Zuerst fielen einzelne IT-Dienste aus. Dann gaben virtuelle Maschinen den Geist auf, das sind abgekapselte Softwaresysteme innerhalb eines Rechners. Und schließlich waren ganze Gruppen dieser Maschinen nicht mehr zu erreichen. Das Überwachungsprogramm, das die Computersysteme der Wilken Software Group in Ulm rund um die Uhr auf Verfügbarkeit und Leistung prüft, meldete immer neue Ausfälle.
„Da sind bei uns alle Alarmzeichen angegangen“, erzählt Jörn Struck, der technische Direktor des Unternehmens. Die Aufregung erwies sich als berechtigt: Eine Prüfung ergab, dass 80 Prozent der Firmenserver verschlüsselt worden waren. Die Wilken Software Group, ein Mittelständler mit 600 Mitarbeitern und sechs Standorten in Deutschland und Europa, war Opfer eines Hackerangriffs geworden.
Millionenschäden durch Hacker
Vorfälle wie dieser geschehen in Deutschland jeden Tag, wenngleich meist abseits der Öffentlichkeit. Denn die meisten betroffenen Firmen scheuen sich, über solche Attacken zu sprechen, aus der verständlichen Furcht heraus, zusätzlich zu dem erlittenen Schaden auch noch das Vertrauen ihrer Kunden zu verlieren. Allerdings birgt der schamhafte Umgang mit Cyberangriffen eine eigene Gefahr: Weil zu wenig darüber geredet wird, unterschätzen viele Firmen die Bedrohung, die von kriminellen Hackern ausgeht, noch immer – und wie wichtig es ist, sich davor zu schützen.
Darauf zu hoffen, dass es das eigene Unternehmen schon nicht erwischt, kann sich niemand mehr leisten. Das zeigen Veröffentlichungen wie der jüngste Cyber-Security-Report der Beratungsgesellschaft Pricewaterhouse-Coopers. Darin geben 30 Prozent der deutschen Firmen an, dass sie in den letzten drei Jahren einen Schaden von mindestens einer Million Euro allein durch Datendiebstahl erlitten haben. In manchen Fällen bedrohen die erlittenen Verluste sogar die Existenz einer Firma. Und die Gefahr wächst mit jedem Jahr: Nicht nur die Zahl der Angriffe steigt, sondern auch die Raffinesse der Täter. Die „Gefährdungslage im Cyberraum“ sei „hoch wie nie“, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht.
Bei den meisten Attacken auf Unternehmen handelt es sich um sogenannte Ransomware-Angriffe. Dabei schleusen kriminelle Hacker eine Schadsoftware in die IT-Systeme ihres Opfers ein, die den Zugriff auf Dateien oder ganze Systeme sperrt, in manchen Fällen auch sensible Daten wie Passwörter absaugt. Anschließend fordern die Angreifer Lösegeld, gegen welches sie versprechen, die Daten freizugeben.
Weiterverkauf der Daten im Darknet
Manchmal drohen sie zudem, die gestohlenen Daten zu veröffentlichen oder im Darknet zu verkaufen. 24,3 Milliarden Euro Schaden pro Jahr entstehen deutschen Unternehmen allein durch Ransomware, heißt es in der Studie „Cybersicherheit in Zahlen“, einer gemeinsamen Veröffentlichung der IT-Sicherheitsfirma G-Data, von Statista und dem Wirtschaftsmagazin brand eins.
Ein weiteres Erlösmodell besteht darin, gestohlene Daten direkt im Darknet zu verkaufen. Wieder andere Hacker nutzen Cyberangriffe, um Konkurrenten auszuspähen. „Firmen wie Handwerksbetriebe leben davon, die besten Angebote zu machen, etwa in öffentlichen Ausschreibungen“, sagt Volker Wittberg, Leiter des Instituts für Cybersicherheit und digitale Innovationen der Fachhochschule des Mittelstands in Bielefeld. „Es kommt vor, dass die ausspioniert werden, und dann bleibt der Wettbewerber nur zwei Euro drunter. So etwas passiert jeden Tag.“
Im Auftrag des nordrhein-westfälischen Verfassungsschutzes hat seine Fachhochschule das „Lagebild Wirtschaftsschutz NRW 2021/22“ verfasst. Demnach ist das Schutzniveau der dort ansässigen Unternehmen im Vergleich zum ersten Lagebericht von 2019 sogar gesunken.
