Studie zu Hackerangriffen Deutsche Firmen unterschätzen Gefahr durch Software-Updates

Unternehmen in Deutschland haben laut einer neuen Studie vor allem klassische Angriffsmethoden von Hackern im Blick. Auch bei der Reaktionszeit auf Attacken sind andere Länder besser aufgestellt.

Mann tippt auf Laptop-Tastatur
DPA

Mann tippt auf Laptop-Tastatur

Von


Die Angreifer waren geschickt vorgegangen: Sie hatten das schädliche Programm im automatischen Update einer Buchhaltungssoftware versteckt. Schnell hatte sich der Krypto-Trojaner im Juni vergangenen Jahres von der Ukraine aus, der offenbar der Angriff vorrangig galt, weltweit verbreitet und Schäden in Milliardenhöhe angerichtet.

Auch deutsche Unternehmen wie Beiersdorf waren von der sogenannten NotPetya- oder Wiper-Kampagne betroffen. Geheimdienste aus den USA und Großbritannien machten daraufhin staatliche Stellen in Russland für die Attacke verantwortlich, was die russische Regierung vehement bestritt.

Die US-Cybersicherheitsfirma CrowdStrike warnt jetzt davor, dass Cyberangriffe über automatische Software-Updates zunehmen, Unternehmen in Deutschland die Gefahr dieser neuen Angriffsmethode aber erheblich unterschätzten. Das ist das Ergebnis einer weltweiten Studie, die am heutigen Montag veröffentlicht wird und die dem SPIEGEL vorab vorlag.

1300 Entscheider und Experten befragt

Für die Untersuchung hatte ein Marktforschungsunternehmen im Auftrag von CrowdStrike 1300 führende IT-Entscheider und Sicherheitsexperten in den USA, Kanada, Großbritannien, Mexiko, Australien, Japan, Singapur und Deutschland befragt.

Während sich weltweit 80 Prozent der Unternehmen darüber bewusst sind, dass die Sicherheit von Software-Updates ein entscheidender Faktor für Cyberattacken ist, sind es in Deutschland nur 67,5 Prozent. "Die steigende Gefahr von Angriffen auf die Software-Lieferkette wird hierzulande unterschätzt", sagt Sven Welschen von CrowdStrike. "Im Bewusstsein sind hauptsächlich die klassischen Angriffsmethoden wie Phishing oder Ransomware. Es fehlt an Zeit und Wissen, um sich auf die neuen Sicherheitslücken einzustellen, gedanklich und technisch."

Cyberangriffe gehören zum Alltag von Unternehmen, auch das macht die Studie deutlich. 97 Prozent der Befragten haben in den letzten zwölf Monaten mindestens einen Cyberangriff erlebt, unter anderem per Phishing, Ransomware, Hacking oder DDOS-Attacke.

Eine Stunde und 58 Minuten reichen

Die Attacken auf die Software-Lieferkette sind dabei besonders teuer: Ein einziger Angriff verursache im Durchschnitt einen Schaden von einer Million Dollar, berichteten die deutschen Unternehmen.

Bei der Reaktionszeit auf die Angriffe liegen die deutschen Firmen nach der Studie im weltweiten Vergleich nur im Mittelfeld. Im Durchschnitt können demnach Hacker zwölf Stunden lang unbehelligt auf die IT-Systeme der Unternehmen zugreifen, bevor sie von Mitarbeitern der IT-Sicherheit entdeckt werden. In dieser Zeit richten sie für gewöhnlich enormen Schaden an. Im Jahr 2017 brauchte ein Angreifer durchschnittlich nur eine Stunde und 58 Minuten, um zu den begehrten kritischen Systemen im Netzwerk vorzudringen.

Ein Grund für die Verwundbarkeit der Unternehmen könnte sein, dass sie ihre "Partner und Lieferanten von Software nicht genügend prüfen, bevor eine Kooperation stattfindet", sagt Sven Welschen von CrowdStrike. "Damit haben sie weder ein klares Bild von der Art des Angriffs noch einen Überblick über die Situation."

