Cyber Security in Transport- und Logistikunternehmen: Praxiswissen für Entscheider

Die Covid-Pandemie hat im Bereich Transport und Logistik die Digitalisierung von Geschäftsmodellen beschleunigt und die Vernetzung der Branche gefördert. Mit den Chancen, die sich für die Teilnehmer der digitalen Ökosysteme eröffnen, gehen jedoch auch neue Risiken einher: Cybercrime stellt Unternehmen permanent vor neue Herausforderungen – Ransomware gehört zu den aktuellsten Bedrohungen. Doch was heißt das konkret? Und welche Handlungsmöglichkeiten gibt es? Einen Blick aus der Praxis für die Praxis bot das business:forum Transport & Logistik 2021 der Commerzbank in Kooperation mit dem Deutsches Verkehrsforum e. V. (DVF).

Die unterschätzte Bedrohung

Viele Unternehmen sind technologisch und konzeptionell unzureichend auf Angriffe auf ihre IT vorbereitet, weiß Jens Wagener (Branchenkapitän Transport & Logistik, Commerzbank AG), da sie getreu der Maxime agieren: „Das trifft nur die anderen.“ Die Folgen kennt Dr. Florian Eck (Geschäftsführung Deutsches Verkehrsforum e. V.): „Wir beobachten eine immer größere Zahl von Hacking-Angriffen und Cybererpressungen.“ So erfasste das Bundeskriminalamt im Jahr 2020 rund 100.000 Cyber-Angriffe auf die deutsche Wirtschaft. Der Schaden solcher Angriffe belief sich 2020 laut einer Umfrage des Digitalverbandes Bitkom auf 24,3 Milliarden Euro – und hat sich im Vergleich mit 2019 mehr als vervierfacht.

Die Frage ist: Wann passiert es?

„Die Frage für die Unternehmen ist nicht mehr, ob sie eine Cyberattacke trifft, sondern wann“, bringt es Diana Nadeborn (Fachanwältin für Wirtschafts- und IT-Strafrecht, Kanzlei Nadeborn) auf den Punkt. Insbesondere das Erpressungsgeschäft mit Krypto-Trojanern boomt. Es ist lukrativ und professionell organisiert – digital sowie international. Als „Cybercrime-as-a-Service“ bezeichnet das Heiko Rittelmeier (Leiter Referat „Digitale Forensik Services“, Zentrale Stelle für Informationstechnik im Sicherheitsbereich, ZITiS) und fügt hinzu, dass die Strukturen einem Franchisesystem im Darknet entsprechen.

Mittelstand im Visier

Darüber hinaus vermeidet es die Szene bewusst, zu viel Aufmerksamkeit in den Medien und bei den Ermittlungsbehörden auf sich zu ziehen, so Diana Nadeborn weiter: Deshalb geraten vor allem mittelständische Unternehmen ins Visier der Täter, die darüber hinaus nur begrenzte Ressourcen investieren können, um sich vor Cyberkriminalität zu schützen. Doch oft ist gar kein großer Aufwand notwendig, um sich besser zu schützen, weiß Marco Haack (Director ITIS, TIMOCOM GmbH): „Viele Unternehmen sind bei sicherheitsrelevanten Software-Updates nachlässig oder verlassen sich blind auf ihre Back-ups, ohne diese jemals zu testen.“

Umso wichtiger ist es, dass die Unternehmen das Thema Cyber Security auf ihrer Agenda haben – darin sind sich alle Experten einig. Ein erster Schritt dorthin ist, möglichst gut zu verstehen, was genau bei einer Erpressung mittels eines Kryptotrojaners passiert und welche Schwachstellen immer wieder den Erfolg solcher Angriffe begünstigen.

Von der Infektion bis zum Desaster-Day

Den Weg von der unbemerkten Infektion bis zur Erpressung kennt Ronny Wolf (Fraud Prevention-Team, Commerzbank AG) aus vielen Praxisfällen.

Erfolgreiche Wege zur Einschleusung der Schadsoftware sind E-Mails mit verseuchten Anhängen, Links auf verseuchte Webseiten, über (Social-)Hacks, unzureichend gesicherte VPN- und Cloud-Zugänge, aber auch Sabotage oder ein USB-Stick mit der Aufschrift „Gehaltszahlungen“.

