05 / 2024
Die Fachzeitschrift ORTHOPÄDIE TECHNIK ist die maßgebliche Publikation für das OT-Handwerk und ein wichtiger Kompass für die gesamte Hilfsmittelbranche.
Die Fachzeitschrift ORTHOPÄDIE TECHNIK ist die maßgebliche Publikation für das OT-Handwerk und ein wichtiger Kompass für die gesamte Hilfsmittelbranche.
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Digitalisierung<br />
Angreifer haben leichtes Spiel<br />
KI-generiertes Bild, Tool: DALLE<br />
Wenn ein Ransomwareangriff erfolgreich war, zählen häufig<br />
Minuten, um den Schaden gering zu halten.<br />
Für Schemberger ist es wichtig zu betonen, dass sich die<br />
Entscheider nicht vor dem Thema Cybersicherheit drücken,<br />
weil das Feld so immens groß ist. Vielmehr solle man<br />
an einem Punkt gezielt starten und sich dann sukzessive<br />
vorarbeiten. Ein erfolgreicher Cyberangriff kann schließlungen<br />
ist, wird dieser Zugang auf dem Schwarzmarkt verkauft.<br />
Dabei gibt es drei große „Geschäftsmodelle“. Das<br />
erste Modell ist die Verschlüsselung der Daten. Dies ist die<br />
Folge eines Ransomwareangriffs. Das betroffene Unternehmen<br />
bekommt erst wieder Zugriff auf seine Daten und<br />
technische Infrastruktur, wenn es eine Geldsumme an<br />
die Kriminellen bezahlt. Der Angriff auf Medi im August<br />
2022 ist vielen aus der Branche noch bestens im Gedächtnis,<br />
legten die Angreifer doch die gesamte Produktion des<br />
Bayreuther Herstellers lahm. Das zweite Modell ist, dass der<br />
Angreifer die vorhandene Infrastruktur für illegale Aktivitäten<br />
nutzt. Das bedeutet, dass die eigenen Rechner beispielsweise<br />
Teil eines Bot-Netzwerks werden. Ein Botnetz,<br />
kurz für „Roboternetzwerk“, ist eine Sammlung von internetverbundenen<br />
Geräten, die ohne das Wissen ihrer Besitzer<br />
mit Malware infiziert und ferngesteuert werden. Diese<br />
Geräte können PCs, Server, mobile Geräte und sogar vernetzte<br />
Haushaltsgeräte umfassen. Cyberkriminelle nutzen<br />
diese Netzwerke oft für verschiedene bösartige Aktivitäten,<br />
darunter das Versenden von Spam-E-Mails, das Durchführen<br />
von DDoS-Attacken (Distributed Denial of Service),<br />
bei denen Websiten durch Überlastung zum Stillstand gebracht<br />
werden, und das Mining von Kryptowährungen.<br />
Das Heimtückische an Botnetzen ist ihre Fähigkeit, sich<br />
unbemerkt auszubreiten. Sie nutzen Sicherheitslücken in<br />
Software und Betriebssystemen, um sich zu vermehren.<br />
Einmal eingerichtet, kann der Betreiber des Botnetzes diese<br />
„Bots“ gleichzeitig nutzen, um automatisierte Aufgaben<br />
über das Internet auszuführen, was die Angriffskraft potenziell<br />
vervielfacht.<br />
Industriespionage ist das dritte Geschäftsmodell der Cyberkriminellen.<br />
Im Gegensatz zu den beiden anderen Modellen<br />
handelt es sich bei dem Auskundschaften von Betriebsgeheimnissen<br />
meistens um einen gezielt gegen ein<br />
Unternehmen oder eine Behörde gerichteten Angriff, um<br />
an bestimmte Informationen zu gelangen.<br />
Deshalb können auch kleine Betriebe durchaus das Ziel<br />
von Cyberangriffen sein – die Wahrscheinlichkeit ist für<br />
den Experten sogar sehr hoch, da sich die Frequenz der Angriffe<br />
ständig erhöht. „Seit fünf Jahren merke ich einen Anstieg.<br />
Hatte man damals hin und wieder einmal eine große<br />
Meldung, dass es einen Hack oder eine Kompromittierung<br />
gab, so sind es heute mehrere Fälle täglich“, erklärt Schemberger.<br />
Die Arbeitsweise der Kriminellen hat sich professionalisiert<br />
und die Methoden haben sich verfeinert. Ein<br />
Beispiel: Wenn ein Softwareanbieter einen Patch zur Verfügung<br />
stellt, um eine Schwachstelle im eigenen Produkt zu<br />
beheben, dann scannen die Kriminellen direkt die Nutzer<br />
dieser Software ab, ob diese den Patch bereits aufgespielt<br />
haben – oder noch nicht. Entwickler und Firmen liefern<br />
den Kriminellen damit eine Steilvorlage für ihr illegales<br />
Treiben, die Angreifer bekommen die Schwachstelle quasi<br />
umsonst geliefert und müssen nur noch die Opfer identifizieren.<br />
In puncto Sicherheitsupdates rät der Experte daher<br />
dringend dazu, tagesaktuell alles auf den neuesten Stand<br />
zu bringen. Gegebenenfalls geht es für Unternehmen um<br />
Minuten, bevor das eigene System beispielsweise vollständig<br />
verschlüsselt wird.<br />
Apropos Verschlüsselung. So digital alle werden wollen,<br />
manchmal muss es analog sein. Björn Schemberger rät<br />
den Unternehmen, sich im Vorfeld darüber Gedanken zu<br />
machen, wie sie im Notfall reagieren wollen und sich diese<br />
Handlungsanweisung auszudrucken. „Ich empfehle, die<br />
Szenarien einmal mit Experten durchzuspielen. Da kann<br />
man die wichtigen Entscheidungen ohne großen Stress<br />
treffen und ist so im Falle eines Falles gerüstet und muss<br />
nicht spontan entscheiden. Unter Umständen kann das<br />
den Fortbestand des Unternehmens sichern.“<br />
Denn trotz eines Angriffs bleibt die Welt ja nicht stehen.<br />
Bestellte Ware wird weiterhin von den Partnern angeliefert,<br />
da müssen die Mitarbeitenden dann mit Bleistift<br />
und Papier ran – eine mühselige Arbeit, die es zu verhindern<br />
gilt. Entscheidend dafür ist auch der Faktor „Mensch“.<br />
Egal, wie gut das Sicherheitsnetz ist, wenn ein Mitarbeitender<br />
eine Phishing-Mail öffnet, dann droht dem gesamten<br />
Unternehmen eine große Gefahr. Damit die Mitarbeitenden<br />
gewarnt sind, wird empfohlen, regelmäßige Schulungen<br />
anzubieten, um auf generelle und aktuelle Bedrohungen<br />
hinzuweisen. Auch hier liegt die Verantwortung in<br />
der Chefetage, die ihren Angestellten vorleben muss, wie<br />
wichtig Cybersicherheit ist. „Außerdem müssen Zuständigkeiten<br />
geklärt werden“, rät Schemberger aufgrund seiner<br />
Erfahrungen. Wenn nicht klar ist, wer welche Aufgabe<br />
in dem System hat, dann kann es im schlimmsten Fall zu<br />
einem erfolgreichen Angriff führen und vermeintliche Sicherheitsmaßnahmen<br />
haben nicht gegriffen, weil die entscheidende<br />
Person vielleicht gar nicht wusste, dass sie zuständig<br />
ist.<br />
Keine Herkulesaufgabe<br />
66<br />
ORTHOPÄDIE TECHNIK <strong>05</strong>/24