Creditreform Magazin

Einsatz für die IT-Feuerwehr

Hacker attackieren nur die Großen? Weit gefehlt. Längst nehmen sie auch Mittelständler ins Visier. Zuletzt warnte der Bitkom vor Cyberangriffen als Folge des Kriegs in der Ukraine. Schutzmaßnahmen sollten inzwischen selbstverständlich sein. Doch was tun, wenn sie erfolgreich umgangen wurden?

Der Alptraum begann an einem Montagabend: Um 22.19 Uhr befiel eine Schadsoftware das IT-Netzwerk der Maschinenbaufirma Magnetbau Schramme. Das toxische Programm verschlüsselte bis zu zehn Terabyte pro Stunde. Das Ausmaß der Cyberattacke wurde der Unternehmensleitung im baden-württembergischen Deggenhausertal am Dienstagmorgen bewusst: 85 Prozent der Daten waren gesperrt, Mitarbeiter konnten sich an ihren Rechnern weder an- noch abmelden. Nichts ging mehr. Wenig später kam die Botschaft der Hacker: Für die Freigabe der Daten forderten sie ein sechsstelliges Lösegeld. 

Angriffe aus dem Netz bedrohen die deutsche Wirtschaft. Die Zahl der Cyberattacken steigt von Jahr zu Jahr. Und nicht nur Großunternehmen sind betroffen. Immer öfter geraten auch kleine und mittelständische Firmen ins Visier von mit digitalen Waffen ausgestatteten Kriminellen. In einer Umfrage des Onlineportals Statista Ende 2021 gaben 46 Prozent der Unternehmen in Deutschland an, mindestens schon einmal Opfer eines Cyberangriffs geworden zu sein. „Jedes Zehnte Unternehmen sieht deshalb seine Existenz bedroht“, betont Susanne Dehmel, Mitglied der Geschäftsleitung des Branchenverbands Bitkom. Passend dazu das Ergebnis einer Managerbefragung für das „Risikobarometer“ des Industrieversicherers AGCS: Die Unternehmen fürchten kriminelle Hacker mehr als Naturkatastrophen oder Pandemien. Tim Berghoff, Security-Evangelist bei G Data, bringt es auf den Punkt: „Es stellt sich für Unternehmen nicht mehr die Frage, ob sie einer Cyberattacke zum Opfer fallen, sondern nur noch, wann.” 

„Es stellt sich für Unternehmen nicht mehr die Frage, ob sie einer Cyberattacke zum Opfer fallen, sondern nur noch, wann.“
Tim Berghoff, G Data

Beängstigend ist laut Bitkom vor allem die Wucht der Ransomware-Angriffe auf die Wirtschaft. Hierbei wird das Infiltrieren mit einem Schadprogramm, das den Zugriff des Unternehmens auf seine Daten und Systeme einschränkt oder unterbindet, kombiniert mit einer Erpressung. Die Hacker drohen, die gesperrten Informationen und Rechner erst nach der Zahlung eines Lösegeldes (englisch: Ransom) wieder freizugeben. 144 Millionen Schadprogramm-Varianten – 20 Prozent mehr als 2020 – hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr gezählt. Mit Ransomware angegriffen wurden unter anderem die Handelskette Mediamarkt-Saturn und die Maschinenbaufirma FAM in Magdeburg, die Aerzener Maschinenfabrik in Hameln, die Uni Leipzig, die Stadt Schwerin, die Stadtwerke Wismar, der Landkreis Anhalt-Bitterfeld und über 100.000 weitere Unternehmen, Institutionen und Behörden. Umfassend geschützt waren nur wenige. Laut Schätzungen des IT-Beratungs- und Dienstleistungsunternehmens DXC Technology haben weniger als 25 Prozent der mittelständischen deutschen Firmen wichtige Erkennungs- und Reaktionsfunktionen für das Netzwerk und die Endpunkte sowie eine Sicherheitsüberwachung von Endgeräten und Servern implementiert. DXC-Sicherheitsexperte Udo Fink sagt: „Rund 50 Prozent der Großunternehmen haben solche Kontrollen, testen sie aber nicht regelmäßig.“ 

Mehr als 350 Millionen Euro Lösegeld 

Nach Bitkom-Berechnungen sind die Schäden durch Ransomware-Angriffe, die mit dem Ausfall von Systemen oder der Störung von Betriebsabläufen verbunden waren, innerhalb eines Jahres um fast 360 Prozent gestiegen. Mehr als 350 Millionen Euro hätten die Unternehmen insgesamt an Cyberkriminelle gezahlt. Klar ist: Die Dunkelziffer ist deutlich höher, denn viele Opfer zeigen den digitalen Angriff nicht an – aus Scham oder Angst vor dem Imageverlust. Hackerattacken gehören damit zu den bestgehüteten Vertraulichkeiten von Unternehmen – vor allem, wenn die Einbrecher erfolgreich waren. Darüber spricht kein Firmenchef gerne und auch kein IT-Verantwortlicher. Es gibt nur wenige Ausnahmen. 