Niemand ist sicher
Als Erklärung führen die Experten die Corona-Pandemie an: Zum einen mussten viele Firmen ihre Mitarbeiter von einem Tag auf den anderen ins Homeoffice schicken, oft ohne den nötigen zeitlichen Vorlauf sowie die Expertise, um Kommunikation, Daten- und Systemzugriffe aus der Ferne abzusichern. Zudem erlitten viele Betriebe während der Covid-Lockdowns erhebliche Einbußen – keine günstige Zeit, um in zusätzliche IT-Sicherheit zu investieren. Kleinere Firmen schützen sich dem Bericht zufolge weniger als größere; im Branchenvergleich wiederum schneiden Gastronomie, Hotellerie, Handwerk und Handel am schlechtesten ab.
„Das ist auch eine Frage des Bewusstseins“, meint Volker Wittberg. „Erst letztens hatte ich eine Diskussion mit einem Handwerker, der mir sagte: Cybersicherheit interessiert mich nicht, was ist bei mir schon zu holen?“
Ein Trugschluss, wie der Blick auf Studien und Medienberichte zeigt: Denn kein Betrieb, egal welcher Größe, ist vor Cyberattacken gefeit. Zu den Firmen, die allein in den vergangenen Monaten angegriffen wurden, zählen Großkonzerne wie der Automobilzulieferer Continental oder der Babybreihersteller Hipp ebenso wie kleinere Betriebe, etwa die Vita Zahnfabrik in Bad Säckingen und die Flensburger Mürwiker, die Werkstätten und Wohnheime für Menschen mit Behinderungen betreibt.
Die Wege, auf denen die Hacker in fremde IT-Systeme eindringen, sind vielfältig. Besonders beliebt ist die klassische Phishing-Mail: Dabei verschicken die Angreifer E-Mails mit gefälschtem Absender, die den Empfänger auffordern, auf einen Link zu klicken oder eine Datei im Anhang zu öffnen. Fällt das Opfer darauf herein, wird auf seinem Computer eine Schadsoftware installiert. Eine solche Phishing-Mail war es, die den Cyberangriff auf die Softwarefirma Wilken auslöste.
Schadensbegrenzung durch Software
Andere Hacker suchen mit automatisierten Tools nach Schwachstellen, durch die sie sich anschließend Zugang verschaffen, sei es in der firmeneigenen IT, genutzten Programmen, Firewalls oder vernetzten Geräten wie Routern. Und wie jede Branche, die sich im Auftrieb befindet, durchläuft auch das dunkle Feld der Cyberkriminalität eine stetige Professionalisierung. So setzen immer mehr Kriminelle auf Arbeitsteilung, lagern also die verschiedenen Bestandteile eines Cyberangriffs auf spezialisierte Hackergruppen aus. „Cybercrime-as-a-Service“ nennt das BSI diesen Trend.
Die Schäden, die für die Opfer entstehen, können erheblich sein. Bei der Wilken Software Group gelang es den Angreifern, große Teile des internen IT-Netzwerks der Firma lahmzulegen: Mails, Telefonie, Entwicklungswerkzeuge, nichts mehr funktionierte, selbst die Webseite des Unternehmens ließ sich anfangs nicht mehr erreichen.
