Die meisten von uns bräuchten mehrere Leben, um eine berufliche Vita wie Haya Shulman vorweisen zu können. Die israelische Expertin für Netzwerk- und Computersicherheit ist Professorin am Lehrstuhl für Informatik der Johann-Wolfgang-Goethe-Universität Frankfurt am Main, wissenschaftliche Leiterin des Fraunhofer-Projektzentrums für Cybersicherheit und Gastprofessorin an der Hebräischen Universität Jerusalem, Initiatorin und Leiterin des Deutsch-Israelischen Partnership Accelerator Programms GIPA in Darmstadt und Jerusalem, Missionsleiterin des Nationalen Forschungszentrums für angewandte Cybersicherheit Athene.

Und sie ist Leiterin der Abteilung Cybersecurity Analytics and Defences (CAD) am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt. Vor allem in dieser Rolle sprach sie zu den Teilnehmern der Hamburger IT-Strategietage über Cyberangriffe, ihre Hauptursachen, mögliche Gegenmaßnahmen - und welchen Beitrag ihr Fraunhofer Institut dazu leisten kann.

Cyberattacken: Niemand darf sich sicher fühlen

Wichtigste und erschreckende Erkenntnis daraus ist, wie leicht es Angreifern oft gemacht wird, und wie einfach es wäre, sich besser vor Attacken zu schützen. Und dass sich niemand sicher fühlen sollte, alle Organisationen und Unternehmen hätten Probleme mit Cybersicherheit, betonte Shulman, und alle würden angegriffen.

Dass diese Fälle zuletzt zugenommen haben - allein in Deutschland gab es seit Anfang 2023 mehr als 400 Ransomware-Attacken - habe mehrere Ursachen. Das sind zunächst die Corona-Pandemie und der Krieg in der Ukraine. Es sind Krisenzeiten, in denen mehr Kriminelle als je zuvor Cyberangriffe als Geschäftsmodell für sich entdeckten. Zweite Ursache - so Shulman - ist die rasante Zunahme von hybriden Infrastrukturen und Cloud-Architekturen, "weil sich dadurch die Angriffsfläche deutlich vergrößert."

Wobei lediglich drei (!) Prozent der Zugriffe gezielt über Schwachstellen der Systeme erfolgen. Viel häufiger geschieht das schlicht über erbeutete Passwörter. Das sind Fälle, in denen es anschließend für das Eindringen in die betreffende Infrastruktur keiner speziellen Kenntnisse mehr bedarf. Gerade in den zurückliegenden beiden Jahren, darauf weist Shulman hin, gab es sehr viele solcher Angriffe. Auch Unis wurden auf diese Weise attackiert, zum Beispiel in Zürich und in Graz.

Am erfolgreichsten sind Attacken, die lange unbemerkt bleiben

Abgegriffen werden Passwörter häufig über sogenannte Infostealer, kleine Programme, die auch Kreditkartennummern erbeuten können. Auf fremde Rechner gelangen sie über Dropbox und andere Cloud-Speicher ober über Fake-Webseiten, die zum Beispiel falsche Acrobat-Reader zum Download anbieten.

Problematisch ist natürlich auch die Verwendung bekannter oder allzu schlichter Passwörter, die sich sehr leicht leaken lassen. Nicht selten werden diese anschließend über Tage oder Wochen im Darknet zum Kauf angeboten. Und je länger ein Password in den Händen von Gangstern ist, desto höher die Wahrscheinlichkeit für gezielte und erfolgreiche Angriffe. "Je schneller Organisationen bemerken, dass sie angegriffen wurden, desto besser für sie", betont Haya Shulman. "Am erfolgreichsten sind immer Attacken, die lange unbemerkt bleiben."

Ihre Tipps für besseren Schutz klingen banal, werden aber noch immer viel zu selten befolgt: Keine einfachen, naheliegenden Passwörter verwenden und dasselbe nicht mehrfach, sondern komplexe Kombinationen aus Zahlen, Buchstaben und Sonderzeichen. Darüber hinaus empfiehlt die Sicherheitsexpertin MFA, also eine Multifaktor-Authentifizierung, die über das Passwort hinaus weitere Faktoren prüft, bevor sich die Türen zum System öffnen.

Wo sind Schnittstellen, die attackiert werden können?

Natürlich sollten sich Organisationen auch mit potentiellen Schwachstellen beschäftigen und sie nach Möglichkeit beseitigen. Haya Shulman nennt zunächst die eigene Infrastruktur. Sie wirklich zu kennen, sei keineswegs banal. Noch komplexer ist natürlich der Blick auf die Lieferkette und sich daraus ergebende Fragen. Mit welchen Dienstleistern arbeite ich zusammen? Wo sind die Schnittstellen, über die sich Angreifer eventuell Zugang verschaffen können?

Wer sie erfolgreich schließen will, muss Prioritäten setzen, etwa entscheiden, welche Anwendungen in der Cloud sicher aufgehoben sind und welche eher On Premise. Wichtig ist laut Shulman auch die Auswahl des richtigen IT-Dienstleisters. Infrastrukturen, die von externen Profis gemanagt werden, seien häufig sicherer als selbst verwaltete. "Deshalb sind auch die Systeme vieler Unis sicherer als die von Unternehmen mit großen eigenen IT-Abteilungen", so eine Lehre aus ihrer Arbeit.

Wobei es auch dort keinerlei Garantien gebe. Der amerikanische IT-Dienstleister Okta - die Firma betreut unter anderem Fedex und T-Mobile - sei 2022 mindestens zweimal angegriffen worden. Dass diese Attacken bekannt wurden belegt, dass sie zumindest partiell erfolgreich waren.

"Jedes System ist verwundbar", betont 4Shulman zum Abschluss ihres Vortrags noch einmal. Um sich zu schützen, komme es für Unternehmen vor allem darauf an, die eigenen Strukturen zu kennen. Zu wissen "was sie alles irgendwann mal installiert haben." Und genau an dieser Stelle kann das Fraunhofer Institut SIT in Darmstadt gezielt helfen. "Wir decken Schwachstellen auf und entdecken Probleme, bevor sie eskalieren."