Hans-Peter Kunz etwa, Geschäftsführer des Hamburger Kurierdienstes Funkpiloten. Er redet offen über den Super-Gau vor zwei Jahren. Hacker hatten über Nacht alle Kundendaten des Kurierunternehmens gesperrt, die Bankverbindungen gekappt und ein Lösegeld in Bitcoin verlangt, umgerechnet etwa 14.500 Euro. Kunz informierte die Polizei. Die sah keine Chance, die Digitalverbrecher dingfest zu machen, und empfahl dem Mittelständler, um seine Firma zu retten auf die Forderungen einzugehen. Das kommt selten vor: In der Regel raten Kriminalbeamte von Zahlungen ab, weil Verbrecher durch solche Erfolge ermutigt würden. Nachdem der Funkpiloten-Chef die geforderte Summe gezahlt hatte, gaben die Erpresser tatsächlich einen Teil der Daten frei. Mit ihnen gelang es den IT-Fachleuten von Kunz, die zerstörte Architektur fast vollständig wiederherzustellen.

Segmentierung mindert den Schaden

Auch der Familienbetrieb Magnetbau Schramme wurde Opfer, obwohl er vorbereitet auf den Überfall aus dem Netz war: Die Firma hatte eine IT-Sicherheitsstrategie umgesetzt, zu der beispielsweise die Segmentierung des Netzwerks gehört. So wurde durch den Cyberangriff zwar die Verwaltung lahmgelegt, nicht aber die Produktion. Das Management entschied, nicht auf die Lösegeldforderung der Hacker einzugehen, informierte stattdessen den Datenschutzbeauftragten des Landes Baden-Württemberg, erstattete Anzeige beim Landeskriminalamt und holte einen Notfallexperten des Bochumer IT-Sicherheitshauses G Data sowie Mitarbeiter des Systemhauses Bechtle an Bord. Sie befreiten in vier Tagen die Systeme von der Ransomware, brachten die IT-Infrastruktur wieder zum Laufen und stellten sicher, dass die Angreifer keinen Zugang mehr hatten. Ihre Vorgehensweise: Identifikation der verwendeten Schadsoftware und digitalen Werkzeuge der Hacker – insgesamt hatten die Verbrecher 15 verschiedene Programme eingeschleust –, Suche und Schließung der von den Einbrechern genutzten Sicherheitslücke, um das Nachladen von weiterer Schadsoftware zu verhindern, und Anpassung der Firewall. 

100-prozentige Sicherheit gibt es nicht

Die Lehre der Geschäftsleitung aus dem Vorfall: Auch ein scheinbar guter Sicherheitsmantel muss kontinuierlich weiterentwickelt werden. Oft sind es einfache Maßnahmen, die wirkungsvoll sind, etwa die Trennung einiger Rechner vom Internet, um diese Einfallstür zu schließen. Bei Magnetbau Schramme wurden außerdem weitere Hürden eingebaut, um die vom regulären Netz separierten Backup-Server vor einer Infizierung durch Schadsoftware zu schützen. Marcello Ficht, der damalige IT-Verantwortliche der Firma, bremst aber allzu große Hoffnungen: „100-prozentige Sicherheit gibt es nicht.“

Das liegt auch daran, dass Hacker mit immer neuen Werkzeugen agieren und die Branche sich professionalisiert. Daniel Heck vom IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity erklärt: „Vor allem mit Ransomware-as-a-Service, also Erpressersoftware, die man als Dienst buchen kann, um Betriebe oder Privatpersonen zu attackieren, wird es für Cyberkriminelle noch einfacher, gezielt Unternehmen anzugreifen.“ Heck und andere IT-Sicherheitsfachleute stoßen seit geraumer Zeit auf ein neues Phänomen: Schutzgelderpressung via Internet. Die Methode ist simpel: Die Angreifer drohen, bestimmte Ressourcen eines Unternehmens gezielt zu überlasten, beispielsweise durch massenhafte, automatisierte Anfragen, mit denen Server in die Knie gezwungen werden. Ihre Forderung: „Geld her oder wir legen euren Betrieb lahm.“ Und noch etwas zeigt, wie professionell die Szene geworden ist: Viele Web-Erpresser recherchieren vor ihrer Attacke die wirtschaftliche Potenz ihrer Opfer. Von einem „kleinen Fisch“, etwa einem Betrieb mit einer Million Euro Umsatz wird dann vielleicht ein Lösegeld von 30.000 oder 50.000 Euro verlangt, von einem Konzern mit 100 Millionen Euro Umsatz aber 500.000 Euro oder mehrere Millionen. 

