Cyber-Angriffe auf Betriebe nehmen zu | HANDWERK IN BERLIN 2023 - 3"Es ist ein Erlebnis, das ich keinem wünsche"

Mike Heider konnte regelrecht zusehen, wie die Angreifer seinen Elektrotechnik-Betrieb überfielen – nicht etwa mit der Brechstange, sondern heimlich und geräuschlos. Er arbeitete im Büro seines Betriebs am PC, nichtsahnend, als sich plötzlich sämtliche Dateinamen änderten. Die bekannten Endungen „.jpg“ oder „.docx“ wandelten sich in „.crab“ um – eine Datei nach der anderen, rasend schnell. Mike Heider wusste sofort, was passiert: Ein Hackerangriff, bei dem die Dateien verschlüsselt wer­den. „Da steigt dein Puls aber ganz schnell“, sagt der Geschäftsführer rückblickend.

Alles, was es brauchte, damit die An­greifer in das Firmensystem eindringen und den Verschlüsselungstrojaner (auch: Ransomware oder Erpressungstrojaner) implementieren konnten, war ein mit ei­nem leicht zu knackenden Passwort gesi­chertes E-Mail-Postfach. Die Kriminellen hackten sich über den Mailserver ins Sys­tem und hatten es auf Geld abgesehen. Bei Heider Elektro ging schon bald die Forderung ein, einen Betrag in Krypto-währung zu bezahlen, um wieder Zugriff auf die Daten zu erhalten: eine gängige Vorgehensweise bei Cyberangriffen.

Dass die Täter sich so leicht Zugriff ver­schaffen konnten, sei „peinlich“, sagt Heider, wenn er heute an diesen Vorfall im Jahr 2018 zurückdenkt. Aber er weiß auch, dass es jeden Betrieb zu jeder Zeit treffen kann und dass er und sein Team im Nachgang des Cyberangriffs alles richtiggemacht haben.

Das Team ignorierte damals die Löse­geldforderung, zog die Stecker, damit sich der Schaden nicht weiterverbreiten konnte und dank einer guten vorherigen Datensicherung, gelang es schon bald mithilfe eines IT-Dienstleisters, alle rele­vanten Dateien wiederherzustellen. „Es ist ein Erlebnis, das ich keinem wünsche“, sagt Heider.

Die Fälle von Cyberangriffen häufen sich jedoch seit Jahren. Die Hacker haben es nicht nur auf große Unternehmen und Regierungen abgesehen. Kleine und mit­telständische Betriebe wie auch Hand­werksbetriebe, sind bei Weitem nicht ausgenommen. Die Cyber-Kriminellen setzen Unternehmen im Prinzip ungezielt unter Dauerbeschuss und wenn sie dann irgendwo eine Sicherheitslücke ausma­chen, nutzen sie sie.

Im Fall von Heider Elektro erfolgte der Angriff vermutlich mithilfe sogenannter Exploits. Dies sind kleine Programme, die Sicherheitslücken auf einem Com­puter ausfindig machen. Der laut dem Bundesamt für Verfassungsschutz aber weiterhin am häufigsten genutzte Weg für Cyberangriffe sind Phishing-Mails. Hier erhält der Adressat eine vermeint­lich authentische E-Mail, die z. B. über einen Hyperlink auf eine Website ver­weist, der Besuch der Website löst dann den ersten Schritt der Infektion mit einer Schadsoftware aus.

Hinter den Cybersecurity- Angriffen stehen Einzel­personen oder Gruppen, die als Hacker, Cyberkri­minelle oder Hackergrup­pen bekannt sind. Jede dieser Gruppen hat un­terschiedliche Ziele, aber vielen ist gemein, dass sie extrem gut organisiert sind, sagt Olaf Borries, Kriminalhauptkommissar der Zentralen Ansprech­stelle Cybercrime (ZAC) für die Berliner Wirtschaft am Rande des IT-Sicherheitstages am 5. September an der TH Wildau. Laut Bitkom entstehen der deutschen Wirtschaft jährlich 200 Milliarden Euro Schaden durch Cyberangriffe.

Norman Burger, Information Security & Data Protection Con­sultant bei der Cancom SE, einem deutschen IT-Dienstleister ist sich sicher, dass das Risiko eines Angriffs noch weiter stei­gen wird: „Durch KI und Automatisierung entstehen noch mehr Angriffsflächen für Cyberkriminelle.“ Gleichzeitig sei es gerade für kleine Unternehmen mit wenig Personal schwie­rig, sich in puncto IT-Sicherheit professionell aufzustellen. Burger rät aus Fallstudien zu lernen, sich mit anderen Un­ternehmen auszutauschen und fokussiert auf einen Angriff vorzubereiten.

Denn von entscheidender Bedeutung sei es, bereits im Vorfeld verschiedene Cybersicherheitsmaßnahmen zu ergreifen (s. Interview), um die Daten umfassend abzusichern. Denn wenn die Daten einmal kompromittiert sind, könne es zu spät sein, den entstandenen Schaden vollständig zu begrenzen.

