Homeoffice bietet Angriffsfläche – so oft schlagen Hacker zu

Berlin.  Die Corona-Krise bringt einen dramatischen Anstieg von Hacker-Angriffen. Verbrecher nutzen dafür auch Schwachstellen im Homeoffice.

Coronavirus: So kann ich im Homeoffice gut arbeiten

Von zu Hause aus arbeiten: Manche lieben es, andere müssen es. Wir haben fünf Tipps zusammengestellt, wie sie im Homeoffice mindestens genauso produktiv sind wie im Büro.

Beschreibung anzeigen

Corona treibt die Digitalisierung der deutschen Wirtschaft voran. Wer will, kann und darf, arbeitet gerade zu Hause. So schützen die Unternehmen sich und ihre Mitarbeiter. Notgedrungen riskieren sie mit dem Homeoffice aber mehr denn je, von Hackern lahmgelegt zu werden – durch sogenannte DDoS-Angriffe.

„DDos“ steht für „Distributed Denial of Service“. Solche Angriffe haben nur ein Ziel: die mutwillige Überlastung eines Systems, Zerstörung pur. Der Datenzugang wird zugemüllt, verstopft, bis ein Netzwerk zusammenbricht. Die Zahl solcher Angriffe stieg im April um 85, im Mai um 108, im Juni um 97 Prozent. Das geht aus dem Link11-Report für das erste Halbjahr hervor. Was sich im ersten Quartal abzeichnete, wovor Experten gewarnt hatten, was vielfach vermutet wurde, das lässt sich nun belegen.

Link11 ist der größte IT-Sicherheitsanbieter in Europa und in Deutschland neben der Telekom wohl der genaueste Seismograf für Cyber-Attacken. In dieser Woche will Link11 den Report über das erste Halbjahr vorlegen und einen Ausblick wagen: „Das Homeoffice wird für viele Unternehmen weiterhin ein großes Risiko darstellen.“ Die Unternehmen seien „verwundbarer, absolut“, warnt Geschäftsführer Marc Wilczek im Gespräch mit unserer Redaktion.

Hacker-Angriffe werden häufiger und stärker

Ein mittelständischer Betrieb hat eine Datenanbindung mit einem Volumen von vielleicht einem Gigabit (Gbps) pro Sekunde, ein Dax-Unternehmen mit bis zu zehn Gbps. Der größte DDoS-Angriff, den Link11 im ersten Halbjahr stoppt, kommt mit einer Wucht von 406 Gbps. Trifft ein solcher Daten-Tsunami auf eine Firma, dann ist Holland in Not.

Solche Attacken sind alltäglich. Die wenigsten, nämlich 18, wehrt Link11 am 19. Februar ab, die meisten am 7. Juni, immerhin 238. Sie werden zu jeder Tages- und Nachtzeit gestartet, vor allem zu den Randzeiten und am Wochenende. Dann sind die Administratoren oft im Feierabend oder bloß in Rufbereitschaft.

Bei knapp 500 Attacken liegt das Angriffsvolumen über 50 Gbps und somit weit über der Außenanbindung der meisten Unternehmen. Der längste DDoS-Angriff dauert 1390 Minuten, ganze 23 Stunden. „Es gibt einen ganz eindeutigen Trend: Die durchschnittliche Angriffsgröße steigt“, warnt Fachmann Wilczek.

Bei einem Angriff am 16. Mai benutzen die Hacker 14 Techniker und ballern ihr Opfer zwölf Minuten lang mit Unmengen an Daten aus acht Staaten in drei Kontinenten zu. Wilczek glaubt, dass die „Angriffe überproportional“ wachsen werden und dass zu viele Unternehmen das „gnadenlos unterschätzen“. Der Report macht eine „Renaissance der DDoS-Angriffe“ aus.

• Mehr zum Thema: Studie: Homeoffice verringert den Stress – und ist beliebt

Corona-Krise und Verlagerung ins Homeoffice macht Netzwerke anfälliger

Zu Beginn der Pandemie werden innerhalb von Tagen Millionen Arbeitsplätze ins Homeoffice verlagert. Der Internetverkehr steigt zwischen Anfang Februar und Mitte April 2020 weltweit um 40 Prozent. Viele Firmen arbeiten am IT-Limit. Wenn die Datenlast groß ist, „reichen bereits kleinste Angriffe, um Unternehmen und ihre Homeoffice-Pläne auszuschalten“, heißt es im Report. In Covid-19-Zeiten konzentrieren sich Angreifer auf VPN-Server. Sie sind das Tor zu einem Firmennetzwerk. Ein sorgfältiger Angriff könne einen VPN-Server oder eine Firewall zum Absturz bringen.

Spätestens hier ist der Zeitpunkt gekommen, die Sinnfrage zu stellen. Warum? „Unternehmen sind angeschlagen, konkurrieren beim Online-Handel international. Und auch hier kommt es vor, dass ein Wettbewerber zu diesem Mittel gegen einen Konkurrenten greift“, erläutert Pascal Michel, Krisenberater der Münchner Firma Smart Risk Solutions.