Video: Cyber-Angriffe in der Industrie

SPIEGEL TV
Mehr zum Thema Hacker


insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
GoaSkin 23.07.2018
1.
Das eigentliche Problem ist, dass die Firmen ihre IT immer weniger selbst in die Hand nehmen und sich stattdessen nur noch überlegen, welche externen Fertiglösungen für sie in Betracht kommen - statt einmal wie früher wieder eine eigene Serverlandschaft zu pflegen und zumindest Teile der im Unternehmen genutzten Software auch selbst zu entwickeln. Hauptsache billiger, egal ob es am Ende teuer kommt.
Gerdd 23.07.2018
2. Schon seit langem habe ich mich gefragt ...
... wann mal einer auf die Idee kommt, daß die ewigen Sicherheitsupdates das ideale Einfallstor für Viren und dergleichen darstellen. Mich jedenfalls wundert's nicht.
stereotyp72 23.07.2018
3. kaum eigene Lösungen
Die Entscheider sind meist einem Markenwahn verfallen und wollen immer die Lösung vom jeweiligen Marktführer. Dabei sind das nahezu immer Closed-Source-Lösungen, die niemand überprüfen kann. Bei Open-Source hat man zumindest die Möglichkeit den Code mit Tools zu prüfen und selbst zu kompilieren. Noch einfacher wären überschaubare Scripte, die ohnehin nur aus Text bestehen, den man sich im Editor ansehen und nach verdächtigen Funktionen durchsuchen kann.
hr.lich-daemlich 23.07.2018
4. Sowas kommt von sowas
Da in den 90ern der Hype da war und für teuer Geld mäßige IT Administratoren eingestellt wurden, die dann in der Bilanz nur Kosten waren, hat man hier einfach die Leute zu besseren Hausmeistern degradiert. Schön war es zum Beispiel mal ein Haus zu verkabeln, aber bitte nicht komplett, kostet nur unnötig. Bis, ja bis man noch ein Büro in dem Haus mit IT braucht und dann Wurfleitungen von einem zum nächsten Büro bestehen. Einen ordentlichen Switch oder Router bekommt man auch nicht für wenig Geld und die Expertise schon gar nicht. Da wir aber immer noch Entwicklungsland in der Hinsicht sind, konnten und können uns die großen Player weiter gut ausgebildete Leute abwerben, da hier einfach nicht die Löhne gezahlt werden. Hier, wo Homeoffice immer noch Telearbeit heißt und immer noch nicht so reguliert ist, dass sie von Arbeitgebern angeboten wird. In einem Land wo man von IT redet, aber in den Dokumenten und Gesetzen immer noch EDV steht. Mir reicht es schon zu sehen, dass viele Leute sich auf die automatische Verbesserung von Software verlassen, obwohl es auch nicht so lange her ist, dass auch mal Updates das eine oder andere ganze Unternehmen lahm gelegt hat, weil es fehlerhaft war.
quark2@mailinator.com 23.07.2018
5.
Auch wenn ich da mal wieder quer zum Mainstream liege - ich halte automatische Updates am Arbeitsplatz für nicht zu rechtfertigen. Soweit ich es kann, schalte ich die ab und entscheide dann jeweils, was ich einspiele und was nicht. So habe ich z.B. nie eine Aufforderung gesehen, auf Win10 zu upgraden, auf zig unterschiedlichen Maschinen und die waren nicht alle Linux. Eine Welt, wo alle PCs auf exakt dem gleichen Softwarestand sind - vernetzt und mit Autoupdate ist so in etwa das einzige Szenario wo ein einzelner Virus es schaffen kann, wirklich alles auf einmal lahm zu legen. Monokulturen sind immer hochgradig anfällig. Naja und natürlich sollten wichtige Dinge gar nicht erst am Netz sein, aber das ist ein anderes Thema.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.