Hackerangriffe: Die unsichtbare Gefahr aus dem Netz

Einen falschen Link angeklickt – und schon sind die Hacker im Unternehmensnetzwerk. Vor allem Mittelständler betreiben oft nicht genug Prävention. © dpa | Sina Schuldt

Düsseldorf. Cyberangriffe sind für Unternehmen zu einer immer größeren Bedrohung geworden. Trotzdem unterschätzen viele Firmen die Macht der Hacker.

Ein nahezu verlassenes Bürogebäude in Köln-Ehrenfeld. Nur wenig Sonnenlicht dringt durch die kleinen Fenster und erhellt verwaiste Schreibtische, hier und dort steht noch eine Kiste herum. Einzig das Tippen einer einzelnen Computertastatur durchbricht die Stille. Niklas Hellemann ist ein Chef, der sich an einem Montagnachmittag im Juni über abwesende Mitarbeiter freut. „Glücklicherweise eröffnen wir bald unser neues Hauptquartier“, sagt der 38-jährige Co-Geschäftsführer des 2018 gegründeten Start-Ups „SoSafe“. „Alle Mitarbeitenden könnten wir ohne die Homeoffice-Pflicht nicht mehr unterbringen.“ IT-Sicherheit boomt, seit sich immer mehr Firmen gegen Cyberkriminelle wappnen wollen. 150 Mitarbeiter hat Hellemann inzwischen einstellen müssen, für die in normalen Zeiten gar nicht genug Platz wäre im Büro.

Laut dem neuesten „Lagebericht Cybercrime“ des Landeskriminalamtes (LKA) gab es 2019 in NRW insgesamt 20.118 Fälle von Computerkriminalität im engeren Sinne, darunter Computerbetrug, Sabotage und Spionage. Das entspricht einer Steigerung von 2,2 Prozent im Vergleich zum Vorjahr. Gleichzeitig ist die Aufklärungsquote um 6,1 Prozent gesunken. 2018 konnte bei 35,5 Prozent der Delikte ein Täter ermittelt werden, 2019 nur noch bei 29,4 Prozent.

Hackerangriffe können jeden treffen

Ob es sich bei den Geschädigten um Privatpersonen oder Organisationen handelte, ist in den Zahlen des LKA nicht aufgeschlüsselt. Doch es braucht nur eine kurze Google-Suche, um zahlreiche prominente Beispiele zu finden. So wurden in Nordrhein-Westfalen beispielsweise schon die Ruhr-Universität Bochum und die Universitätsklinik Düsseldorf Opfer von Cyberangriffen. International traf es zuletzt den US-amerikanischen Ölpipeline-Betreiber Colonial Pipeline und den weltgrößten Fleischkonzern JBS.

Vor allem Erpressungssoftware, die sogenannte Ransomware, bewerten Experten als große digitale Bedrohung: Cyberangreifer hacken ein Netzwerk, verschlüsseln die sich darin befindlichen Daten und fordern ein Lösegeld fürs Entschlüsseln. Auch wenn in der Vergangenheit zahlreiche Fälle genau solcher Hackerangriffe öffentlich geworden sind: „Das Dunkelfeld ist extrem groß“, sagt Oberstaatsanwalt Markus Hartmann, Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW). Viele Unternehmen zeigten die Vorfälle gar nicht an, weil sie etwa den Reputationsverlust fürchteten.

Hochprofessionelle Täter

„Die Angreifer werden immer professioneller“, betont Hartmann. Vor Jahren hätten Hackerangriffe allenfalls punktuelle Auswirkungen auf ein Unternehmen gehabt, „heute sind sie fast immer verheerend bis existenzgefährdend.“ Im Bereich Ransomware habe man es mittlerweile mit einer hochprofessionellen, arbeitsteilig agierenden Täterlandschaft zu tun. „Die verschlüsseln die Daten in vielen Fällen nicht mehr nur, sondern stehlen sie und drohen mit der Veröffentlichung“, so der Oberstaatsanwalt.

