Hackerattacken und Cyberangriffe sind schon lange keine Seltenheit mehr im digitalen Alltag von Unternehmen, Behörden und Bürgern. Auch im Vogelsberg und der Region schlagen...
VOGELSBERGKREIS. Der Alltag der Menschen digitalisiert sich immer schneller - sei es im Beruf oder privat, auf dem Land oder in der Stadt. Das gilt natürlich auch für die Kriminalität. Cyberattacken und Hackerangriffe auf Unternehmen nehmen zu - Gründe sind meist, Erpressungsversuche, Spionage oder ganz direkt Geld- und/oder Datendiebstahl. Jüngster Fall, der in der Region bekannt wurde, war die Attacke auf die Supermarktkette tegut, die mit den Folgen immer noch zu kämpfen hat. Aber wie sieht es generell in der Region aus? Wie präsent ist das Thema auch im Vogelsbergkreis: Werden oder wurden auch andere heimische Unternehmen Opfer von solchen Angriffen? Was wird zur Erhöhung der IT-Sicherheit getan? Und was ist eigentlich mit öffentlichen Verwaltungen? Geraten auch diese ins Visier von Cyberkriminellen?
Eines vorweg: Der Fall tegut ist ein Ausnahmefall. Nicht was die Art und Weise der Attacke betrifft, sondern hinsichtlich des Gangs an die Öffentlichkeit. Da durch die Angriffe und Datendiebstähle auch die Kundschaft betroffen war, weil etwa öffentlich wahrnehmbar in den Märkten die Lieferketten unterbrochen waren, war dieser Schritt unvermeidlich. Ansonsten zeigen sich befragte Unternehmen der Region sehr sensibel und zurückhaltend, was Fragen zu potenziellen Gefahren, tatsächlichen Attacken oder Strukturen der internen IT-Sicherungsmaßnahmen betrifft. Es steht immerhin viel auf dem Spiel. "Bitte haben Sie dafür Verständnis, dass das Thema bei einer so internationalen Unternehmensgruppe sehr komplex ist und daher nicht weiter vertieft werden soll", teilte etwa das Alsfelder Unternehmen Kamax auf Anfrage mit. Auch die Duoplast AG in Lauterbach hat sich auf eine Anfrage zu Fragen potenzieller oder realer Angriffsgefahren bis Redaktionsschluss nicht geäußert. Ein weiteres angefragtes Unternehmen wollte nicht einmal mit Namen erwähnt werden, obwohl laut eigener Auskunft bislang keinerlei Attacken stattgefunden hätten. Die Unsicherheit scheint groß zu sein. Laut einer Studie von 2019 des kriminologischen Forschungsinstituts Niedersachsen, über Cyberangriffe gegen Unternehmen in Deutschland, erklärten rund 41,1 Prozent der befragten Unternehmen in den zwölf Monaten des von der Studie erfassten Zeitraums von mindestens einem Angriff betroffen gewesen zu sein.
GenoIT, ein Tochterunternehmen der VR Bank Hessenland, entwickelt für heimische Unternehmen im Vogelsberg Lösungen in Sachen IT-Sicherheit. Hinsichtlich des aktuellen Stands von IT-Sicherungsstrukturen regionaler Unternehmen erklärt GenoIT-Geschäftsführer Markus Rensch, dass immer noch "Luft nach oben" sei. "Kundensysteme abzusichern gestaltet sich immer komplexer. Gerade die wachsende Anzahl von Netzwerkgeräten, und der Kundenwunsch der Steuerung dieser Systeme von außen erfordert weitere Sicherheitsmechanismen, die mehrstufig aufzubauen und in mehrere Schutzwälle zu gliedern sind. Die beliebten und oft vorgefundenen Router aus dem Heimbereich eignen sich zur Firmenabsicherung nicht", so Rensch weiter. Heimische Betriebe sähen oft nur den Kosten-Nutzeneffekt, wenn Sie bereits Erfahrungen mit Ausfällen gemacht haben. Treiber für die Investition in weitere Sicherheit sei daher oft nur der äußere Druck der Geschäftspartner, wenn etwa Zertifikate vorgehalten und Standards umgesetzt werden müssen. Die Einstellung: "Wir sind eh uninteressant und uns trifft es nicht" - sei weiterhin weit verbreitet, so der IT-Experte des Alsfelder Unternehmens. Was also sollten Unternehmen auf alle Fälle beherzigen?
