Duisburg. Unternehmen in Duisburg sind schon oft Zielscheibe von Hackern geworden. Es gilt eine Meldepflicht für Angriffe – warum Firmen sie missachten.
Es ist nachts um 4 Uhr, als der Beauftragte für IT-Sicherheit feststellt, dass sämtliche auf den Servern der Universität Duisburg-Essen (UDE) gespeicherten Daten durch unbekannte Täter verschlüsselt wurden. Der Cyberangriff hat am 27. November die Hochschule lahmgelegt, noch immer kämpft die UDE mit den Folgen. Dabei ist die medial präsente Attacke auf die Lehranstalt kein Ausnahmefall in Duisburg.
Die Zentral- und Ansprechstelle Cybercrime NRW (ZAC NRW), die das Ermittlungsverfahren leitet, zählt derzeit mehr Verfahren wegen Angriffen auf IT-Infrastrukturen als je zuvor. Vor allem handele es sich um sogenannte „Ransomware“-Angriffe, mit der Hacker die Server verschlüsseln und Lösegeld verlangen. So wie im Fall der Universität Duisburg-Essen. Die Spuren zu den Tätern führen fast immer ins Ausland.
Cyberangriffe in Duisburg: Jedes dritte Unternehmen soll betroffen sein
Konkrete Zahlen für Duisburg hat die Commerzbank ermitteln lassen. Demnach soll jedes dritte Unternehmen der Rhein-Ruhr-Stadt bereits Opfer eines Cyberangriffs geworden sein. Im Bundesdurchschnitt sind es mit 43 Prozent sogar noch deutlich mehr. Bei fast drei Viertel der Unternehmen wurde dabei versucht, Daten durch Phishing-Mails zu stehlen.
Die Daten stammen aus einer Unternehmerkunden-Studie, die das Bankinstitut in Auftrag gegeben hat. Für diese wurden bundesweit 2500 Unternehmen mit einem Jahresumsatz von bis zu 15 Millionen Euro vom Meinungsforschungsinstitut Ipsos befragt, davon 100 in der Region um Duisburg. Bei mehr als der Hälfte der in Duisburg befragten Unternehmen trägt die Geschäftsführung die Verantwortung für die Cybersicherheit. Bei 17 Prozent gibt es eigene IT-Experten. Jede vierte der befragten Firmen greift auf externe Dienstleister zurück.
Duisburger Firma unterstützt Mittelstand bei der IT-Sicherheit
Ein solcher Dienstleister mit Sitz in Duisburg ist das Unternehmen F&M Consulting. Das Kerngeschäft ist die Sicherheitsberatung mittelständischer Fertigungsbetriebe, etwa Automobilzulieferer. Die Unternehmen haben rund 50 bis 200 Mitarbeiter, Namen der Firmen werden aus Gründen der IT-Sicherheit nicht genannt.
Von der Rhein-Ruhr-Stadt aus sind zwölf IT-Spezialisten beschäftigt, die sich um die Cybersicherheit der Kunden kümmern sollen. Dabei blickt das System minütlich auf bis zu 150 Indikatoren, die eine Bedrohung frühzeitig identifizieren sollen, erklärt Sascha Gröne, IT-Consultant und Entwicklungsleiter des Unternehmens. „Das sind zum Beispiel geänderte Dateien oder Mitarbeiter, die sich nachts um 12 Uhr im System anmelden“, sagt der Experte.
Angriffe der Hacker erfolgen oft in Zeiten der Betriebsruhe
So wie im Fall der Universität Duisburg-Essen erfolgen die Überraschungsangriffe oft in Zeiten der Betriebsruhe. „Wenn die Angriffswelle startet, etwa in der Nacht, an Wochenenden oder an Feiertagen, so reichen je nach Unternehmensgröße zirka zwei Stunden der Verwüstung aus und alle Systeme sind nicht mehr einsatzbereit“, so Gröne. Oft aber haben sich die Hacker schon wochenlang zuvor wie das berühmte trojanische Pferd in das System geschlichen, bis am Tag X der Angriff erfolgt.
Je nach Gefahrenstufe werden von der IT-Firma Mitarbeiter des betroffenen Unternehmens alarmiert – bis hin zu einer Not-Aus-Einrichtung, die unmittelbar mit dem Beginn einer Verschlüsselung alle Systeme stromlos schaltet und so einen Schaden verhindern soll. So hatte man sich auch an der Universität Duisburg-Essen dazu entschieden, die Hochschule komplett vom Netz zu nehmen. Durch die frühzeitige Entscheidung ist das Universitätsklinikum Essen nicht von dem Cyberangriff betroffen, heißt es in einem Bericht der Landesregierung.
Unternehmen kommen einer Meldepflicht nicht immer nach
Der Schaden für die Universität ist dennoch immens. Laut der Studie der Commerzbank beklagt auch jedes fünfte der betroffenen Unternehmen in Duisburg dabei Schäden durch die Angreifer. Diese reichen von finanziellen Verlusten über Imageschäden bis hin zum Verlust von Kundendaten.
[Duisburg-Newsletter gratis abonnieren + Seiten für Duisburg: Stadtseite + Blaulicht-Artikel + MSV + Stadtteile: Nord I Süd I West + Themenseiten: Wohnen & Immobilien I Gastronomie I Zoo]
Falls bei einem Cyberangriff personenbezogene Daten betroffen sind, muss ein Unternehmen die zuständige Aufsichtsbehörde darüber informieren. Die DSGVO schreibt dafür ein Zeitfenster von 72 Stunden vor. Nicht jedes Unternehmen kommt dieser Pflicht nach, sagt Sascha Gröne. Aufgrund von Reputationsängsten, aber auch aus Sorge, die Ermittlungen des LKA könnten die Wiederherstellung der Systeme verzögern. Deshalb soll es durch eine IT-Sicherheit erst gar nicht so weit kommen.
Und kommt es in vielen Fällen auch nicht. Bei einem Großteil der Angriffe (88 Prozent) ist es dem „Faktor Mensch“ und der Aufmerksamkeit von Mitarbeitenden zu verdanken, dass Schlimmeres verhindert werden konnte, so das Ergebnis der von der Commerzbank in Auftrag gegebenen Studie. Über die Hälfte der Unternehmen verdanke die erfolgreiche Abwehr dem Einsatz von Sicherheits-Software.