Matthias Mainz ist Geschäftsführer der Bereiche Wirtschaftspolitik und Digitalisierung bei der IHK Nordrhein-Westfalen. Er sagt: „Erpresserangriffe können jeden treffen.“ © FUNKE Foto Services | MATTHIAS GRABEN

Und: Längst haben die Täter nicht mehr nur große Konzerne im Visier. „Die vermeintliche Sicherheit ‚Bei uns gibt es nichts zu holen‘ existiert nicht mehr“, sagt Matthias Mainz, Geschäftsführer des Bereiches Wirtschaftspolitik und Digitalisierung bei der IHK Nordrhein-Westfalen. „Erpresserangriffe können jeden treffen.“ Mainz erzählt von einem kleinen Einzelhändler, dessen Kundendaten von Cyberangreifern verschlüsselt wurden. Er konnte seine Ware nicht mehr verschicken. Aus Angst, pleite zu gehen, zahlte er das Lösegeld.

Bei GData melden sich häufig Unternehmen, die einem Hackerangriff zum Opfer gefallen sind. Sicherheitsexperte Tim Berghoff erklärt: „Cyberkriminelle kennen sich oft genauso gut aus wie die IT-Abteilung.“ © GDatA

Aber wie kommen die Angreifer überhaupt ins Unternehmensnetzwerk? Tim Berghoff ist Sicherheitsexperte beim Bochumer Softwareunternehmen GData, wo nicht selten die verzweifelten Anfragen gehackter Firmen landen. Er erklärt, dass die Cyberkriminellen „ganz gezielt“ nach angreifbaren Systemen suchen. „Dafür müssen sie nicht einmal selbst am Computer sitzen“, sagt Berghoff. Denn es gebe längst automatisierte Verfahren. Sicherheitslücken können zum Beispiel vergessene Wartungszugänge oder verwaiste Benutzerkonten von Kollegen sein, die schon vor Jahren ausgeschieden sind.

Heimlicher Gast im Unternehmensnetzwerk

Wenn die Schwachstelle gefunden sei, spielten einige Angreifer die Erpressungssoftware sofort auf, erklärt Berghoff weiter. Andere entschieden, dass sie ihr Opfer erst einmal „kennenlernen“ wollen. In diesem Fall bewegen sich die Hacker nicht selten wochen- oder monatelang unerkannt im Unternehmensnetzwerk. Wissen genau, wie das Unternehmen technisch aufgestellt ist. Und spionieren die Geschäftsdaten aus. „Die kennen sich dann genauso gut aus wie die IT-Abteilung“, sagt Berghoff trocken.

Ein ebenso großes Risiko ist das sogenannte „Social Engineering“. So bezeichnet man es, wenn Hacker arglose Mitarbeiter als Einfallstor ins Unternehmensnetzwerk nutzen. Ein bekanntes Beispiel sind Phishing-Mails, die ihren Leser auffordern, einen Link anzuklicken oder einen Anhang zu öffnen. Kommt er dieser Aufforderung nach, kann die Software der Cyberangreifer auf das Firmennetzwerk zugreifen.

Das Kölner IT-Start-Up SoSafe hat sich auf den „Faktor Mensch“ spezialisiert. „Natürlich sollten sich Firmen technisch schützen“, betont Gründer Niklas Hellemann. Anti-Viren-Software, eine Firewall, all das gehöre dazu. Doch man habe es mit Angreifern zu tun, die laufend ihre Taktik den Schutzmaßnahmen anpassten. Und viele Hacker sähen den Menschen als Schwachstelle. „Das muss aber nicht so sein“, sagt Hellemann. SoSafe bietet eine sogenannte „Awareness-Plattform“ an, die Mitarbeitern beibringen soll, Cyberangriffe zu erkennen und abzuwehren. So simuliert die Lernsoftware beispielsweise Phishing-Mails und vermittelt, wie ein sicheres Passwort aussieht.

Mails gezielt auf Empfänger zugeschnitten

Klar ist aber auch: Phishing-Mails sind heute gar nicht mehr so leicht als solche zu erkennen. „Das sind keine Nachrichten in gebrochenem Deutsch mit schlechter Grafik mehr“, so die Erfahrung des IHK-Experten Matthias Mainz. Die Mails seien sehr gezielt auf den Empfänger zugeschnitten und entwürfen ein durchaus vorstellbares Szenario.