Neben der individuell angepassten Sicherheitsinfrastruktur sei es ebenso wichtig, die Kunden im Umgang mit potenziellen Gefahren zu schulen. Regelmäßige Sensibilisierung und Trainings seien daher genauso wichtig, wie die engmaschige und regelmäßige Kontrolle und Anpassung der Systeme nur die Summe und genaue Abstimmung der eingesetzten Komponenten könne im Gesamtkonzept den nötigen Schutz bieten. Weiterhin gingen Angriffe vor allem in die Breite in der Hoffnung, ein Ziel zu treffen. Es zeige sich auch, so Rensch, dass aufgrund größerer Lösegeldforderungen interessante Ziele wieder stärker in den Focus rückten. Und dabei nähmen Angreifer nicht nur die Technik ins Visier, sondern auch diejenigen, die selbige bedienen, nämlich die Mitarbeiter: "Der Aufwand der individuellen Recherche, um Mitarbeiter etwa zum Klick auf einen Anhang oder Link zu verleiten, lohne sich sehr oft für die Angreifer. Daher gehöre neben der Investition in die Sicherheitstechnik auch immer die Investition in die Datensicherung.
Das gilt auch für öffentliche Verwaltungen. Die Stadt Alsfeld etwa wurde im Januar 2020 Opfer eines Hackerangriffes. Die Stadt wurde damals erpresst. Die Drohung: Die Computer in der Verwaltung werden verschlüsselt, wenn Geldforderungen nicht erfüllt werden. Die Stadt hatte daraufhin die Server abgeschottet. Die Computer wurden überprüft, ehe sie wieder schrittweise wieder ans Netz genommen wurden. Auswirkungen für die Bürger gab es keine. Auswirkungen auf die innere Sicherheitsstruktur schon. Die Stadt hat in Folge des Angriffes zahlreiche Maßnahmen ergriffen, wie die Stadtverwaltung mitteilt - unter anderem eine Änderung der Backup-Strategie durch die Einführung von Magnet-Bändern. Zugriffe von extern oder nach intern wurden auf das Nötigste begrenzt und werden ständig kontrolliert und geprüft. Auch die die Umstellung des freien Internets auf einen anderen Anbieter und die weitere Sensibilisierung und Schulung von Mitarbeitern für Gefahren im Internet und per Mail wurde veranlasst. Der Anschluss externer Speicher ist seit denn Angriffen nur noch nach Freigabe durch die EDV möglich. Weitere Attacken habe es seitdem nicht mehr gegeben.
Auch erfolgreiche Hackerangriffe auf die Systeme der Kreisverwaltung habe es bislang noch nicht gegeben, wie Kreispressesprecherin Sabine Galle-Schäfer erklärt. Angriffsversuche auf IT-Systeme allerdings schon. Dies sei nicht zuletzt einer ausgeprägten Automatisierung von Angriffen geschuldet. Zum Beispiel würden Phishing-Mails massenhaft versendet oder Internetanschlüsse auf verwundbare Systeme mit bekannten Schwachstellen gescannt, um diese nachfolgend zu attackieren. "Das ist nicht unüblich und betrifft auch IT-Systeme des Vogelsbergkreises", so die Kreisverwaltung. Ein erfolgreicher Angriff mit Ransomware liege aber bisher nicht vor. "Zum Schutz unserer Systeme wird eine Vielzahl von technischen und organisatorischen Maßnahmen getroffen und kontinuierlich überprüft", versichert die Pressesprecherin. Das Thema IT-Sicherheit habe aber einen sehr hohen Stellenwert, daher würden auch "unsere Mitarbeiterinnen und Mitarbeiter sensibilisiert, da vereinzelt auch Angriffe zu beobachten sind": E-Mails mit aktuellem Sachbezug würden bisweilen an Beschäftigte gesendet - das sogenannte "Spear-Phishing". "Wir achten daher darauf, im Bereich IT-Sicherheit in allen Personalbereichen eine hohe Kompetenz zu vermitteln, indem regelmäßig Schulungen und "Awareness Trainings" durchgeführt werden", so Sprecherin Galle-Schäfer.
