Hamburg. Immer mehr mittelständische Unternehmen in der Stadt sind von den Angriffen betroffen. Was der Verfassungsschutz sagt.

Sie nennen sich LockBit, Pysa, Avaddon oder Darkside: Gruppen von Kriminellen, die per Internet immer wieder Unternehmen oder Institutionen angreifen – auch in Hamburg. Seit Anfang 2022 sind schon mehrere folgenschwere Cyberattacken gegen Ziele in der Hansestadt bekannt geworden. Darunter waren das Entsorgungsunternehmen Otto Dörner, der Tanklagerbetreiber Oiltanking, die Handelskammer und zuletzt die Kupferhütte Aurubis.

Einer repräsentativen Umfrage des Meinungsforschungsinstituts Ipsos im Auftrag der Commerzbank unter Mittelständlern zufolge ist bereits gut jedes vierte Unternehmen in Hamburg Opfer eines Online-Angriffs geworden. In mehr als der Hälfte der Fälle wurde dabei versucht, Daten durch sogenannte Phishing-Mails zu stehlen. Bei acht Prozent der Firmen kam es gar zu Cybererpressung mit Datensperrungen gegen Lösegeld.

Cyberkriminalität: Kriminelle legen Hamburger Firmen lahm

Dabei verschaffen sich die Kriminellen mittels einer E-Mail, die ein verborgenes Schadprogramm enthält, Zugang zum Computernetzwerk einer Firma oder einer Organisation. Dann legen sie entweder durch Verschlüsselung das System lahm oder sie drohen damit, sensible Kundendaten zu veröffentlichen, sollte das Unternehmen nicht bereit sein, ein Lösegeld zu zahlen – meist in der Digitalwährung Bitcoin, weil das ohne ein identifizierbares Bankkonto geht.

Nach Erkenntnissen des US-amerikanischen Cybersicherheitsspezialisten Coveware lag die durchschnittliche Lösegeldforderung im vierten Quartal 2021 bei mehr als 320.000 Dollar (324.000 Euro), aber bei Großunternehmen kann es um sehr viel höhere Beträge gehen: Im November 2021 forderten Erpresser von den Elektronikhandelsketten MediaMarkt und Saturn zunächst 240 Millionen Dollar Lösegeld. Weil die Unternehmensgruppe offenbar nicht zahlte, fiel das Waren­bestellsystem aus, teilweise funktionierten auch Kassen in den rund 1000 Filialen nicht mehr.

Erpressungsversuche die größte Bedrohung

Solche Erpressungsversuche über das Internet sind nach Einschätzung von Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), aktuell die größte Bedrohung im Cyberbereich. Dabei geht das BSI von einer hohen Dunkelziffer an derartigen Vorkommnissen aus, die dem Amt nicht gemeldet werden.

Generell können Hackerangriffe äußerst wirksam sein. So musste Aurubis die IT-Systeme des gesamten Verwaltungs­bereichs herunterfahren und vorsorglich vom Internet trennen, einschließlich des E-Mail-Programms. Aus der Handelskammer, die als Teil der IHK-Organisation bereits Anfang August von einer Computersabotage-Attacke getroffen wurde, heißt es, man habe zwar die „essenziellen Systeme“ schnell wieder in Betrieb nehmen können. Aber einige Programme seien noch immer nicht wieder im Einsatz. Dazu gehöre unter anderem die Online-Lehrstellenbörse. Monatelange Nachwirkungen eines solchen Angriffs sind keineswegs ungewöhnlich.

Zahlen in den letzten Jahren gestiegen

Allen verfügbaren Daten zufolge hat die Bedrohung über die vergangenen Jahre stark zugenommen. „Bereits im Jahr 2021 war weltweit eine Intensivierung von Cyberangriffskampagnen festzustellen“, heißt es dazu im jüngsten Jahresbericht des Hamburger Landesamts für Verfassungsschutz (LfV). So war die Behörde im vorigen Jahr mit mehr als 120 Firmen oder Institutionen wegen „Cyberfällen“ in Kontakt. Im Jahr 2020 waren es weniger als 60 Fälle, 2017 weniger als 20.

Wie LfV-Sprecher Marco Haase sagt, setzt sich die Aufwärtstendenz in diesem Jahr offenbar fort. Dabei befassen sich die Hamburger Verfassungsschützer nur mit Vorfällen, die mutmaßlich „nachrichtendienstlich gesteuert“ sind, wie Haase erklärt. Er räumt aber ein, dass es schwierig sein kann zu erkennen, ob ein Geheimdienst dahintersteckt oder nicht: „Hackergruppen werden womöglich von Staaten finanziert.“

China und Russland oftmals die Herkunftsländer

Der Behörde zufolge gehören der Hafen, Versorgungsunternehmen und generell die sogenannte „kritische Infrastruktur“ zu den bevorzugten Zielen solcher Angriffe. Einer Studie im Auftrag des Digitalverbands Bitkom zufolge sind zuletzt vor allem die Angriffe durch organisierte Hackerbanden sprunghaft angestiegen, wobei vielfach China und Russland als Herkunftsländer ausgemacht werden konnten.

