einfach durchzuführen und haben gleichzeitig einen weitreichenden Effekt auf die Unternehmenskontinuität", sagt Evgeny Vigosky, Leiter DDoS-Protection bei Kaspersky Lab. "Unsere Studie zeigt, dass DDoS-Angriffe Auswirkungen wie Ausfall der Webseite, Reputationsschaden oder unglückliche Kunden zur Folge haben."

Hinzu komme: Auch interne Systeme eines Unternehmens seien betroffen. "Es spielt keine Rolle, wie klein ein Unternehmen ist oder ob es über eine Webseite verfügt. Wer online unterwegs ist, ist ein potentielles DDoS-Opfer", so das Fazit von Vigosky.

Sybille Wilhelm

Der Artikel ist in der aktuellen Ausgabe von Der Handel erschienen. Zum kostenfreien Probeexemplar geht es hier. Lesen Sie Der Handel auch auf dem iPad.

Eine Checkliste mit Tipps für den Umgang mit Attacken finden Sie auf der nächsten Seite

Vor dem Angriff

  • Sicherheitsstrategie erarbeiten, bei Bedarf mit externen Dienstleistern.
  • Mitarbeiter schulen
  • Klare Rollen- und Pflichten für den Fall der Fälle festlegen.
  • Mitarbeiter für Sicherheitsrisiken sensibilisieren: Am Arbeitsplatz, zu Hause, bei der Nutzung von Privatgeräten
  • Überprüfen, ob Kontroll- und Beobachtungssoftware („Monitoring“) an den richtigen Stellen der IT-Infrastruktur eingesetzt wird.
  • Notfallplan erarbeiten. (U.a. Liste der zuständigen Personen und deren Erreichbarkeit).
  • Kommunikationskonzept für den Notfall erstellen.

Während des Angriffs

  • Notfall-Teams im eigenen Unternehmen und bei deinen Dienstleistern informieren.
  • Angriffspunkt und das Angriffs-Tool ermitteln und Abwehrprozess einleiten.
  • Bei einer Erpressung umgehend die Polizei verständigen.
  • Nicht auf Erpresser-Mails antworten, kein Lösegeld bezahlen.
  • Angriff Schritt für Schritt dokumentieren.
  • Kunden und Geschäftspartner über den Angriff informieren.

Nach dem Angriff

  • Vorfall untersuchen: Schäden und System-Reports analysieren.
  • Angriffspunkt finden, um diesen Fehler künftig zu vermeiden.
  • Sicherheitsarchitektur optimieren.
  • Kunden (eventuell auch die Press) über relevante Details informieren. Kundensoorgen ernst nehmen. Prüfen, ob eine Marketingkampagne hilfreich sein kann, um enttäuschte Kunden zurückzugewinnen.
  • Alle relevanten Unterlagen für mögliche polizeiliche Ermittlungen bereit halten