An einem Freitagmorgen im vergangenen Sommer fiel es auf: In der Arbeitsvorbereitung fehlten plötzlich auf drei Schreibtischen die CAD-Rechner für die Konstruktion und Planung. „Der Diebstahl muss während der Nachtschicht passiert sein“, erinnert sich der Geschäftsführer des mittelständischen Maschinenbaubetriebs noch sehr gut. Der Verlust der Geräte sei leicht verkraftbar gewesen. „Verheerend aber war für die Produktion das plötzliche Fehlen lokal gespeicherter Zeichnungen“, so der 56-jährige Chef. Er zeigte die Tat sofort bei der Polizei an. Und die konnte das Diebesgut schon wenige Tage später sicherstellen. Sie hatte einen Tipp vom externen IT-Dienstleister des Unternehmens bekommen, der die Rechner per Fernwartung betreute und sofort registrierte, dass die Geräte wieder ans Netz angeschlossen wurden. Neben Konzernen sind auch mittelgroße und kleine Unternehmen lukrative Ziele für Kriminelle, dubiose Organisationen und fremde Staaten. Die Externen wollen zum einen illegal an Firmendaten kommen. Das funktioniert offline neben dem Stehlen von Geräten mittlerweile auch beängstigend häufig online über mangelhaft gesicherte IT-Systeme. Zudem schafften es die Täter immer wieder, Firmengelder auf ihre Konten abzuzweigen, indem sie mithilfe ausspionierter Firmeninterna (Social Engineering) gezielt Mitarbeiter unter Druck setzen und zu sonst unüblichen Handlungen beeinflussen (zum Beispiel CEO-Fraud), erklärt Michael George, Leiter Cyber-Allianz-Zentrum (CAZ) im Bayerischen Landesamt für Verfassungsschutz. Auch schleusen die Hacker über infizierte E-Mail-Anhänge Verschlüsselungstrojaner in Firmen ein, die digitale Betriebsabläufe komplett lahmlegen können, beispielsweise mit Hilfe von Ransomware. Die Täter fordern dann von den geschädigten Unternehmen ein Lösegeld und geben vor, die IT-Systeme bei Bezahlung wieder freizuschalten.
GEGEN ANGRIFFE RÜSTEN
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermittelte im Rahmen seiner jüngsten Umfrage unter Firmenvertretern: Für 76 Prozent der Interviewten bergen Cyber-Angriffe das Potenzial, Unternehmensprozesse zu beeinträchtigen. Immerhin jeder Fünfte geht aber nicht davon aus, dass Cyber-Vorfälle Störungen oder gar Ausfälle im Betriebsablauf verursachen. Denen empfiehlt BSI-Präsident Arne Schönbohm mehr Weitsicht und stellt klar: „Cyber-Angriffe können jeden treffen, unabhängig von der Größe eines Unternehmens. Jedoch ist gerade der Mittelstand ein beliebtes Ziel von Angreifern, weil dort sehr viel Know-how vorhanden ist, das für Außenstehende lukrativ ist. Gleichzeitig haben zahlreiche Firmen immer noch Nachholbedarf bei der Cyber-Sicherheit. Informationen zu Angriffsmethoden und Schutzmaßnahmen stellt das BSI im Rahmen der Allianz für Cyber-Sicherheit zur Verfügung. Dort finden Unternehmen Hilfen und Handlungsempfehlungen zur richtigen Reaktion auf einen Cyber-Vorfall.“ Gefragt sei vor allem die Geschäftsleitung: „Viele Unternehmensleitungen sehen die Chancen der Digitalisierung, überlassen deren Risiken aber ihrer IT-Abteilung, sofern diese existiert. Das ist der falsche Ansatz. Die Digitalisierung, die wir alle wollen und von der Unternehmen profitieren, wird nur dann erfolgreich sein, wenn auch für das nötige Maß an Informationssicherheit gesorgt ist“, weiß Schönbohm. Die Geschäftsführung müsse diesen Teil deswegen im Rahmen des regulären Risikomanagements mit betrachten, Risikoanalysen machen und entsprechende Schutzmechanismen etablieren. Das betreffe das Unternehmen, aber auch dessen Produkte, so der Experte. Sein Appell: „Die Unternehmensleitung sollte erstens Cyber-Sicherheit als Chefsache verstehen, zweitens ein firmenweites Informationssicherheitsmanagement etablieren und drittens sicherstellen, dass die notwendigen Investitionen getätigt werden. Dabei gilt es, nicht nur das Unternehmen zu betrachten, sondern auch die hergestellten Produkte.“
In jedem Fall helfen Profis interessierten Firmen dabei, sich technisch und organisatorisch gegen diese Angriffe zu rüsten. Der bestohlene Maschinenbauer hat aus dem Zwischenfall gelernt und seitdem täglich sämtliche betrieblichen Daten auf externe Festplatten kopiert. Zum Glück. Denn schon vergangenen Herbst geschah der nächste Zugriff, diesmal allerdings online. Der Chef öffnete damals das Word-Dokument im Anhang einer Bewerbungsmail und schleuste so den Erpressungstrojaner „Ryuk“ ein. Sein Vorteil: Er konnte die anschließende Geldforderung der Hacker ignorieren, weil sein externer IT-Dienstleister sofort die Daten des Vortages einspielte und die Produktion weiterlief – auch wenn die Daten eines Tages fehlten. Achim Schreiner, Kriminalhauptkommissar beim Bundeskriminalamt, BKA, sagt dazu: „Ein Backup der bestehenden Daten empfehlen sowohl das BSI wie auch die Polizei.“ Die Systeme müssten gehärtet sein gegen Angriffe. Denn alleine eine Schadsoftware wie Ryuk existiere in hunderten, wenn nicht gar tausenden von Varianten.