Ist das Kind tatsächlich in den Brunnen gefallen, brauchen Unternehmen erstens einen Reaktionsplan. „Der muss immer auf dem neuesten Stand gehalten und regelmäßig getestet werden, damit die Mitarbeiter wissen, wie sie im Falle eines Vorfalls reagieren sollen“, erläutert DXC-Berater Udo Fink. Und zweitens werden Experten gebraucht, die Erfahrungen mit IT-Notfällen nach Hackerangriffen haben. Sie müssen gut und schnell sein, denn jede Minute, die eine IT-Architektur stillsteht, kostet den betroffenen Betrieb Geld. Zunächst verschafft sich das Erste-Hilfe-Team anhand eines Incident-Response-Plans einen Überblick. Dafür werden Daten, Anwendungen, Netzwerke, Systeme und Geräte identifiziert und kategorisiert. Dann definiert man Warnhinweise. Die nächsten Schritte: Isolierung der potenziellen Gefährdung und Sicherstellung, dass Angreifer sich nicht im Unternehmensnetz bewegen können. Schließlich werden alle Elemente, die der Hacker verwendet hat, eliminiert und die betroffenen Netze, Systeme, Konten und Anwendungen in den ursprünglichen Zustand zurückgesetzt. Und dann kommt die Phase „Lessons learned“: Es wird analysiert und besprochen, was funktioniert hat und was nicht, um dem Unternehmen zu helfen, den Response-Plan dauerhaft zu verbessern.  

Best Practices für den Ernstfall

Hilfreich ist, dass das Rad nicht neu erfunden werden muss: Das BSI beispielsweise veröffentlich Best Practices für die Erstellung eines Incident-Response-Plans. Auch in Onlineforen finden sich Beispiele, von denen Firmenchefs lernen können. Zudem bieten viele IT-Sicherheitshäuser entsprechende Rahmenvereinbarungen. DXC Technology beispielsweise verfügt dafür über ein Data Forensics and Incident Response-Team, das Kunden bei der Sichtung, Untersuchung und Behebung von Vorfällen unterstützt.

Klar ist: Die Feuerwehr ersetzt nicht den Brandschutz. Für eine bestmögliche Resilienz gegen Cyberangriffe bieten IT-Security-Firmen ihre Dienste an. Fragt man sie nach den häufigsten Angriffspunkten der Hacker, fällt fast immer zuerst das Wort „Internet“. Rund 70 Prozent der Attacken kommen aus dem World Wide Web. In Homeoffice-Zeiten komme es außerdem darauf an, die Remote-Arbeitsplätze gut zu schützen: „Endgeräte, die über private oder öffentliche WiFi-Netzwerke oder andere ungesicherte Wege mit dem Internet verbunden sind, lassen sich leicht infizieren. Werden diese Devices später mit Unternehmens- oder Behördennetzwerken verbunden, verbreitet sich Schadsoftware auch dort.“ Verhindern lasse sich das mit einer sicheren VPN-Verbindung. Arbeitgeber sollten zudem überlegen, die Notebooks ihrer Mitarbeiter mit einer Festplattenverschlüsselung auszustatten: „Dann können nur berechtigte User ihre Daten und das Betriebssystem nutzen. Geht das Gerät verloren oder wird es gestohlen, ist es für Dritte nicht möglich, auf die Daten zuzugreifen.“


Cyberangriff, was nun?

Diese sechs Punkte sollten Unternehmen, die vermuten, Opfer einer Cyberattacke geworden zu sein, beachten: 

1. Reagieren Sie schnell.

2. Bewahren Sie Ruhe.

3. Arbeiten Sie nicht mehr an den infizierten Geräten.

4. Dokumentieren Sie den Angriff.
    - Welches Gerät oder System ist betroffen?
    - Woran haben Sie gearbeitet, als das Problem auftrat?
    - Welche Programme waren geöffnet, welche Dokumente?
    - Beschreiben Sie möglichst genau, was passiert ist und wann es passiert ist. 

5. Schützen Sie Ihre Backups.

6. Kontaktieren Sie einen Cyberexperten.

7. Informieren Sie die Behörden.
    Empfehlenswert ist die Aufstellung einer Liste der zu informierenden Stellen. Das sind vor allem
    die Polizei, die Aufsichtsbehörde Ihres Bundeslandes, der Landesdatenschutzbeauftragte sowie
    das Bundesamt für Sicherheit in der Informationstechnik.


Quelle: Magazin "Creditreform"
Text: Jürgen Hoffmann