«Gibt noch viel zu tun»

Zunehmende Probleme mit Cyber-Attacken

Unternehmen und Organisationen werden zunehmend Ziel von Cyber-Angriffen, wie kürzlich ein Fall aus Südhessen zeigte. Da war sogar ein IT-Dienstleister betroffen. Es können enorme Schäden entstehen. Experten raten deswegen zu strenger Hygiene in der IT-Sicherheit. 

IT-Security-Wissenschaftler trainieren in einem Cyber-Sicherheitszentrum, wie eingeschleuste Erpresser-Programme («Ransomware») unschädlich gemacht werden können.

Frankfurt/Main (dpa) – Der jüngste Hacker-Angriff von Kriminellen auf einen IT-Dienstleister in Südhessen lässt aufhorchen. Denn zu seinen Kunden zählen auch Energieversorger, die wiederum Teil der sogenannten kritischen Infrastruktur sind: Dazu gehört die Versorgung mit Wasser, Gas oder Strom, die aber nach Angaben der betroffenen Unternehmen nicht von der Cyber-Attacke betroffen war, da sie über andere IT-Systeme betrieben wird. Dennoch nehmen solche Angriffe zu. Die Schäden sind beträchtlich.
Fragen und Antworten zu diesem Themenkomplex:

Wie groß ist das Problem mit Hacker-Angriffen? 
Das Bundeskriminalamt veröffentlicht jedes Jahr ein Lagebild zur Cyber-Kriminalität, eine Art Überblick über die Entwicklung dieser Kriminalitätsform. Als größte Bedrohung werden darin Angriffe mit Ransomware – Erpressungsversuche mit Lösegeldforderungen – eingestuft. Allein der dadurch entstandene Schaden wird für das Jahr 2021 auf 24,3 Milliarden Euro geschätzt.

In Hessen stieg die Zahl aller Cyber-Crime-Fälle zuletzt von 2020 auf 2021 um etwa zehn Prozent, wobei alle möglichen Arten von Computerbetrug erfasst wurden. Das hessische  Cyber Competence Center  verzeichnet eine starke Nachfrage nach Hilfe und Rat bei einem Cyber-Angriff. Und auch der Gründer und Chef der Darmstädter Startup-Firma «LocateRisk», Lukas Baumann, sagt: «Es finden so viele Angriffe wie nie zuvor statt.» Sein Unternehmen untersucht Sicherheitsrisiken bei Gemeinden, Dax-Unternehmen oder Banken.

Was genau ist Ransomware? 
Das ist im Prinzip ein Computer-Programm, das großen Schaden anrichten kann. Der Angreifer dringt über Schwachstellen in ein IT-System ein. Die Ransomware verschlüsselt dann Festplatten und verhindert so letztlich den Zugriff auf Daten. Gleichzeitig wird Lösegeld gefordert, damit die Daten wieder entschlüsselt und IT-Systeme wieder zugänglich gemacht werden. Bis dahin können auch große Unternehmen quasi lahmgelegt werden. Allein im jüngsten Fall konnten Tausende Beschäftigte nicht auf ihre Mailboxen zugreifen. «Der Einsatz von Ransomware kann Produktionsprozesse erheblich beeinträchtigen und damit für Unternehmen existenzschädigend sein», warnt das BKA.

Wer ist Ziel dieser Angriffe? 
IT-Sicherheitsexperte Baumann sagt: «Es kann jeden treffen.» Auch das BKA hält fest: Kriminelle nehmen alle – Behörden, Unternehmen und Organisationen – ins Visier. Nach einer Umfrage des Digitalverbands Bitkom aus dem Jahr 2021 sind neun von zehn Unternehmen in den zwölf Monaten zuvor allgemein Opfer eines Cyber-Angriffs geworden. Fast ein Viertel davon entfällt auf den Bereich Ransomware. Kriminelle griffen diesmal offenbar gezielt den IT-Dienstleister «Count and Care» in Darmstadt an, der verschiedene Dienstleistungen für Unternehmen sowie Stadt- und Gemeindeverwaltungen anbietet. «Angreifer sind clever und wählen Multiplikatoren», berichtet Baumann. Denn dadurch steigert sich die Wirkung eines Angriffs.