Dass es nicht noch schlimmer kam, verdankt Wilken einer Vorsichtsmaßnahme. Die Firma stellt sogenannte ERP-Software her – ein Akronym für Enterprise-Resource-Planning –, die Organisationen bei Planung und Management von Personal, Betriebsmitteln und Ähnlichem unterstützt. Zu ihren Abnehmern zählen mehrere Hundert Stadtwerke, außerdem Krankenkassen und Kirchen. Die meisten dieser Kunden nutzen zum Betreiben der Software das firmeneigene Rechenzentrum von Wilken – welches von dem Angriff unberührt blieb: Die Wilken Software Group hatte klugerweise darauf geachtet, beide Netze getrennt voneinander zu unterhalten.
Unternehmen können sich wehren
Zu Methoden und Zielen der Kriminellen möchte Jörn Struck, der 47-jährige Technikchef der Firma, keine näheren Angaben machen. Über die Folgen aber spricht er offen. „Die Angreifer haben einen Großteil unserer internen IT-Infrastruktur zerstört“, berichtet er im Zoom-Gespräch. Zwar hatte die Firma ihre Systeme mittels Backups gesichert. Der Wiederaufbau nahm dennoch mehrere Wochen in Anspruch – wertvolle Zeit, in der der normale Betrieb weitgehend am Boden lag: „Softwareauslieferungen und ganze Einführungsprojekte haben sich verzögert.“
Immerhin erhielt das Unternehmen bei der Aufarbeitung schnelle und professionelle Hilfe, sowohl vonseiten der Ulmer Kriminalpolizei als auch von der Cyberversicherung, die Wilken zuvor abgeschlossen hatte. Die Versicherung schickte schon am Tag nach dem Angriff eine Expertin vorbei, die Anwälte, Kommunikationsexperten sowie eine externe Sicherheitsfirma mit ins Boot holte. Letztere half bei der Analyse des Vorfalls und legte abschließend eine Reihe von Empfehlungen vor, mit denen Wilken sich in Zukunft besser schützen könne. Die Liste reichte von erhöhter Passwortsicherheit über die stärkere Trennung einzelner Netzwerke bis hin zur Mitarbeiterschulung. Denn auch das lehrt das Beispiel Wilken: Unternehmen sind kriminellen Hackern nicht machtlos ausgesetzt. Sie können vieles tun, um sich besser zu schützen, und mehr und mehr Firmen bemühen sich auch darum.
Eine besonders weitreichende Lösung hat die Schwarz-Gruppe gewählt, einer der größten Einzelhandelskonzerne der Welt, zu dem die Discounter-Ketten Lidl und Kaufland gehören: Der Handelsriese aus Neckarsulm kaufte vor einem Jahr gleich eine ganze Cybersicherheitsfirma auf. „Ein Unternehmen unserer Größenordnung erhält Tausende Angriffe pro Tag“, berichtet Rolf Schumann, Digitalchef der Schwarz-Gruppe, im Zoom-Gespräch. „Anfang 2021 haben wir gemerkt: Die Angriffe auf uns verändern sich, die Attacken auf die Schwachstellen werden intelligenter. Mir war klar: Wir müssen die Art ändern, auf die wir uns schützen.“
Angriffsübungen aus Israel
Bei der Suche nach geeigneter Technologie wurde er auf das israelische Start-up XM Cyber aufmerksam, zu dessen Gründern Tamir Pardo gehört, ein früherer Chef des israelischen Auslandsgeheimdiensts Mossad. XM Cyber sicherte zu jenem Zeitpunkt unter anderem den Hamburger Hafen. Dort ließ sich Schumann von den Israelis ihre Vorgehensweise demonstrieren – und blieb beeindruckt zurück. „Die gehen da anders ran“, erzählt Schumann mit noch immer spürbarer Begeisterung, „nicht aus einer Verteidigungsposition heraus, sondern aus der Perspektive des Angreifers.“ XM Cyber entwickelt zunächst ein virtuelles Modell sämtlicher IT-Systeme einer Firma und simuliert dann rund um die Uhr automatisch Angriffe darauf, um Schwachstellen ausfindig zu machen.
