Datenlecks, IT-Sicherheit und digitale Forensik

Von Roland Pucher, BDO Senior Manager Risk & Advisory | 28. Juni 2019

Der Wirtschaftsschutz, wie bereits im ersten Beitrag1 erwähnt, berichtet proaktiv im Sinne eines Risiko-Monitorings über aktuelle Bedrohungen aus der Cyberdomäne, die eine Gefahr für die Reputation oder Geschäftsfähigkeit von Unternehmen bzw. deren Stakeholdern darstellen. Angriffe wie Datendiebstahl, Erpressung, Sabotage oder Spionage sind in der analogen Welt hinreichend bekannt, werden aber mittlerweile mithilfe digitaler Hilfsmittel anonymer, kostengünstiger und im globalen Ausmaß durchgeführt. Die Ziele der Angreifer sind nicht länger nur die großen Player, mittlerweile stehen auch KMU vermehrt im Fokus. Üblicherweise werden die unterschiedlichsten Bedrohungsszenarien in der Cyberdomäne auf die drei Segmente „Technik“, „Mensch“ und „Prozesse“ umgelegt.

Im Fachbereich Cyber Security beschäftigen wir uns mit der Identifikation konkreter Bedrohungen und den zur Behandlung notwendigen Maßnahmen. Die Priorisierung der Bedrohungen erfolgt anhand von Risikoklassen, sodass unsere Kunden einfach konkrete Entscheidungen treffen können. Besonders in diesem Fachbereich kann uns Wirtschaftsschutz unterstützen bzw. zuarbeiten. So sind beispielsweise nicht alle Datenlecks („Data Breaches“) für Unternehmen in Österreich im gleichen Maße relevant. Um die Auswirkungen auf das jeweilige Unternehmen beurteilen zu können, müssen zunächst gezielte Recherchen in speziellen Untergrundforen („Dark Web“) durchgeführt und die Daten des Datenlecks beschafft werden. Anbei drei aktuelle Beispiele aus dem Jahr 2019:

  • Beim „Bundestaghack“ wurden Informationen von deutschen Persönlichkeiten öffentlichen Interesses (z.B. Abgeordnete zum Bundestag, Journalisten und Parteifunktionäre) im Internet veröffentlicht. Diese Informationen sind für ein typisches KMU in Österreich nicht wirklich relevant.

  • Beim „CITYCOMP-Datenleck“, dem Datenleck eines deutschen IT-Dienstleisters, wurden im Dark Web beispielsweise Instruktionen für die Administration und Konfiguration von Linux-Registrierkassen veröffentlicht. Unsere Recherchen ergaben, dass diese Kassensysteme auch bei einem österreichischen Handelskonzern verwendet werden.

  • Beim Datenleck „Collection #1 – #5“ (plus weitere Anhänge) sind augenscheinlich Benutzernamen, E-Mail-Adressen und Passwörter ohne Zusammenhang wirr gesammelt worden. Es ist die bisher größte veröffentlichte Sammlung an Zugangsdaten, mit einer Datenmenge von ca. 1 Terrabyte (1000 Gigabyte).     

Im Fachbereich Cyber Security können wir große Datenmengen unstrukturierter Daten wie z.B. „Collection #1 – #5“ IT-forensisch aufarbeiten, um daraus wichtige Erkenntnisse für unsere Kunden & Partner zu gewinnen. So konnten wir beispielsweise 32 Mio. Datensätze mit Österreichbezug, über 4 Mio. E-Mail-Adressen von österreichspezifischen Domänen und an die 3 Mio. Passwörter in der Gesamtdatenmenge von ca. 1 Terrabyte identifizieren. Besonders solche Informationen unterstützen IT-Verantwortliche vor Ort, damit Empfehlungen und Maßnahmen umgesetzt werden können.

Der richtige Umgang mit IT-Sicherheitsvorfällen – wie z.B. Datenlecks oder Hacking-Angriffe - spielt eine wichtige Rolle. Durch die koordinierte Durchführung eines sogenannten „Incident Response“-Prozesses unterstützen wir Unternehmen in der kritischen Zeit nach dem Entdecken bzw. Auftreten eines IT-Sicherheitsvorfalls. Wir unterstützen ganzheitlich z.B. bei der Koordination der Projektmitglieder, der Identifikation von Sofortmaßnahmen, der technischen Aufarbeitung des Sachverhalts, der Kommunikation mit Behörden bis hin zur Rückführung in den Normalbertrieb. Dieser Prozess unterscheidet sich von weiteren IT-forensischen Prozessen, wie sie beispielsweise zur Aufarbeitung von dolosen Handlungen, kartellrechtlichen Untersuchungen oder anderen Vorfällen zum Einsatz kommen.

Proaktive Sicherheitsmaßnahmen wie regelmäßige Lageberichte, Cyber-Security-Planspiele mit Schlüsselpersonal bzw. regelmäßige technische und organisatorische Schwachstellenanalysen bilden die optimale Symbiose mit technischen Sicherheitsmaßnahmen (Firewall, Spamfilter, Antivirus etc.).

Schlussendlich ist zu sagen, dass Wirtschaftsschutz und Cyber Security präventiv bei der schrittweisen Verbesserung der Cyberabwehr unterstützen. In vielen Fällen ist das Ziel der Angreifer Lösegeld zu erpressen oder andere Schwächen auszunutzen, um mit möglichst wenig Aufwand ihr Ziel zu erreichen. Gut geschützte und vorbereitete Unternehmen werden seltener Opfer eines Cyberangriffs, da sich Angriffe primär auf „Low Hanging Fruits“ (also einfache, schlecht geschützte Ziele) konzentrieren.

Don’t be a Low Hanging Fruit!