Mit einem Klischee gilt es aufzuräumen, so Volker Götzfried vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beim IT-Informationsnachmittag am 27. Juni in der Handelskammer. Der typische Cyberkriminelle ist nicht der Einzeltäter im schwarzen Hoodie, den man aus Filmen zu kennen glaubt. Nein, dem Cybercrime widmet sich ein global florierender Industriezweig – staatlich unterstützt wie etwa in Russland oder „undercover“ und lange Zeit unentdeckt wie in Deutschland.
IT-Hilfe der Handelskammer
Informationen der Handelskammer über aktuelle Bedrohungsszenarien und geeignete Schutzmaßnahmen erhalten Sie hier. Die Handelskammer ist zudem regionale Ansprechpartnerin der Transferstelle IT-Sicherheit im Mittelstand (TISiM), die KMU das Ergreifen von IT-Sicherheitsmaßnahmen erleichtern will. Auch für Firmen mit schmalem Budget können maßgeschneiderte Sicherheitspakete erstellt werden.
Das enthüllte zum Beispiel der Prozess gegen den „Cyberbunker“ im rheinland-pfälzischen Traben-Trarbach. Dort soll, so die Anklage, ein „Unternehmen“ Beihilfe zu rund 250 000 Straftaten weltweit geleistet haben. 2021 wurden acht Angeklagte, die Server für Cyberattacken, Computersabotage, Drogenhandel und weitere kriminelle Geschäfte bereitgestellt hatten, zu Haftstrafen verurteilt.
Der globale aktuelle Schaden durch digitale Attacken wird laut der Zentralen Ansprechstelle Cybercrime (ZAC) beim LKA Hamburg auf über 400 Milliarden US-Dollar geschätzt. Und trotz aller Sicherheitsvorkehrungen dürfte auch für Hamburger Unternehmen die Chance, angegriffen zu werden, bei fast 100 Prozent liegen.
„Es wird Sie treffen“, war sich etwa Henry Georges vom LKA Hamburg sicher. Georges ist einer von fünf LKA-Mitarbeitenden der Hansestadt, die sich schwerpunktmäßig mit dem Thema befassen. Sie wollen für „Awareness“, also Sicherheitsbewusstsein der Unternehmen sorgen und über Präventionsmaßnahmen informieren.
Berichte aus der Praxis
Wie wichtig Prävention ist, zeigten beider Podiumsdiskussion Ende Juni auch die Berichte von zwei Hamburger Unternehmen, die von Attacken betroffen waren. Dabei wurde deutlich: Es trifft nicht nur die Großen. Christopher Benson, Geschäftsführer eines Handwerksbetriebes, kam mit seiner Firma noch vergleichsweise glimpflich davon. „Ich erhielt eine Mail von einem Lieferanten, und tatsächlich habe ich auch auf Informationen von ihm gewartet. Sehr unbedarft klickte ich in der Mail auf einen Link – und in dem Moment wusste ich, da ist etwas nicht so gut gelaufen. Es dauerte keine zehn Minuten, da hatte ich vermehrte Aktivitäten auf dem Rechner, die mir von Windows auch gemeldet wurden.“
Die Lage war noch nie so ernst.
Volker Götzfried
Damit beschrieb er eine klassische Angriffsform: E-Mails, deren Absender zum Teil durchaus vertrauenswürdig wirken (oder die sogar scheinbar von Geschäftskunden stammen), fordern dazu auf, einen Link anzuklicken. Dieser führt jedoch auf eine Seite, die unbemerkt ein Schadprogramm auf dem Rechner installiert. Im schlimmsten Fall wird dann gleich das gesamte Betriebsnetzwerk infiziert. Christopher Benson rief damals sofort seinen IT-Dienstleister an, der ihm riet, den Computer herunterzufahren und die Netzwerkverbindung zu trennen. Dies tat er zehn Minuten nach Öffnen des Links. „Dieser Rechner ist auch heute noch in diesem Zustand, wir haben einen neuen angeschafft.“
Weil Angriffe umso mehr Schaden anrichten, je länger sie „wirken“ können, greifen Hacker bevorzugt zum Wochenende hin an – in der Hoffnung, dass dann die Reaktionswege stark verlangsamt sind. So berichtete Stefan Stelling, IT-Leiter beim Hamburger Abfall-Entsorgungsspezialisten OTTO DÖRNER, der mehr als 1000 Mitarbeitende beschäftigt, von einem Angriff an einem Samstagabend im Januar 2022. „Die Täter erbeuteten das Nutzerkonto eines unserer Dienstleister und haben dann – arbeitsteilig und sehr gut strukturiert – unsere Systeme in Besitz genommen. Dann starteten sie eine Ransomware-Verschlüsselung.“ Darunter versteht man Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt.