Es gibt auch Mitarbeiter, die sich an ihrer Firma abarbeiten, sie schädigen – und Aktivisten, die den politischen Straßenkampf ins Netz tragen. Aber die stärkste Motivation ist Geld, Lösegeld. Wer nicht zahlt, riskiert einen Angriff. Wobei eine Analyse der DDoS-Erpressung laut Michel auch immer wieder zeigt, „dass es sich um einen Bluff handelt. Die Täter hoffen, dass das Opfer schnell bezahlt – ohne Prüfung der Fähigkeit des Täters für den Angriff.“

• Mehr zum Thema: Homeoffice im Hotel oder Ferienhaus? Was erlaubt ist

Bundesamt für IT-Sicherheit warnt vor „erhöhtem Bedrohungsrisiko“

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einem „erhöhten Bedrohungsrisiko“ durch Cyber-Angriffe gewarnt. „Im Laufe der Pandemie haben wir eine Zunahme insbesondere von Phishing-Angriffen auf Unternehmen und Bürger beobachtet“, sagte BSI-Präsident Arne Schönbohm unserer Redaktion.

Cyber-Kriminelle nutzten als Aufhänger für neue Angriffsvarianten gerne besondere, öffentlichkeitswirksame Anlässe oder Ereignisse wie Corona. „Die Täter fordern ihre Opfer etwa auf, persönliche oder unternehmensbezogene Daten auf gefälschten Websites im Namen von Banken oder vermeintlichen öffentlichen Stellen, zum Beispiel im Zusammenhang mit der Beantragung von Soforthilfegeldern, preiszugeben, um diese Informationen anschließend für kriminelle Aktivitäten zu missbrauchen“, erläuterte Schönbohm. Auch das BSI habe DDoS-Attacken auf Unternehmen registriert.

• Mehr Infos zu Hacker-Angriffen:

Hacker-Angriff bei Twitter: US-Polizei nimmt Teenager fest

Instagram-Account von Autobauer Mercedes Benz gehackt

Sicherheitslücke in Samsung-Handys ermöglicht Überwachung

Hacker nutzen DDoS-Angriffe als Ablenkungsmanöver – und stehlen Daten

In der listigsten Variante ist DDoS ein Ablenkungsmanöver. Die Angreifer halten die IT-Abteilung einer Firma unter Stress. Ihr eigentliches Anliegen ist, im toten Winkel der System­administratoren Schadstoffsoftware zu installieren oder Daten abzugreifen. Zum Beispiel 500 Millionen Gästedaten der Hotelkette Marriott. Drei Jahre lang wurde ihr Buchungssystem angezapft. Wohl jeder war schon mal Gast in einem Hotel, hat Namen, Adresse, PAN-Nummer hinterlegt und die Rechnung mit seiner Kreditkarte bezahlt. Solche Datensätze nennt Wilczeck „das Plankton“, weil sie der Anfang einer Nahrungskette sind.

Im Darknet werden die Datensätze für 50 Cent bis zwei Dollar verkauft. Mit ihnen können Kriminelle Cloud-Konten unter falschen Namen eröffnen und sie für sechs bis zehn Dollar anbieten. Wer eine DDoS-Attacke fahren will, macht es von solchen gefakten Clouds aus. „Bisweilen reichen schon zwei Minuten, um Schaden auszurichten.“ Clouds sind Rechenzentren, in denen Kunden ihre Daten speichern. Den Angriff vom 16. Mai konnte Link11 auf Clouds von AWS und Microsoft Azure zurückverfolgen.

„Für DDoS-Angreifer ist der Missbrauch von Cloud-Diensten in den vergangenen Jahren Normalität geworden. Der Anteil von DDoS-Attacken – ausgeführt über Cloud-Server – lag im ersten Halbjahr durchschnittlich bei 47 Prozent“, so der Link11-Report. „Wenn die Angriffe beendet sind, stellt der Hacker die Server wieder ab und setzt alles auf null zurück. Am Monatsende erleben die Unternehmen mit der Kreditkartenabrechnung für ihren Cloud-Service eine böse Überraschung in Form von deutlich höheren Abrechnungsbeträgen.“

17-jähriger Hacker soll hinter Bit-Con-Angriff auf Twitter stehen
17-jähriger Hacker soll hinter Bit-Con-Angriff auf Twitter stehen

Die einen bauen Deiche, die anderen besorgen Sturmfluten

Die Server sind weltweit verteilt. Zu den wichtigsten Quellenländern für DDoS-Angriffe zählen die USA, China und Russland, im ersten Halbjahr zunehmend auch Frankreich. Der Angreifer kann aber woanders sitzen und seine Attacke verschleiern.

Wenn Wilczek in die Zukunft schaut, sieht er zwei Gefährdungen. Da sind zum einen die sogenannten smarten Geräte, die mit dem Internet der Dinge verbunden sind und von Kriminellen manipuliert werden könnten, auch um sie sich für Angriffe nutzbar zu machen. Da ist zum anderen das 5G-Netz. Das werde zu stärkeren Angriffen führen.

Unternehmen sind nicht schutzlos. Sie können ihre Außenanbindung ausbauen, um Angriffe mit größerem Volumen besser zu verkraften. Sie können auf künstliche Intelligenz (KI) setzen. Sie arbeiten an höheren Deichen – ihre Angreifer an größeren Sturmfluten.

Mehr Infos zur Coronavirus-Pandemie:

Kommentar-Profil anlegen
*Pflichtfelder