Die Corona-Krise hat das Einfallstor für Cyberkriminelle noch einmal deutlich erweitert. Viele Mitarbeiter im Homeoffice fremdeln noch mit der Technik. Hacker nutzen die Unbedarftheit gnadenlos aus. Tim Berghoff von GData berichtet vom Fall einer vermeintlichen Mitarbeiter-Mail der Geschäftsführung, die auf einen neuen internen Chatkanal hinwies. Alles, was man für den Beitritt tun müsse: einem Link folgen und seine Benutzerdaten eingeben.

Die Experten sind sich einig: Um Cyberangriffen vorzubeugen, muss das Thema IT-Sicherheit fest in der Unternehmenskultur verankert sein. Es braucht regelmäßige Bestandsaufnahmen, technisches Know-how und Mitarbeiter-Schulungen. Doch vielen Firmen scheint der Grad der Bedrohung noch nicht klar zu sein. Meist sind es nicht die großen Konzerne, sondern Mittelständler, die die Gefahr unterschätzen.

„IT-Sicherheit kostet eben zunächst“, erklärt Tim Berghoff. Großunternehmen hätten dafür meist eine eigene Abteilung, bei mittelständischen Unternehmen sage man sich dagegen noch oft: „Uns wird es schon nicht treffen.“ Dabei brauche es nur einen verhinderten Zwischenfall, um die gesamten Ausgaben zu rechtfertigen.

Täter sitzen meist im Ausland

Die Täter zu fassen, ist bei Ransomware-Angriffen extrem schwer. „Fast immer sitzen sie im Ausland“, sagt Oberstaatsanwalt Hartmann. „Leider oft in Ländern, die nicht besonders gut mit den deutschen Justizbehörden zusammenarbeiten.“ Deshalb sei es meist unmöglich, sie strafrechtlich zur Verantwortung zu ziehen.

Thorsten Holz, Professor für Systemsicherheit am Bochumer Horst-Görtz-Institut für IT-Sicherheit, weiß: Die drohende Gefahr durch Hacker lässt die IT-Start-Up-Szene boomen. © RUB | Tim Kramer

Doch es gibt auch einen positiven Aspekt. Die steigende Gefahr sorgt für mehr Unternehmensgründungen im Bereich IT-Sicherheit – auch im Ruhrgebiet. „Hier in Bochum haben wir viele Start-Ups mit Bezug zur Ruhr-Uni oder zur Hochschule in Gelsenkirchen“, sagt zum Beispiel Thorsten Holz, Professor für Systemsicherheit am Bochumer Horst-Görtz-Institut für IT-Sicherheit. Trotzdem hinke Deutschland im internationalen Vergleich hinterher.

Zu den Vorreitern gehört Israel. Das Land NRW lud deshalb jüngst zu einer Online-Konferenz mit Schwerpunkt IT-Sicherheit ein und holte israelische Vertreter dazu. Hochrangiger Gast: Tamir Pardo, ehemaliger Direktor des israelischen Geheimdienstes Mossad und heute IT-Unternehmer.

Cyberwaffen seien im Grunde nichts anderes als eine „stille Atombombe“, sagte der im Nahost-Konflikt gestählte Pardo: „Sobald sie eingesetzt werden, töten sie alles. Man kann damit Firmen und sogar ganze Staaten zerstören.“ Doch es gebe auch Grund für Zuversicht – wenn man dem Thema Cybersicherheit die gebührende Wichtigkeit einräume. Pardo wählte die Worte des chinesischen Militärstrategen Sun Tsu: „Wenn Du Deinen Feind kennst und dich selbst kennst, brauchst du das Ergebnis von 100 Schlachten nicht zu fürchten.“

Das ist ein Artikel aus der Digitalen Sonntagszeitung – jetzt gratis und unverbindlich testlesen. Hier geht’s zum Angebot: GENAU MEIN SONNTAG