Die angeblich aus der Ukraine stammende Attacke mit dem Namen NotPetya erwischte einige deutsche Unternehmen, darunter der Beiersdorf-Konzern im letzten Jahr kalt. Über das automatische Update einer Buchhaltungssoftware wurde der Trojaner auf die Firmenrechner geschmuggelt und legte sie dann reihenweise lahm. Die US-Cybersicherheitsfirma CrowdStrike warnt jetzt davor, dass Netzangriffe über automatische Software-Updates zunähmen, Unternehmen in Deutschland die Gefahr dieser neuen Angriffsmethode aber erheblich unterschätzten würden.
Firmen haben bei Software-Updates Wahl zwischen Pest und Cholera
Das ist das Ergebnis einer weltweiten Studie unter 1300 IT-Entscheidern und Sicherheitsexperten, aus der der „Spiegel“ zitiert. Sebastian Schreiber, Gründer der Tübinger Hacker-Firma Syss, die selbst die IT-Sicherheit in vielen Unternehmen überprüft, wollte auf Anfrage des Bayerischen Rundfunks den steigenden Trend zwar nicht bestätigen. Das Problem darf man seiner Ansicht nach aber auf keinen Fall unterschätzen. Die Firmen würden hier in einem großen Dilemma stecken, so Schreiber. Sie müssen demnach den Softwarelieferanten und deren Updates vertrauen, da sonst Sicherheitslücken in der Firmen-IT, die immer wieder auftauchen, nicht geschlossen werden können. „Es ist die Wahl zwischen Pest und Cholera.“, so Schreiber.
Deutsche Unternehmen nicht wirklich gut vorbereitet
Das einzige was die IT-Abteilungen tun können, ist laut Schreiber, sich das Problem bewusst zu machen, um im Notfall möglichst schnell reagieren zu können. Hier sind die deutschen Firmen womöglich aber noch nicht wirklich gut aufgestellt. Laut CrowdStrike-Studie sind sich weltweit 80 Prozent der Unternehmen darüber im Klaren, dass die Sicherheit von Software-Updates ein entscheidender Faktor für Cyber-Attacken ist; in Deutschland beträgt dieser Anteil nur 67,5 Prozent. Laut CrowdStrike konzentriert man sich hierzulande zu sehr auf die klassischen Angriffsmethoden wie Phishing oder Ransomware.
Hacker bleiben 12 Stunden unentdeckt
Auch bei der Reaktionszeit auf die Angriffe sind die deutschen Firmen der Studie zufolge im weltweiten Vergleich nur Mittelklasse. Im Durchschnitt könnten Hacker zwölf Stunden unentdeckt auf die IT-Systeme der Unternehmen zugreifen, heißt es. Laut CrowdStrike sind Unternehmen womöglich deshalb so anfällig, weil sie ihre Partner und Lieferanten von Software nicht genügend prüfen, bevor sie mit ihnen eine Kooperation eingehen. Der deutsche Sicherheits-Profi Sebastian Schreiber sieht dagegen den Gesetzgeber in der Pflicht. Die Rechtslage muss seiner Ansicht nach so geändert werden, dass die Software-Lieferanten für ihre Updates zur Verantwortung gezogen werden können.