Hamburg. Allein 69 Attacken im ersten Quartal 2023. Evotec, der Flughafen und die HAW gehören zu den Opfern in den vergangenen Monaten.

„123456“ lautete das beliebteste Passwort der Deutschen im Jahr 2022, direkt gefolgt von „123456789“. Unter den „Top 10“ finden sich nach Angaben des auf IT-Themen spezialisierten Hasso-Plattner-Instituts außerdem noch „password“ sowie „passwort“ und „qwertz“. Offensichtlich macht man es Übeltätern, die es auf einen unberechtigten Computerzugang anlegen, nicht allzu schwer.

Ob sich allerdings hoch qualifizierte, staatlich unterstützte Hacker allein durch einen geeigneteren Schlüsselbegriff abhalten lassen, darf bezweifelt werden. Jedenfalls ist es derartigen Tätern in den zurückliegenden Monaten gelungen, die IT-Netze etlicher Unternehmen und öffentlicher Institutionen in Hamburg und im Norden lahmzulegen oder erheblich zu stören.

Hackerangriffe: Hamburger Datenschützer befürchten neuen Höchststand

So sind im April unter anderem der Hamburger Pharma-Wirkstoffforscher Evotec, die Bremer Werftengruppe Lürssen mit ihrer Hamburger Tochter Blohm + Voss sowie das Landesportal schleswig-holstein.de Opfer derartiger Angriffe geworden. Im März traf es die Werften Nobiskrug (Rendsburg) und Flensburger Schiffbau-Gesellschaft, im Januar den Hamburger Flughafen und Ende Dezember die Hochschule für Angewandte Wissenschaften Hamburg (HAW). Unter den prominenten Geschädigten im zweiten Halbjahr 2022 waren außerdem die Handelskammer, die Hamburger Kupferhütte Aurubis und die Betreibergesellschaft des Ohlsdorfer Friedhofs.

Tatsächlich nimmt die Bedrohung stetig zu, wie Zahlen des Hamburgischen Beauftragten für Datenschutz zeigen: Im Jahr 2022 ist die Zahl der gemeldeten Hackerangriffe um knapp 16 Prozent auf 227 Fälle gestiegen. Zum Vergleich: Im Jahr 2018 waren es erst 35. Nach Einschätzung von Ulrich Kühn, dem stellvertretenden Datenschutzbeauftragten für Hamburg, muss in diesem Jahr mit einem neuen Höchststand gerechnet werden: „Wurden uns im ersten Quartal 2022 noch 58 Hackerangriffe gemeldet, sind es im ersten Quartal 2023 bereits 69 – eine Steigerung von knapp 19 Prozent.“

Täter fordern Lösegeld für die Freigabe von Daten – meist in Bitcoin

Abgesehen von Datendiebstahl zwecks Industriespionage, der nach Einschätzung von Experten oft nicht öffentlich gemacht wird, gibt es im Wesentlichen zwei Arten von folgenschweren Attacken. Eine davon heißt im Fachjargon „Denial of Service“. Hierbei wird ein Server-Computer gezielt mit so vielen Anfragen bombardiert, dass das IT-System die Aufgaben nicht mehr bewältigen kann und zusammenbricht.

Daneben haben die sogenannten „Ransomware“-Überfälle in den vergangenen Jahren stark zugenommen. Dabei werden durch eine Schadsoftware, meist durch gefälschte E-Mails eingeschleust, die Daten auf dem IT-System verschlüsselt und eine Freigabe erst gegen Zahlung eines Lösegelds in Aussicht gestellt. Gefordert wird der Betrag üblicherweise in einer Cyber-Währung wie Bitcoin, weil das ohne ein identifizierbares Bankkonto geht. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) drohen die Täter immer häufiger zusätzlich mit der Veröffentlichung der zuvor entwendeten Daten, um das Opfer zusätzlich unter Druck zu setzen.

37 Prozent der Angriffsopfer zahlen das Lösegeld – im Schnitt 370.000 Euro

Zu den von Internet-Erpressern ins Visier genommenen norddeutschen Institutionen und Firmen gehören die HAW, die Lürssen-Werft und der Hamburger Entsorgungskonzern Otto Dörner. Nach Erkenntnissen des auf die Beratung von Ransomware-Angriffsopfern spezialisierten US-Unternehmens Coveware haben im vierten Quartal des vorigen Jahres 37 Prozent der Angriffsopfer tatsächlich ein Lösegeld für die Freigabe ihrer Daten gezahlt, der durchschnittliche Betrag habe bei umgerechnet gut 370.000 Euro gelegen.

Doch wer sind die Täter? Dem BSI zufolge sind die Attacken auf die Internetseiten von Flughäfen sowie Bundes- und Landesverwaltungen zuvor „von der russischen Hackergruppierung Killnet angekündigt worden“. In der Antwort des Hamburger Senats auf eine Kleine Anfrage des Bürgerschaftsabgeordneten Sami Musa (fraktionslos) heißt es: „Der russische Angriffskrieg auf die Ukraine erhöht das Risiko für Cyberangriffe mutmaßlich russischen Ursprungs gegen deutsche und hamburgische Einrichtungen.“ Dazu passt, dass vor wenigen Tagen der Düsseldorfer Panzerhersteller Rheinmetall bereits zum zweiten Mal in diesem Jahr das Ziel einer Attacke aus dem Internet war.

Außer Russland und China soll auch der Iran hinter Hacker-Gruppen stehen

Auch Mike McLellan, ein Experte beim US-Cybersicherheitsunternehmen Secureworks, sieht Hackergruppen, die vom russischen Staat finanziert werden, in der vordersten Reihe der Täter. China hingegen konzentriere sich auf Cyber-Spionage aus politischen und wirtschaftlichen Motiven. Ebenfalls auf diesem Feld aktiv seien Hacker aus dem Umfeld der Iranischen Revolutionsgarde, wobei sie gleichzeitig für Ransomware-Angriffe verantwortlich seien, so McLellan.

Gut geschützt vor derartigen Aktivitäten sind längst nicht alle Firmen und Organisationen. „Unserer Einschätzung nach sind insbesondere die Unternehmen der kritischen Infrastruktur auf solche Angriffe vorbereitet“, sagt Kühn. „Neu ist, dass es auch Institutionen betrifft, bei denen mit Cyberangriffen bisher nicht gerechnet werden musste, wie etwa Hochschulen oder Friedhöfe. Hier besteht fraglos Handlungsbedarf.“

Hackerangriffe: Mehr als 200 Milliarden Euro Schäden in Deutschland

Zwar bietet die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Hamburg kostenlose Beratungen zur IT-Sicherheit an. „Dieses Angebot wird jedoch nur von einem relativ geringen Teil der Unternehmen in Hamburg angenommen“, sagt ein Polizeisprecher. Allerdings sind die Ressourcen auch recht begrenzt. Laut der Senatsantwort auf eine Kleine Anfrage des Bürgerschaftsabgeordneten Sandro Kappe (CDU) vom Februar können „im Schnitt bis zu drei Firmen pro Woche beraten werden“.

Dabei haben die durch Cyberangriffe verursachten Schäden für die deutsche Wirtschaft einen enormen Umfang erreicht. Der IT-Branchenverband Bitkom schätzt sie auf mehr als 200 Milliarden Euro im vergangenen Jahr. Das wird verständlich, wenn man bedenkt, dass die Bewältigung der Folgen einer solchen Attacke nach Angaben von Kühn sehr langwierig sein kann: „Da die Angreifer häufig sehr tief in die Systeme eindringen, kann es teilweise mehrere Monate lang zu erheblichen Einschränkungen kommen.“