Schumann, der sich selbst als „sehr israelaffin“ beschreibt und schon früher mit israelischen Firmen zusammengearbeitet hat, war überzeugt: „Das müssen wir in unsere Sicherheitsstrategie aufnehmen.“ Für rund 700 Millionen US-Dollar übernahm die Schwarz-Gruppe Ende 2021 das Start-up. Langfristig sollen die Israelis nicht nur den Konzern selbst auf Schwachstellen abklopfen, sondern auch Partnerunternehmen und Lieferanten.
Unter Großkonzernen, meint Schumann, seien umfangreiche Maßnahmen in Sachen Cybersicherheit inzwischen Standard – was nicht ohne Konsequenzen bleibe: „Inzwischen merken Hacker: Die Großen sind relativ gut geschützt, deshalb zielen die jetzt stärker auf den Mittelstand.“ Kleinere Firmen haben naturgemäß weniger Ressourcen für externe Dienstleister, Berater und Software übrig. Schumann glaubt allerdings, dass die nötige Vorsorge oft weniger an den Finanzen scheitert als vielmehr an der Einstellung der Firmenleitung. „Das Problem mit Cybersicherheit ist, dass sie der IT überlassen wird“, sagt er. „Wenn ein Erpresserschreiben aus dem Drucker kommt, wem legen Sie’s hin? Dem Vorstandsvorsitzenden. Deshalb ist Cyber ein Thema für die Chefetage.“
Brauche ich wirklich Cyber-Abwehr?
Mangelndes Problembewusstsein beklagen auch viele Experten. Der Studie „Cybersicherheit in Zahlen“ zufolge weiß nur jeder zweite Beschäftigte, was bei einem IT-Sicherheitsvorfall zu tun ist. Und immerhin 18,3 Prozent der Arbeitnehmer glauben, dass die Firma, für die sie arbeiten, Warnungen zu Schwachstellen und kritischen Sicherheitslücken unterschätzt.
Für viele bleibe Cyberkriminalität ein abstraktes Thema, meint Volker Wittberg von der Fachhochschule des Mittelstands. Gerade kleineren Unternehmen falle es häufig schwer, den Wert virtueller Sicherheitsmaßnahmen zu erkennen. „Wenn ich für 300.000 Euro einen Zaun um mein Werksgelände baue, versteht jeder: Da bekomme ich einen Gegenwert für mein Geld“, sagt Wittberg. „Wenn ich aber für 300.000 Euro Cybersecurity-Software kaufen soll, gibt es oft den Reflex: Ist das überhaupt sein Geld wert?“
Dabei ließe sich vieles auch schon ohne größere Investitionen verbessern. Ganz oben stehen dabei Aufklärung und Weiterbildung. Schließlich reicht es aus, wenn, wie im Fall der Softwarefirma Wilken, ein einzelner Angestellter auf den Link in einer Phishing-Mail klickt, um einen Angriff in Gang zu setzen. „Der am schlechtesten vorbereitete Mitarbeiter ist das einfachste Einfallstor in die ganze Firma“, sagt Wittberg.
IT made in Germany
Zudem können relativ einfache technische Lösungen helfen, das Risiko eines Cyberangriffs wenigstens zu mindern: das regelmäßige Abspielen von Updates etwa, um Sicherheitslücken in bestehenden Programmen zu schließen; die Multi-Faktor-Authentifizierung, die das Knacken von Passwörtern nicht unmöglich, aber wenigstens schwerer macht; moderne Sicherheitsarchitekturen, die verschiedene IT-Systeme getrennt voneinander schützen und damit das Ausbreitungspotenzial von Schadsoftware begrenzen.
