Hagen. Der Cyberangriff auf Südwestfalen überrascht den IT-Forensiker Karsten Zimmer nicht. Wen er für die Hintermänner hält und wie diese arbeiten.
Karsten Zimmer ist IT-Forensiker. Das bedeutet: Er und die Mitarbeiter seines Unternehmens werden beauftragt, Schlupflöcher für Hackerangriffe in den Systemen von Firmen oder Privatpersonen herauszufinden - damit diese schnell geschlossen werden können. Den Mendener überrascht der Angriff auf die Rathäuser und Kreisverwaltungen in Südwestfalen nicht.
Cyberangriff auf Verwaltungen in Südwestfalen - mehr zum Thema:
- Entscheidend: Wie tief sind Hacker in Systeme eingedrungen?
- Cyberattacke auf Südwestfalen: Was bislang bekannt ist
- IT-Experte nach Cyberattacke: Das kann noch Wochen dauern
- Landeskriminalamt enthüllt: So arbeiten moderne Hacker
- Video: Cyberangriff auf Kommunen in Südwestfalen
Herr Zimmer, wie beurteilen Sie den Angriff auf die öffentliche Infrastruktur?
Karsten Zimmer: Es war ja weniger die Frage, ob es je zu einem solchen Angriff kommt, sondern eher wann. Es tut mir auch leid, dass so sagen zu müssen, aber die Kommunen sitzen auf einem zu hohen Ross. Sie schrecken vor der Zusammenarbeit mit externen Forensikern wie mir zurück, die ihre Systeme testen könnten. So lange das so ist, sind noch viele Hackerangriffe möglich.
Wie kommt das? Müssten öffentliche Einrichtungen nicht besonders gut geschützt sein?
Sind sie aber nicht! Deutschland hinkt digital in fast allen Bereichen hinterher. Wir haben eine viel zu lange Zeit untätig verschlafen. Mittlerweile gibt es viele Unternehmen, die aufgerüstet haben, die Cyberangriffe über einen längeren Zeitraum überstehen können. Aber es gibt immer wieder neue Einfalltore - gerade bei öffentlichen Verwaltungen.
Wer oder was steckt hinter diesem Angriff?
Ich bin mit dem Fall nicht betraut, aber nach allem, was ich bisher an Informationen zusammentragen konnte, stecken offenbar russische Hacker dahinter. Auch ein Zusammenhang mit dem Ukraine-Krieg ist demnach nicht ausgeschlossen.
Wie kommen Sie darauf?
Im Netz ist einiges zum aktuellen Fall zu finden. Zudem weiß ich, dass russische Hacker zuletzt ganze Portale mit möglichen Zugängen zu Unternehmen aufgekauft haben. Damit verdienen Hacker ihr Geld: Sie finden diese Sicherheitslücken, testen aus, ob ein Angriff funktionieren würde - und verkaufen diese Informationen im Darknet, wo sie gerade in Russland auf Interesse stoßen. Für gewöhnlich wird das geschädigte Unternehmen dann erpresst.
Wie läuft so ein Angriff ab?
Bei einem Ransomware-Angriff gelangen Viren – über eine schadhafte Internetseite oder über den Anhang einer E-Mail - ins System. Dort spioniert es alle Daten aus, die in diesem Fall bei Südwestfalen IT anfallen: Namen, Rechnungen, Sozialleistungen. Das passiert leise im Hintergrund. Und wenn die Software genug Daten gesammelt hat, werden diese verschlüsselt.
Wer steckt dann genau hinter solchen Aktionen?
Das sind teilweise private Hacker, die das zu ihrem privaten Vergnügen oder Profit machen. Allerdings werden solche Attacken auch stark von staatlicher Seite gesteuert – oder zumindest nicht verhindert. Hackerangriffe sind in Russland nicht strafbar.
Was hilft es Russland, wenn in Olsberg das Rathaus zumachen muss?
Es ist ja eben nicht nur Olsberg, sondern betrifft Dutzende Städte. Es geht darum, die Kommunen zu schwächen, Deutschland zu schwächen und handlungsunfähig zu machen. Man kann das vielleicht auch als eine Art Machtdemonstration interpretieren. Dieser Angriff auf die Südwestfalen IT hat Ähnlichkeit mit einem Cyberwar, dem Krieg im Internet. Mit solchen Attacken nimmt der Formen an. Dass es jetzt NRW und Südwestfalen erwischt, ist vermutlich einfach Pech. Aber das passiert an anderen Stellen ja auch. Krankenhäuser und Universitäten waren schon betroffen, Unternehmen sowieso. Die Fälle nehmen zu.
Wie reagiert das betroffene Unternehmen in einem Fall wie diesem?
Die Südwestfalen IT ist grundsätzlich gut aufgestellt. Da arbeiten Menschen, die ihren Job verstehen. Aber das schützt nicht vor Betriebsblindheit. Das, was an Daten da ist, muss jetzt dringend gesichert werden. Zudem wäre es wichtig, wenn Backups erstellt worden sind - also eine Kopie der Systeme und Daten aus Zeiten vor dem Angriff vorläge. Das klingt banal, aber aus meiner Tätigkeit weiß ich, dass oft zwar Backups erstellt werden, die aber nicht daraufhin überprüft wurden, ob sie womöglich fehlerhaft sind. Dann hat man ein Problem.
Aus der Erfahrung beurteilt: Wann werden die Systeme wieder laufen?
Das kann ich natürlich nicht vorhersehen. Aber wenn es sich wirklich um einen russischen Angriff handelt, dann gehe ich eher von Tagen und Wochen aus.