Trojanisches Pferd
Bild © picture-alliance/dpa

Drei Monate dauert es im Durchschnitt, bis ein Cyberangriff entdeckt wird. Zwar wird die Zeitspanne immer kürzer. Dennoch bleibt sie lang genug, sodass die Täter bekommen, was sie wollen.

99 Tage dauert es laut einer Studie der Security–Firma Mandiant im Durchschnitt bis Angriffe auf Netzwerke entdeckt werden. Drei Monate, in denen sich ein Angreifer in einem Netzwerk verbreiten, sensible Daten auslesen und Informationen nach außen senden kann. Noch vor kurzem hatten digitale Spione und Saboteure dafür sogar noch mehr Zeit.  Im vergangenen Jahr 2016 wurden Hacker im Durchschnitt erst nach 146 Tagen entdeckt – das sind fast fünf Monate.

Dass die Zeitspanne zwischen Attacke und Entdeckung immer kürzer wird, hat viel damit zu tun, dass Cybersicherheit heute in Unternehmen und Behörden eine größere Rolle spielt. Schließlich sind in den vergangenen Jahren gleich mehrere spektakuläre Fälle in der Öffentlichkeit bekannt geworden. Der "Stuxnet"-Angriff auf iranische Nuklearanlagen machte weltweit Schlagzeilen, in Deutschland traf es den Stahlkonzern Thyssen-Krupp, sogar ein Krankenhaus in Neuss (Nordrhein-Westfalen) wurde durch einen Hackerangriff teilweise lahmgelegt. Auch politische Akteure, sogar der Bundestag, sind in den Fokus von Hackern geraten.

Freischaltung nur gegen Lösegeld

Die Folge ist ein gestiegenes Risikobewußtsein; und das hat wiederum zur Konsequenz, dass potentielle Opfer heute mehr investieren in den Schutz ihrer digitalen Infrastruktur. Zumal längst auch kleine Unternehmen bis hin zu Einzelhändlern fürchten müssen, Opfer einer digitalen Erpressung zu werden. Eine entsprechende Schadsoftware angehängt an eine vermeintlich harmlose Email blockiert dabei innerhalb von einer Sekunde die IT oder den Computer. Freischaltung nur gegen Zahlung von Lösegeld.

Und trotzdem: nach wie vor werden vor allem großangelegte Hackerattacken, die es zum Beispiel auf das Ausspähen von Firmengeheimnissen oder Kundendaten abgesehen haben , eher durch Zufall entdeckt. Weil Rechner langsamer laufen, Passwörter an den nicht üblichen Rechnern verwendet werden, Mitarbeiter plötzlich vermeintlich mit Software-Tools arbeiten, die nicht zu Ihrer Tätigkeit gehören. Denn das gestiegene Risikobewußtsein auf Seiten der Opfer ist nur die eine Seite. Auch die Angreifer rüsten permanent auf, tarnen ihre Angriffe immer aufwändiger, besser.

Das ist auch die Ursache eines weiteren Phänomens: dass häufig nicht die Opfer selbst die Angriffe entdecken, sondern externe Organisationen. Zum Beispiel Spezialfirmen für Cyber-Security. Laut dem Bericht "M-Trends" werden weniger als die Hälfte aller Cyberattacken von den Attackierten selbst enttarnt.

Vier Jahre - und es passierte so gut wie nichts

Allerdings gilt auch: dass Hacking-Angriffe komplett unerkannt bleiben, ist ausgesprochen selten. In vielen Fällen gelingt die Enttarnung aber schlicht zu spät. Die Hacker haben vorher bekommen, worauf sie es abgesehen haben.  

Besonders spektakulär ist der Fall des kanadischen Telekommunikationsanbieters Nortel. Da gingen im Zeitraum der Jahre 2000 bis 2009 mutmaßlich chinesische Hacker über Jahre offensichtlich ein, stahlen Firmengeheimnisse, ohne dass es jemand bemerkte. Selbst als der Angriff nach vier Jahren zum ersten Mal auffiel, passierte so gut wie nichts. Die Verantwortlichen haben die Attacke schlicht nicht ernst genommen.  Die Hacker konnten weiter machen, saugten über die  Jahre Massen an technischer Dokumentation, Entwicklungsberichten, Geschäftsplänen. Als der Angriff schließlich 2009 intern untersucht wurde, konstatierte ein führender Manager: "Sie hatten jede Menge Zeit. Sie mussten sich nur aussuchen, was sie haben wollten."

Jetzt im Programm