Das könnte Sie auch interessieren:
Weitere Schutzmaßnahmen können externe IT-Sicherheitsdienstleister und -produkte bieten. Dabei muss es nicht immer die teure Technik aus der Hightech-Nation Israel sein. Ausgerechnet die israelische Expertin Haya Shulman bricht eine Lanze für Software made in Germany. „Es gibt Deutsche, die denken, alles, was mit Cyber zu tun hat und aus Israel kommt, ist exzellent“, sagt sie. „Dabei würde ich mir wünschen, dass mehr Deutsche sehen, was hier in Deutschland passiert.“
Mit Anfang 40 zählt Shulman zu den Größen der männerdominierten Cybersecurity-Szene hierzulande. Am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt leitet sie die Abteilung Cybersecurity Analytics and Defences; an der Wolfgang-Goethe-Universität in Frankfurt lehrt sie als Informatikprofessorin. 2021 erhielt sie für eine von ihr entwickelte Lösung den deutschen IT-Sicherheitspreis von der Horst-Görtz-Stiftung, der als prestigeträchtigste Auszeichnung der Branche gilt.
Israel hat einfach perfektes Marketing
Shulman, die die deutsche Sprache sowohl auf hohem Niveau als auch in beeindruckendem Tempo spricht, kennt beide Welten: Israel, dessen Cybersektor als weltweit führend gilt, mit seinen vielen jungen, ehrgeizigen Start-ups; und Deutschland, diesen Champion der traditionellen Industrien, der sich mit der Umstellung auf alles Digitale noch immer ein wenig schwertut – so jedenfalls besagt es das Klischee.
Ausgerechnet Shulman nimmt Deutschland leidenschaftlich in Schutz. „Ich finde nicht, dass Deutschland hinter Israel herhinkt“, sagt sie. Das BSI zum Beispiel habe deutlich mehr Ressourcen und Mitarbeiter als sein israelisches Pendant. Und Israel möge zwar zahlreiche Start-ups haben. „Aber viele Start-ups in Deutschland können mehr“, versichert Shulman. „Man hört hierzulande bloß nichts davon, weil die Deutschen – anders als die Israelis – nicht behaupten, sie hätten die Welt erobert, bevor sie nicht wirklich etwas Bedeutsames entwickelt haben.“ Sie lacht: „Die Deutschen sollten von den Israelis lernen, wie man Marketing betreibt.“
Als Beispiel für ein deutsches Start-up, das ohne großen Lärm solide Cybersicherheitslösungen anbietet, nennt sie Locate-Risk, eine Zwölf-Mann-Firma in ihrer Wahlheimat Darmstadt. Dessen 27-jähriger Gründer Lukas Baumann erscheint im Rollkragenpullover zum Videointerview und plaudert so unprätentiös von den Erfolgen seiner Firma, als ginge es um seinen letzten Surfurlaub.
Hygiene in der IT
Rund 400 Kunden im deutschsprachigen Raum hat Locate-Risk seit seiner Gründung vor zwei Jahren gewinnen können, dazu auch einige im Ausland, „von Norwegen bis Dubai“, wie Baumann grinsend berichtet. Die Basislösung, die seine Firma anbiete, sei so günstig, dass sie sich auch für kleine Unternehmen lohne: Immerhin zähle zu ihren Kunden auch ein Zahnarzt mit zehn Mitarbeitern.
Das Programm testet die IT-Systeme von Organisationen auf Schwachstellen, produziert eine Zusammenfassung der Sicherheitslage und liefert Hinweise, was sich verbessern ließe. Oft zählten dazu einfache Dinge wie das Abspielen von Patches. „Viele Unternehmen befolgen einfachste Hygienemaßnahmen nicht“, hat der junge Gründer beobachtet. „Dabei ist IT-Sicherheit kein Hexenwerk, das sind Standardprozesse, die man regelmäßig durchführen muss.“
Weitere Unterstützung kann eine Cyber-Versicherung bieten, so wie jene, die die Wilken Software Group abgeschlossen hat. Solche Policen decken in der Regel nicht nur die entstandenen Schäden ab, sondern bieten auch professionelle Unterstützung. „Das Abschließen solcher Versicherungen hat in den letzten zwei Jahren extrem zugenommen“, berichtet Thomas Völker, Ressortleiter für Cyber-Versicherungen beim Versicherungsmakler VSMA, einer Tochterfirma des Verbands Deutscher Maschinen- und Anlagenbau.