„Alle Windows-basierten Systeme bei uns im Rechenzentrum wurden verschlüsselt“, erklärte Stelling und fügte ironisch hinzu: „Das Gute war, die Täter haben sich gleich gemeldet und uns gesagt, was wir tun können, damit alles wieder gut wird. Die stellen dann ein Costumer-Support-Portal im Darknet bereit, ein Chatportal für den ,Kundenservice‘. Da kann man sich dann mit ihnen auseinandersetzen. Wir haben uns aber für einen anderen Weg entschieden und nicht mit den Tätern gesprochen.“
Stattdessen griff ein Notfallplan, in dem konkret festgelegt war, wie der Betrieb bei einer Cyberattacke vorzugehen hat: Am Sonntag war ein Krisenstab aktiv; nach einer Trennung der Systeme ging das Geschäft weiter. „Am Montag“, so Stelling, „arbeiteten wir dann ziemlich papierlastig. Obwohl wir normalerweise sehr digital unterwegs sind.“
Um für Angriffe gerüstet zu sein, rieten alle Fachleute auf der Veranstaltung, unbedingt einen solchen Plan auszuarbeiten. IT-Spezialist Stelling empfahl betroffenen Unternehmen zudem, offen mit Attacken umzugehen. „Wir waren von Beginn der Krise an total transparent, insbesondere unseren Geschäftspartnern gegenüber. Sie wussten, dass wir ein großes technisches Problem haben, dass ein Angriff vorliegt und wir daran arbeiten, diesen möglichst schnell zu beseitigen.“ Die Resonanz der Kunden und Geschäftspartner auf diese Vorgehensweise fasst er als „unglaublich positiv“ zusammen.
Für Sicherheit sorgen
Auch kleine und mittlere Unternehmen (KMU) können und müssen sich schützen – oft werden sie durch puren Zufall Opfer einer breit gestreuten Attacke. Der IT-Dienstleister Frank Barthel sprach auf dem Podium stellvertretend für viele KMU und empfahl jedem das „USB-Prinzip“ als Präventionsleitfaden: Updates, Schulung und Back-ups. Damit alle Systeme stets auf dem aktuellen Sicherheitsstand bleiben, sollten Updates stets sofort eingespielt werden.
Regelmäßige Schulungen sorgen dafür, dass alle am Bildschirm arbeitenden Mitarbeitenden die Cyber-Sicherheitsmaßnahmen des Unternehmens kennen und anwenden. Mit am wichtigsten ist es zudem, alle Daten regelmäßig auf externen Medien zu sichern. Aus einem solchen Back-up lassen sie sich mit wenig Aufwand wiederherstellen. So können Unternehmen auch nach einer Cyberattacke ihre Systeme schnell wieder hochfahren und weiterarbeiten.
Zudem sollte jeder noch so kleine Betrieb mit seinem IT-Dienstleister Notfallpläne ausarbeiten, über Cyberversicherungen nachdenken und jeden Angriff der Polizei melden. Falls Kundendaten an Unbefugte übermittelt wurden, macht sich der Betrieb sogar strafbar, wenn er den Angriff nicht anzeigt. „Die Lage war noch nie so ernst“, sagte Volker Götzfried vom Bundesamt für Sicherheit in der Informationstechnik. Und die Gefahr wird mit weiter wachsender Digitalisierung unseres Wirtschaftslebens vermutlich nicht kleiner werden. Angriffe lassen sich nicht vermeiden – aber zumindest lässt sich die Schadensgefahr durch geeignete Sicherheitsmaßnahmen verringern.
