Kommentar: Wenn Unternehmen Hackern danken sollten

#Awareness #Whitehat #Datenleck #Schwachstelle 

Stichwort Awareness: Uns erreichen täglich Meldungen über neue oder nicht behobene IT-Sicherheitslücken, Erpressungsversuche und erfolgreiche Lösegeldforderungen. Druckmittel sind Verschlüsselungen oder die drohende Bekanntmachung eines Datenklaus. Dahinter stecken Cyberkriminelle, die ihre Opfer vorher ganz genau ausspionieren und ins Visier nehmen, um nach dem Hack eine realistische, also für das Unternehmen bezahlbare Summe in Bitcoin zu verlangen – die viele Unternehmen aus Angst vor längeren Produktionsausfällen und Reputationsverlust anstandslos zahlen.  

21 % der betroffenen KMU kommen laut itsicherheit-online den Geldforderungen nach – aber nur 18 % können anschließend auf Ihre Daten zugreifen – mit Pech also ein Fass ohne Boden, diese Lösegeldforderungen. 

Unternehmen fallen also regelmäßig Hackern zum Opfer und werden ohne Vorwarnung abkassiert, zum Beispiel jüngst die Juwelierkette Wempe, das Maschinenbauunternehmen Lutz Pumpen oder sogar die Stadtbehörden von Riviera Beach in Florida: Da könnte man es doch gewissermaßen als Segen erachten, wenn man von einem Whitehat auf gravierende Sicherheitslücken hingewiesen wird: Besser, die Mängel werden im Rahmen eines Hinweises aufgedeckt als im Rahmen einer kriminellen Machenschaft, die eine saftige Lösegeldforderung nach sich zieht.  

Natürlich wird man nach einer solchen Attacke erst recht bemüht sein, jegliche IT-Schwachstellen ausfindig zu machen und zu beheben. Da ist es weitaus angenehmer, wenn es gar nicht erst soweit kommt, weil ein ambitionierter Informatikstudent auf die Risiken hinweist, bevor ein Hacker genau diese ausnutzt. 

Umso verwunderlicher scheint in diesem Zusammenhang der jüngste Fall eines bekannten Wohnungsunternehmens: Ein Informatikstudent deckt Sicherheitslücken im IT-System der Immobilien auf und meldet diese, damit man die Schwachstellen beheben und einen möglichen Hackerangriff verhindern kann. Der Konzern unterstellt ihm daraufhin kriminelle Energie und zeigt ihn an.  

Warum noch mal? Der durch eine erfolgreiche Cyberattacke entstehende Schaden erreicht schnell eine fünf- bis sechsstellige Summe. Der Verlust durch den Studenten liegt bei null. Aber: Den größten Schaden fügt sich das Unternehmen selbst zu, indem es die Chance der Nachrüstung nicht dankend annimmt, sondern den Überbringer der schlechten Nachrichten wie in der Bibel „köpft“. So manches Unternehmen wäre wohl froh über eine derartige Warnung gewesen und hätte sich eine empfindliche Zahlung erspart.