Viele Formen des Angriffs: So sind Unternehmen gut gewappnet

An einem Freitagmorgen im vergangenen Sommer fiel es auf: In der Arbeitsvorbereitung fehlten plötzlich auf drei Schreibtischen die CAD-Rechner für die Konstruktion und Planung. „Der Diebstahl muss während der Nachtschicht passiert sein“, erinnert sich der Geschäftsführer des mittelständischen Maschinenbaubetriebs noch sehr gut. Der Verlust der Geräte sei leicht verkraftbar gewesen. „Verheerend aber war für die Produktion das plötzliche Fehlen lokal gespeicherter Zeichnungen“, so der 56-jährige Chef. Er zeigte die Tat sofort bei der Polizei an. Und die konnte das Diebesgut schon wenige Tage später sicherstellen. Sie hatte einen Tipp vom externen IT-Dienstleister des Automobilzulieferers bekommen, der die Rechner per Fernwartung betreute und sofort registrierte, dass die Geräte wieder ans Netz angeschlossen wurden.

Neben Konzernen sind auch mittelgroße und kleine Unternehmen lukrative Ziele für Kriminelle, dubiose Organisationen und fremde Staaten. Die Externen wollen zum einen illegal an Firmendaten kommen. Das funktioniert offline neben dem Stehlen von Geräten mittlerweile auch beängstigend häufig online über mangelhaft gesicherte IT-Systeme. Zudem schafften es die Täter immer wieder, Firmengelder auf ihre Konten abzuzweigen, indem sie mithilfe ausspionierter Firmeninterna (Social Engineering) gezielt Mitarbeiter unter Druck setzen und zu sonst unüblichen Handlungen beeinflussen (z.B. CEO-Fraud), erklärt Michael George, Leiter Cyber-Allianz-Zentrum (CAZ) im Bayerischen Landesamt für Verfassungsschutz. Auch schleusen die Hacker über infizierte E-Mail-Anhänge Verschlüsselungstrojaner in Firmen ein, die digitale Betriebsabläufe komplett lahmlegen können (z.B. mit Hilfe von Ransomware). Die Täter fordern dann von den geschädigten Unternehmen ein Lösegeld und geben vor, die IT-Systeme bei Bezahlung wieder freizuschalten.

Gegen Angriffe rüsten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermittelte im Rahmen seiner jüngsten Umfrage unter Firmenvertretern: Für 76 Prozent der Interviewten bergen Cyber-Angriffe das Potenzial, Unternehmensprozesse zu beeinträchtigen. Immerhin jeder Fünfte geht aber nicht davon aus, dass Cyber-Vorfälle Störungen oder gar Ausfälle im Betriebsablauf verursachen. Denen empfiehlt BSI-Präsident Arne Schönbohm mehr Weitsicht. In jedem Fall helfen Profis interessierten Firmen dabei, sich technisch und organisatorisch gegen diese Angriffe zu rüsten.

Der bestohlene Maschinenbauer hat aus dem Zwischenfall gelernt und seitdem täglich sämtliche betrieblichen Daten auf externe Festplatten kopiert. Zum Glück. Denn schon vergangenen Herbst geschah der nächste Zugriff, diesmal allerdings online. Der Chef öffnete damals das Word-Dokument im Anhang einer Bewerbungsmail und schleuste so den Erpressungstrojaner „Ryuk“ ein. Sein Vorteil: Er konnte die anschließende Geldforderung der Hacker ignorieren, weil sein externer IT-Dienstleister sofort die Daten des Vortages einspielte und die Produktion weiterlief – auch wenn die Daten eines Tages fehlten. Achim Schreiner, Kriminalhauptkommissar beim Bundeskriminalamt, BKA, sagt dazu: „Ein Backup der bestehenden Daten empfehlen sowohl das BSI wie auch die Polizei.“ Die Systeme müssten gehärtet sein gegen Angriffe. Denn alleine eine Schadsoftware wie Ryuk existiere in hunderten, wenn nicht gar tausenden von Varianten.

Andere Unternehmen warnen
Falls solch ein Vorfall eine Firma unvorbereitet trifft, empfiehlt Schreiner, die betroffenen Systeme sofort vollständig oder zumindest teilweise vom Rest zu isolieren, also den Stecker zu ziehen, damit sich dort die bereits auf dem System befindliche Schadsoftware nicht weiter ausbreiten kann. Der stellvertretende Sachgebietsleiter des Arbeitsbereichs „Nationale Kooperationsstelle Cybercrime“ in der BKA-Abteilung „Schwere und Organisierte Kriminalität“ ergänzt: Daneben gelte es, die vorhandenen Daten zu sichern. „Für uns ist wichtig, dass die Betroffenen auch Strafanzeige erstatten.“

Schreiners Tipp: „Gute Vorbereitung ist auch hier die halbe Miete.“ Dafür sei es wichtig, feste Abläufe zu organisieren. „Ein erster Schritt ist es“, so Schreiner, „einen IT-Sicherheitsbeauftragten zu bestimmen.“ Das könne für kleine Betriebe auch ein externer Dienstleister sein. Mit dem zusammen ermittelt die Geschäftsleitung im Rahmen einer Risikoanalyse die schützenswerten Teile des Unternehmens: Das sind – unabhängig von Produktionsmitteln wie Maschinen und Fahrzeugen – vor allem firmeneigene Informationen wie auch Kundendaten. Der Techniker hilft dann dabei, diese „firmeninternen Kronjuwelen“ vor unerlaubten Zugriffen so gut es geht zu bewahren – von innen wie von außen.

Profis beraten beim weiteren Vorgehen
Für den Notfall empfiehlt der Kriminalhauptkommissar der Geschäftsleitung, neben der Telefonnummer des IT-Dienstleisters auch die Rufnummer der jeweiligen Zentralen Ansprechstelle Cybercrime (ZAC) greifbar zu haben. „Das ist in der Regel das Landeskriminalamt, wo sich die Firmenzentrale befindet“, erläutert Schreiner und ergänzt: „Dort haben wir kompetente Ansprechpartner, die auf Wunsch auch in die Unternehmen kommen.“ Die Profis beraten ihm zufolge dabei, wie weiter vorzugehen ist, und schauen, ob sich für ein Ermittlungsverfahren noch Daten sichern lassen.

„Ein Restrisiko bleibt immer“, weiß Michael George, Autor des Buches „Gehackt. Wie Angriffe aus dem Netz uns alle bedrohen“. Deshalb stellt sich auch die Frage, ob es sinnvoll ist, eine Cyber-Versicherung abzuschließen. Das ist ihm zufolge im Einzelfall abzuwägen. Er empfiehlt, sich immer erst einmal die alten Policen anzuschauen, weil die recht häufig schon indirekt Cyber-Themen abdeckten. Der Maschinenbauer jedenfalls hat keine derartige Police abgeschlossen. Er vertraut auf neue Arbeitsabläufe, das tägliche Sichern und seinen IT-Dienstleister.

Von Rudolf Kahlen, freier Journalist, im Auftrag des DIHK.

Rubriklistenbild: ©shutterstock Vasin Lee