Zurück zum "öffentlichen Fall" tegut, wo die Hacker im Darknet auch Dateien aus dem Bereich Marktforschung veröffentlicht hatten: Dieser demonstriert gut, was ein betroffenes Unternehmen durchmachen könnte: "Bei den Daten handelt es sich unter anderem um Auskünfte von Kunden, vornehmlich "GuteKarte"-Kunden, die im Rahmen von Befragungen oder Marktforschungsstudien zu ihrem Einkaufsverhalten gegeben wurden. In einzelnen Dateien beinhalten diese Daten auch Kontaktinformationen der Kunden, wie die Anschrift, E-Mail und Telefonnummer", heißt es in einer Pressemitteilung des Unternehmens-Geschäftsführer Thomas Gutberlet hatte bereits bei der ersten Veröffentlichung von Daten erklärt, dass man "kriminellen Machenschaften keinen Vorschub" leisten werde. "Wir lassen uns auf keine Verhandlungen mit Kriminellen ein. Uns ist klar, dass die Täter jetzt den öffentlichen Druck auf tegut erhöhen und Verunsicherung bei Kunden, Mitarbeitenden und Lieferanten provozieren wollen, um ihre Forderungen durchzusetzen." Das Unternehmen habe sich auf die "erwartbare Eskalation gut vorbereitet und auch weitere Vorkehrungen zum Schutz der Kunden getroffen". Tegut arbeite seit Beginn des Angriffs eng mit den zuständigen Strafverfolgungsbehörden sowie externen IT-Sicherheitsexperten zusammen und unterstützt die laufenden Ermittlungen, so die Geschäftsleitung. Noch immer muss sich das Unternehmen mit den Auswirkungen der Attacke zu beschäftigen, auch wenn die Probleme "fast" wieder komplett behoben sind, wie die tegut-Presseabteilung auf Anfrage erklärt: "Die wichtigsten systemgestützten Services insbesondere in der Logistik laufen wieder stabil. Damit sind wir wieder fast vollständig im Routinebetrieb. Inzwischen ist auch die Warenverfügbarkeit wieder in allen Märkten gegeben. Der momentane Betrieb läuft störungsfrei", erklärt Johanna Ammermann von der Unternehmenskommunikation. Die Ermittlungen liefen weiter und weitere Attacken seien bislang ausgeblieben.
Datensicherheit und IT-Schutzsysteme sind die neuen Schlüssel, Tresore und Mauern des 21. Jahrhundert und die Angreifer sind zahllos und bleiben meist unsichtbar. Der Kampf hat gerade erst begonnen.
+++++
Ulrich Bühler, Professor für Angewandte Mathematik im Fachbereich Angewandte Informatik der Hochschule Fulda hat seinen Lehr- und Forschungsschwerpunkt auf Netzwerk- und Datensicherheit, Kryptografie und formale Methoden der IT-Sicherheit gelegt. In einem vom Bundesministerium für Bildung und Forschung geförderten Projekt, namens VERCA wollen Bühler und sein Team ein Frühwarnsystem entwickeln, welches verteilte Cyberattacken in kollaborierenden Rechnernetzwerken erkennen soll. Im Interview spricht der Experte über Motive und Methoden im Kampf gegen Hackerangriffe:
Herr Professor Bühler, mit tegut wurde ein größeres heimisches Unternehmen Opfer einer Hackerattacke. Sind Ihnen aus der jüngsten Zeit weitere Mittelständler aus der Region bekannt, denen es ähnlich ging?
Nein. Wenn jedoch derartige Angriffe stattgefunden haben, ist es im Interesse des Unternehmens damit (zunächst) nicht an die Öffentlichkeit zu gehen, sondern entsprechende Behörden zu kontaktieren, mit denen der Angriff forensisch untersucht werden kann, um die Wege, über die die Angreifer in das jeweilige System, etwa den E-Mail-Server oder die Warenwirtschaftsplattformen, gelangt sind und gegebenenfalls vorhandene Schutzmechanismen umgangen haben, nachzuvollziehen. Bei tegut ist es nur deshalb bei den Kunden aufgefallen, weil unter anderem das Warenbestellsystem nicht mehr funktioniertem beziehungsweise abgeschaltet wurde und zu leeren Regalen in den Verkaufsfilialen geführt hat.
Es gibt Hacker, die einfach zum Spaß in fremde Systeme eindringen und andere, die gezielt Erpressungsversuche starten. Muss im Prinzip jedes regionale Unternehmen, sei es der kleine Handwerksbetrieb oder eine Supermarktkette mit solchen Angriffen rechnen?
Allgemein gesehen: Nein. Angreifer suchen sich ganz gezielt ihre Opfer aus, sie recherchieren deren IT-Systeme, Rechnernetze, Web-Server usw., suchen nach Schwachstellen in Betriebssystemen und Anwendungen, aber auch nach den finanziellen Möglichkeiten, wenn es um Ransomware (Erpressung von Lösegeld für verschlüsselte Daten) gehen soll. Sie suchen aber auch gezielt Informationen, die sie gewinnbringend im Darknet anbieten können oder die sie im Auftrag dritter erbeuten sollen. Und das lange, bevor dann der eigentliche Angriff durchgeführt wird.
Gibt es bei solchen Angriffen ein bestimmtes Muster?