Hundertprozentigen Schutz gibt es nicht
Neben Hilfe bei Forensik, Krisenmanagement und Rechtsberatung bietet die VSMA-Police auch Unterstützung bei der Verhandlung mit Erpressern. „Die Unternehmen kommen gar nicht mehr drum herum, in Cybersicherheit zu investieren“, ist Völker überzeugt. Und für manche Maßnahmen müssen Firmen nicht einmal Geld ausgeben: Viele staatliche Stellen bieten Unterstützung, die jedoch noch zu oft ungenutzt bleibe, meint Volker Wittberg von der Fachhochschule des Mittelstands. So unterhalten beispielsweise die Landeskriminalämter sogenannte Cyber-Hotlines, die Mitarbeiter wählen können, um sich bei dem Verdacht auf einen Cyberangriff fachkundige Hilfe zu holen. Oft lasse sich mit einer schnellen und richtigen Reaktion noch einiges retten. „Die Hotline-Nummer an die Wand zu hängen, ist nicht schwierig“, sagt Wittberg, „da zieht auch das Kostenargument nicht.“
In einer Sache sind sich die Experten einig: Hundertprozentigen Schutz gibt es nicht. Schließlich sind Unternehmen auch von externen Dienstleistern und Produkten abhängig, deren Sicherheit sie allenfalls bedingt kontrollieren können. Die israelische Expertin Haya Shulman hat mit ihrem Team am Fraunhofer-Institut um die 40 beliebte Router verschiedener Hersteller untersucht. „Dabei haben wir gravierende Schwachstellen gefunden“, berichtet sie. „Wir haben diese Hersteller kontaktiert, und sie haben Patches für neue Versionen entwickelt – nicht aber für die alten Versionen, die sie schon verkauft haben.“ Auch manche Programme bergen Tücken. Das BSI spricht von 20.174 Schwachstellen in Softwareprodukten, die 2021 bekannt wurden, immerhin 13 Prozent davon „kritisch“.
Vom Angriff erholt
Trotzdem haben die Experten auch eine gute Nachricht für besorgte Unternehmer: Oft reiche es aus, es Hackern so schwer wie möglich zu machen. „Die Angreifer suchen sich die einfachsten Ziele“, sagt Haya Shulman. Stießen sie auf Widerstand, zögen sie meist einfach zum nächsten potenziellen Opfer weiter.
Die Wilken Software Group in Ulm hat sich inzwischen von dem Angriff erholt. Seit Anfang Dezember kann sie sämtliche ihrer Produkte wieder ausliefern. Und ihr Umgang mit dem Vorfall habe der Firma geholfen, wertvolles Vertrauen zu bewahren, berichtet Jörn Struck. „Wir haben alle Kunden persönlich angesprochen, einen Großteil einzeln abtelefoniert und mehrere Pressemitteilungen verfasst“, sagt er. „Unsere Kunden waren sehr dankbar für die transparente Kommunikation, viele haben mit Zuspruch und guten Wünschen reagiert.“ Dazu habe der Vorfall die Mitarbeiter noch enger zusammengeschweißt.
Nun ist die Firma damit beschäftigt, neue Sicherheitsmaßnahmen zu etablieren. Schließlich, sagt Struck, liege in der Krise auch eine Chance: „zu lernen, wie wir manche Dinge noch besser machen können.“
Dieser Text stammt aus der Januar-Ausgabe des Cicero, die Sie jetzt am Kiosk oder direkt bei uns kaufen können.
Sie sind Cicero-Plus Leser? Jetzt Ausgabe portofrei kaufen
Sie sind Gast? Jetzt Ausgabe kaufen