Wie sind solche Angriffe möglich?  
Baumann vergleicht die IT-Infrastruktur mit einem riesigen Gebäude mit Tausenden Fenstern, die stets verschlossen sein müssen, damit Eindringlinge keine Chance haben. Dennoch gebe es Schwachstellen. «Es ist immer eine Verkettung unglücklicher Umstände», sagt er. Theoretisch müsste jeder Mitarbeiter in einem Unternehmen alleine über die IT-Rahmenbedingungen so geschützt sein, dass es beispielsweise nicht ausreiche, eine Schadsoftware im Anhang einer Mail anzuklicken und so zu aktivieren. Doch oft ist die Software nicht auf dem neuesten Stand. Und damit steht dann quasi ein Fenster offen. Auch IT-Dienstleister seien nicht fehlerfrei, was Sicherheitsfragen angehe, sagt Baumann. Etwa indem die Firmen eine Art Bauplan für alle ihre Kunden verwendeten, der nicht mehr so spezifisch auf Sicherheitsanforderungen einzelner Kunden eingehen könne.

Wie genau gelangten die Hacker in das System von «Count and Care»? 
Die genauen Umstände sind derzeit noch nicht bekannt.  Sie sind Teil der polizeilichen Ermittlungen. Öffentlich gemacht wurde der Cyber-Angriff vor knapp zwei Wochen, an einem Sonntag. Vermutlich war der Zeitpunkt kein Zufall. Das meint auch Baumann von «LocateRisk». Eindringlinge schlügen gezielt dann zu, wenn die IT-Systeme nicht unter enger Beobachtung stünden und Angriffe nicht so schnell auffielen – etwa Freitagabend und am Wochenende. In diesem Zeitraum bräuchten Unternehmen dann noch länger, um Sicherheitslücken zu schließen, als unter der Woche. Die Eindringlinge gingen perfide schnell vor.

Was waren die Folgen dieses Hacker-Angriffs?  
Die Energieversorgung war nicht gefährdet, da sie nach Angaben der Unternehmen über andere IT-Systeme läuft. Dennoch gab es einige spürbare Einschränkungen, die nicht nur die Beschäftigten betrafen: Kundenzentren der kommunalen Verkehrsunternehmen in Mainz und Darmstadt etwa konnten keine Fahrkarten verkaufen. In Frankfurt konnte online kein Termin zur Sperrmüllabfuhr gebucht werden.

Wie lange dauert es, einen solchen Schaden zu beheben?  
Das ist bislang völlig unklar und hängt von verschiedenen Faktoren ab: Wie viele Bereiche sind betroffen? Ist es gelungen, das Einfallstor zu finden und wieder zu verschließen? Welche Datensicherung ist vorhanden?

Klar scheint aber aufgrund früherer Fälle: Bis alles läuft wie vorher, das ist eher eine Frage von Wochen als von Tagen. Die IT-Landschaft müsse ganz von vorne aufgebaut werden, sagt IT-Experte Baumann. Seiner Erfahrung nach nutzen die Unternehmen meist die Gelegenheit, ihre Sicherheitsinfrastruktur bei der IT innerhalb sehr kurzer Zeit auf den neuesten Stand zu bringen. Ein Prozess, der sonst auch mal mehrere Jahre dauern könne, weil die Dringlichkeit sonst nicht gesehen werde.

Was können Behörden und Unternehmen gegen solche Angriffe tun?  
«IT-Sicherheit ist kein Hexenwerk», sagt Baumann. Es gehe um die Einführung von gewissen Standards und Abläufen, die penibel eingehalten werden müssten. «Aber man muss es immer und überall tun.» Das sei eine Frage der «Hygiene» in der IT-Sicherheit. Es brauche gute Pläne, um sich für einen Cyber-Angriff vorzubereiten und etwa die Angriffsfläche sehr klein zu halten.

Versuche, in das System einzudringen, können jederzeit stattfinden. Das Internet wird quasi permanent durchkämmt, Listen mit entdeckten Schwachstellen – den offenen Fenstern im IT-Gebäude – und möglichen konkreten Zielen werden sogar verkauft. Kriminelle können dann einen gezielten Angriff starten. Insgesamt hält Unternehmenschef Baumann mit Blick auf die IT-Sicherheit bei fortschreitender Digitalisierung fest: «Da ist noch viel zu tun.» Ein weiteres Problem sei, dass es derzeit schlicht an Fachkräften für IT-Sicherheit fehle.

Fotos:  Frank Rumpenhorst / dpa, Maik Schwertle / PIXELIO

24.06.22 wel