ANDERE UNTERNEHMEN WARNEN
Falls solch ein Vorfall eine Firma unvorbereitet trifft, empfiehlt Schreiner, die betroffenen Systeme sofort vollständig oder zumindest teilweise vom Rest zu isolieren, also den Stecker zu ziehen, damit sich dort die bereits auf dem System befindliche Schadsoftware nicht weiter ausbreiten kann. Der stellvertretende Sachgebietsleiter des Arbeitsbereichs „Nationale Kooperationsstelle Cybercrime“ in der BKA-Abteilung „Schwere und Organisierte Kriminalität“ ergänzt: Daneben gelte es, die vorhandenen Daten zu sichern. „Für uns ist wichtig, dass die Betroffenen auch Strafanzeige erstatten.“
Schreiners Tipp: „Gute Vorbereitung ist auch hier die halbe Miete.“ Dafür sei es wichtig, feste Abläufe
zu organisieren. „Ein erster Schritt ist es“, so Schreiner, „einen IT-Sicherheitsbeauftragten zu bestimmen.“ Das könne für kleine Betriebe auch ein externer Dienstleister sein. Mit dem zusammen ermittelt die Geschäftsleitung im Rahmen einer Risikoanalyse die schützenswerten Teile des Unternehmens: Das sind – unabhängig von Produktionsmitteln wie Maschinen und Fahrzeugen – vor allem firmeneigene Informationen wie auch Kundendaten. Der Techniker hilft dann dabei, diese „firmeninternen Kronjuwelen“ vor unerlaubten Zugriffen so gut es geht zu bewahren – von innen wie von außen.
PROFIS BERATEN
Für den Notfall empfiehlt der Kriminalhauptkommissar der Geschäftsleitung, neben der Telefonnummer des IT-Dienstleisters auch die Rufnummer der jeweiligen Zentralen Ansprechstelle Cybercrime (ZAC) greifbar zu haben. „Das ist in der Regel das Landeskriminalamt, wo sich die Firmenzentrale befindet“, erläutert Schreiner und ergänzt: „Dort haben wir kompetente Ansprechpartner, die auf Wunsch auch in die Unternehmen kommen.“ Die Profis beraten ihm zufolge dabei, wie weiter vorzugehen ist, und schauen, ob sich für ein Ermittlungsverfahren noch Daten sichern lassen. „Ein Restrisiko bleibt immer“, weiß Michael George, Autor des Buches „Gehackt. Wie Angriffe aus dem Netz uns alle bedrohen“. Vor allem das regelmäßige Sensibilisieren der Belegschaft sei ein Muss: „Wie dies geschieht, hängt von den Möglichkeiten und der Struktur des Unternehmens ab. Interne oder externe Schulungen sind ein Weg; Übungen und Tests eine andere“, empfiehlt beispielsweise Schönbohm. Auch der Austausch mit anderen sei ein wesentliches Element für mehr Cyber-Sicherheit in Deutschland. „Aus den Erfahrungen anderer zu lernen und die eigenen Erfahrungen als Warnung an andere weiterzugeben, ist ein Grundgedanke der Allianz für Cyber-Sicherheit“, betont der BSI-Präsident.
Auch stellt sich auch die Frage, ob es sinnvoll ist, eine Cyber-Versicherung abzuschließen. Hier müsse im Einzelfall abgewägt werden. Kriminalhauptkommissar Schreiner empfiehlt, sich immer erst einmal die alten Policen anzuschauen, weil die recht häufig schon indirekt Cyber-Themen abdeckten. Der Maschinenbauer jedenfalls hat keine derartige Police abgeschlossen. Er vertraut auf neue Arbeitsabläufe, das tägliche Sichern und seinen IT-Dienstleister.
Beitrag: Rudolf Kahlen, DIHK
Rubriklistenbild: Animaflora PicsStock/stock.adobe.com