Nach der Infektion meldet sich die Schadsoftware in der Regel bei einem Command-&Control-Server im Internet. Sie wird angereichert, späht das Netzwerk des Opfers aus und verbreitet sich darin. Anschließend erfolgt die Verschlüsselung der Unternehmensdaten, die meist mit den Back-ups beginnt. Wenn alle Hintergrundprozesse der Malware abgelaufen sind, findet die Gesamtverschlüsselung statt – oft über ein Wochenende.

Die Arbeitswoche im Unternehmen beginnt dann mit der Erpressung – der Montag wird zum Desaster-Day. Tipps der Expertenrunde, wie Sie dann reagieren sollten, sowie deren Ratschläge zur wirksamen Prävention finden Sie hier:

Praxis-Tipps zur Reaktion auf eine Ransomware-Attacke

7 Tipps für technische Lösungen

  • Nutzen Sie verschlüsselte Laufwerke und Datenträger.
  • Führen Sie technische Restriktionen für die Verwendung von USB-Sticks ein.
  • Prüfen Sie, ob es für Ihr Unternehmen praktikabel ist, Makros in Office-Anwendungen systemseitig zu unterbinden.
  • Sichern Sie Zugänge zu VPN- und Cloud-Lösungen mit einer 2-Faktor-Autorisierung.
  • Richten Sie Offside-Back-ups (nicht immer mit dem Netzwerk verbunden) ein und testen Sie diese regelmäßig.
  • Segmentieren Sie Laufwerke und Produktion.
  • Die kontinuierliche Überwachung kann einen Vorfall detektieren und auffällige Prozesse automatisch stoppen.

7 Tipps für organisatorische Lösungen

  • Schulen Sie Ihre Mitarbeiter regelmäßig im Umgang mit E-Mails, Internet und Social Media.
  • Führen Sie einen Notfallplan mit Kontakten in Ihrem Unternehmen, der ausgedruckt vorliegt.
  • Definieren Sie klare Entscheidungsbefugnisse für Ihre IT für den Fall einer Verschlüsselung.
  • Pläne für die Back-up-Wiederherstellung sollten offline verfügbar sein (ausgedruckt).
  • Back-ups sollten regelmäßig getestet werden.
  • Halten Sie eine Banking-Lösung für den Notfall bereit, die nicht an Ihre Laufwerke gebunden ist (webbasiert).
  • Entscheiden Sie ohne Handlungsdruck, ob Sie ein Wallet für eine Kryptowährung eröffnen wollen.

Links zu hilfreichen Videos

  • Ein Video (Deutsch) von Secuso.org erläutert die Fallstricke in der E-Mail-Bearbeitung und gibt Tipps, die jeder beachten sollte. Secuso.org ist aus der Uni Darmstadt entstanden und hat mehrere hilfreiche Videos im Netz.
    → Videolink
  • Ein animierter Kurzclip (Englisch) von Gravoc zeigt die typischen Eckpunkte zur Vermeidung von Social-Engineering-Attacken.
    → Videolink
  • Ein Video (Englisch) von Fusion.net mit dem Beispiel einer Social Hackerin, die auf Anfrage eines Reporters demonstriert, wie leicht ein „Social Hack“ ist. Eigentlich soll sie nur die E-Mail-Adresse des Reporters herausfinden, übernimmt aber am Ende seinen gesamten Mobilfunk-Account.
    → Videolink

Fazit: IT-Sicherheit ist Chefsache

Die Unternehmen der Transport- und Logistikbranche müssen praxisgerechte Lösungen für den Umgang mit immer neuen Cyberbedrohungen entwickeln – darin sind sich alle Experten beim business:forum Transport & Logistik 2021 der Commerzbank und des Deutschen Verkehrsforums einig.

Oft wird es nicht ausreichen, einzelne Komponenten der IT-Infrastruktur auszutauschen oder zu erneuern: Vielmehr müssen auch alle sonstigen Technologien, Prozesse, Kommunikationswege und Schnittstellen der Unternehmensorganisation geprüft und im Kontext einer ganzheitlichen Gesamtlösung optimiert werden.

Die so geschaffene Cyber-Security-Infrastruktur muss angesichts der Bedrohungslage sowie der gravierenden Folgen im Fall der Fälle immer wieder möglichst genau überprüft, getestet und verbessert werden. Vor diesem Hintergrund wird schnell klar, dass das Thema IT-Sicherheit nicht allein den IT-Spezialisten vorbehalten bleiben kann, sondern primär in die Chefetage der Transport- und Logistikunternehmen gehört.