Durch Datendiebstahl, Spionage und Sabotage sei der deutschen Wirtschaft in diesem Jahr bereits ein Schaden von mehr als 200 Milliarden Euro entstanden. Für die Zunahme der Cyberattacken bereits im vorigen Jahr war nach Bitkom-Erkenntnissen nicht zuletzt der rasche Wechsel von Beschäftigten ins häufig nicht ausreichend geschützte Homeoffice verantwortlich.

Krieg erhöht das Risiko für Cyberangriffe

Seit dem 24. Februar 2022 ist ein weiterer Faktor hinzugekommen: „Der russische Angriffskrieg auf die Ukraine erhöht das Risiko für Cyberangriffe mutmaßlich russischen Ursprungs gegen deutsche und hamburgische Einrichtungen“, heißt es in der Antwort des Hamburger Senats auf eine schriftliche Kleine Anfrage des Bürgerschaftsabgeordneten Sami Musa (fraktionslos). Die verstärkte Unterstützung der Ukraine und die Sanktionen Russlands durch die Bundesregierung könnten zu „verstärkter Cyberspionage und Cybersabotage“ führen.

Zu den Schutzmaßnahmen, die Firmen dagegen ergreifen sollten, gehört laut BSI eine umfassende Schulung aller Mitarbeiterinnen und Mitarbeiter zum Thema Informationssicherheit. Strenge Passwortvorgaben sollten selbstverständlich sein. Um nach einer Verschlüsselungsattacke die IT-Systeme wieder hochfahren zu können, sollte eine Kopie der jüngsten Datensicherung „offline“ vorgehalten werden, rät das BSI. Denn inzwischen sei es üblich, dass Angreifer mit zuvor erlangten Administrator-Rechten gezielt nach allen Backups suchen und diese ebenfalls verschlüsseln.

Cyberversicherungen noch nicht weit verbreitet

Zur Vorsorge zählen mittlerweile auch spezielle Cyberversicherungen. Allerdings sind sie bisher noch nicht sehr weit verbreitet. Nach Angaben des Assekuranz-Branchenverbands GDV hatten Ende 2021 erst knapp 243.000 Kunden eine solche Versicherung, was gemessen an der Zahl von gut 3,5 Millionen Unternehmen in Deutschland noch überschaubar ist.

Angesichts eines Anstiegs der Schadensfälle um 56 Prozent sind die Cyber-versicherer 2021 erst einmal in die Verlustzone gerutscht. Zwar erwartet man in der Branche eine sehr starke Zunahme der Beitragseinnahmen. So prognostiziert der Rückversicherer Munich Re einen Anstieg des weltweiten Prämienvolumens solcher Policen von zuletzt 9,2 Milliarden Dollar (Anfang 2022) auf rund 22 Milliarden Dollar bis 2025.

Cyberkriminalität: Hamburger Firmen sehen sich gut aufgestellt

Allerdings kamen mit Beginn des russischen Angriffs auf die Ukraine gewisse Zweifel auf, wie viel eine derartige Versicherung im Schadensfall tatsächlich wert ist. Denn die meisten der Verträge enthalten einen Kriegsausschluss, eine Attacke staatlich gelenkter russischer Hacker wäre nach Auffassung mancher Experten somit eventuell nicht versichert. Andere wenden dagegen ein, Deutschland befinde sich schließlich nicht im Krieg. Der Branchenverband GDV versuchte bereits im März zu beruhigen: In den meisten Fällen lasse sich ja gar nicht zweifelsfrei feststellen, wer der Täter sei – und die Beweislast, dass der Cyberangriff eine Kriegshandlung darstelle, liege beim Versicherer.

Zu bezweifeln ist jedoch, ob sich die Unternehmen des potenziellen Risikos überhaupt hinreichend bewusst sind. So bietet zwar die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Hamburg Beratungen zur IT-Sicherheit an. „Dieses Angebot wird jedoch nur von einem relativ geringen Teil der Unternehmen in Hamburg angenommen“, sagt Polizeisprecher Sören Zimbal. Vielleicht liegt es daran: Der Commerzbank-Umfrage zufolge meint man in 73 Prozent der Hamburger Firmen, entweder gegen Cyberangriffe bereits gut aufgestellt oder generell nicht betroffen zu sein – womöglich eine teure Fehleinschätzung.