Ja, entsprechend der Intention: Auswahl der Opfer, Suche nach Schwachstellen der IT-Systeme, Entwicklung einer Angriffssoftware, Durchführung der Cyberattacke (Einschleusung von Malware, Einrichtung einer Hintertür, das Nachladen weiterer Angriffssoftware über Command&Control-Server, das Absaugen der gesuchten Informationen, die Beseitigung möglicher Spuren und das Verhökern der Informationen im Darknet oder die Übergabe der Informationen an Auftraggeber, beziehungsweise die Erpressung des angegriffenen Unternehmens
Im Falle Tegut haben die Täter die gestohlenen Daten im sogenannten Darknet veröffentlicht. Können Sie kurz erklären, um was es sich dabei handelt und wie wichtig dieses für Einzel- oder Gruppentäter ist?
Das Darknet ist ein versteckter Teil des Internets, zu dem man nicht mit einem üblichen Browser, wie etwa Chrome oder Firefox, sondern nur mit einem speziellen Browser - oft Tor-Browser - gelangt. Aktivitäten/Kommunikation im Darknet sind nicht nachverfolgbar, sie werden verschlüsselt und über mehrere Rechner umgeleitet bevor Daten beim eigentlichen Ziel ankommen. Auch können Inhalte nicht mit üblichen Suchmaschinen, wie Google gefunden werden. Notwendig sind bestimmte Zugangsschlüssel und entsprechender Browser. Angeboten werden im Darknet alle Dinge, die normalerweise illegal sind: Drogen, Waffen, Mordaufträge, aber auch Software, Raubkopien, Identitätsdiebstahl oder Angriffssoftware.
Wie bewusst sind sich, Ihrer Einschätzung nach, mittelständische Unternehmen dieser Gefahr? Tun sie genug oder ist Datensicherheit für viele noch ein eher untergeordnetes Thema?
Schwer zu beurteilen, da ich nicht in die Unternehmen schauen kann. Aber allgemein gilt: Große international agierende Unternehmen haben eigene Security-Abteilungen und Task Forces, mittlere Unternehmen haben meist einen Grundschutz (BSI Grundschutzhandbuch) und holen sich auch externe Unterstützung, kleine Unternehmen haben meist noch Nachholbedarf hinsichtlich eines wirkungsvollen Sicherheitsmanagements.
Gibt es bestimmte Faustregeln, die Unternehmen befolgen sollten, um sich wirkungsvoll vor solchen Attacken zu schützen?
Ganz generell gilt: IT-Sicherheit ist kein Produkt, das man kaufen kann, sondern ist ein kontinuierlicher Prozess, der stets hinterfragt und weiter vorangetrieben werden muss. Mit jedem neuen Server und jeder weiteren Anwendung ändert sich die Sicherheitslage. Allgemein etablierte sogenannte State-of-the-art Schutzmechanismen können dann nicht mehr ausreichend sein. Dann hilft eine Bedrohungs- und Risikoanalyse, die Schwachstellen der IT-Systeme offenlegt und deren Analyse dann zur Einrichtung weiterer präventiver Schutzmaßnahmen führen (proaktive Sicherheit). Dies betrifft nicht nur technische und organisatorische Maßnahmen, sondern auch mehr und mehr rechtliche Vorgaben und Gesetze (unter anderem Datenschutzgrundverordnung). Ist nicht genügend Know-how im eigenen Unternehmen vorhanden helfen Penetration Tests externer Spezialisten, mit denen der Sicherheitsstand geprüft werden kann. Auch können Versicherungen gegen den Ausfall der Systeme durch Cyberangriffe abgeschlossen werden.
Während der Corona-Pandemie arbeiten zahlreiche Angestellte heimischer Unternehmen im Homeoffice, teils auch an privaten Endgeräten. Begünstigt diese Arbeitsweise die Anfälligkeit für Hackerangriffe?
Auf jeden Fall, wenn die Kommunikation zwischen Endgerät im Homeoffice und Unternehmensschnittstelle und die Endgeräte selbst nicht ausreichend abgesichert ist. Dann werden diese Geräte zum Einfallstor für Angriffe auf die Rechnernetze der Unternehmen.
Müsste Ihrer Meinung nach die Politik hier stärker reglementieren, also bestimmte Sicherheitsstandards einfach gesetzlich vorschreiben, ähnlich den gängigen Brand- oder Arbeitsschutzregeln?
Aus meiner Sicht hat die Politik hier einiges vorangetrieben, unter anderem die europäische Datenschutzgrundverordnung oder das deutsche IT-Sicherheitsgesetz. Aber aus Sicht der IT-Sicherheit könnte natürlich noch mehr unternommen werden.