Obwohl alles gut ging, haben auch Mike Heider und sein Team im Nachgang des Cyberangriffs 2018 ihre Sicherheits­maßnahmen noch einmal massiv verstärkt. „Neben der RAID 3 Datensicherung der laufenden Prozesse, führen wir tägliche, wöchentliche, monatliche und jährliche Datensicherungen auf externen Datenträgern durch, die nochmals um cloudbasierte Sicherungen erweitert wurden“, sagt Heider. Alle Passwörter würden regelmäßig gewechselt und die Mitarbeiter geschult. „Links in E-Mails zu öffnen, sowie Office-Dateien, ist prinzipiell untersagt“, erklärt Mike Heider. Aber Heider sagt auch: Eine absolute Sicherheit gebe es nie, man könne nur wachsam sein. Er selbst hat ein paar der „.crab“-Dateien von damals als An­denken aufbewahrt. Oder besser gesagt: als Mahnmal.

"Eine gute Vorbereitung ist das A und O"

Interview mit den Cybercrime-Experten der Berliner Polizei

Aufgrund der zunehmenden Digi­talisierung geraten Unternehmen vermehrt ins Visier von Cyberangrif­fen. Unter den Betroffenen sind auch Handwerksbetriebe. Wir haben mit Kriminalhauptkommissar Olaf Borries und Kriminaloberkommissar Lars Huwald von der Zentralen Ansprech­stelle Cybercrime (ZAC) für die Berliner Wirtschaft über das Cybersecurity- Risiko für Unternehmen gesprochen und wie man reagieren sollte, wenn der Ernstfall eintritt.

Herr Borries, Herr Huwald, was ist das Einfallstor Nummer 1 für Cyber­kriminelle?

Lars Huwald: Der Klassiker ist immer noch die Phishing-Mail. Ein Mitarbeiter oder eine Mitarbeiterin öffnet einen darin enthaltenen Link und eine Schadsoftware wird heruntergeladen. Derartige E-Mails können sehr professionell sein und sich sehr geschickt in tatsächliche Geschäfts­korrespondenzen integrieren.

Gibt es Branchen oder Betriebe, die besonders gefährdet sind, Opfer von Cyberattacken zu werden?

Olaf Borries: Nein, gefährdet sind alle. Man muss sich das so vorstellen, als wür­den die Täter mit einer Schrotflinte quer durchs Internet schießen und einige Be­triebe werden eben getroffen. Erst wenn die Täter dieses Angriffsziel ausgemacht haben, schauen sie genauer hin und prü­fen, wie solvent das Unternehmen ist, wie viel Lösegeld sie fordern können.

Lars Huwald: Eine gute Vorbereitung auf ein Worst Case Scenario ist also das A und O, vor allem eine gute Datensicherung, so­dass man das Unternehmensnetzwerk im Angriffsfall schnell wieder ans Laufen kriegt. Der größte Schadensfaktor liegt gar nicht in dem geforderten Lösegeld, sondern ganz ba­nal darin, nicht arbeitsfähig zu sein.

Wie kann man sich noch vorbereiten?

Lars Huwald: Man sollte sich mit einem IT-Dienstleister gemeinsam auf den Kri­senfall vorbereiten. Gerade als kleines Handwerksunternehmen z. B., arbeitet man ja oft mit einem Dienstleister zusammen. Mit diesem sollte man unbedingt vertrag­lich festlegen, dass er im Krisenfall inner­halb kürzester Zeit erreichbar sein muss, um schnell auf den Vorfall zu reagieren.

Olaf Borries: Wichtig ist auch, uns anzu­rufen, die Zentrale Ansprechstelle Cyber­crime (ZAC). Wir können erste Ratschläge und wichtige Hinweise geben und einen Vorgang anlegen. Die Betriebe müssen keine Angst haben, dass wir mit Blaulicht ausrücken und den Betrieb lahmlegen, um Spuren zu sichern. Es geht darum, schnell zu reagieren, den Datenabfluss zu stoppen und die Dateien wiederherzustel­len. Das wissen wir.

Lars Huwald: … und man sollte nicht versuchen, etwas zu vertuschen. Wenn vom eigenen System personenbezogene, sensible Daten unrechtmäßig an Dritte gelangen, ist man verpflichtet, die zustän­dige Aufsichtsbehörde sowie die Betroffe­nen über diese Vorfälle zu informieren.

 Wie hoch ist denn die Aufklärungs­quote bei Cyberangriffen?

Olaf Borries: Wir haben es in der Regel immer mit sehr gut organisierter, interna­tionaler Kriminalität zu tun. Internationa­le Ermittlungen dauern teils Jahre. Nichts­destotrotz gelingt es immer wieder, Täter dingfest zu machen.

Redakteurin:

 Zurück zur HiB-Hauptseite

Gut zu wissen:

Unterstützung bei Fragen zur IT-Sicherheit geben die Beauftragten für Innovation und Technologie (BIT/Digi-BIT) der Handwerkskammer. Das Spektrum reicht von Veranstaltungen über Vernetzungs-angebote bis hin zu Individualberatungen.

Weitere Informationen:

 www.hwk-berlin.de/bit

Kontakt:

Checkliste

Welche Maßnahmen Sie präventiv treffen sollten, um für einen Cyber- Angriff gewappnet zu sein:

• Erstellen Sie klare Richtlinien und Verfahren zur Sicherung Ihrer IT-Systeme und Daten.
• Stellen Sie sicher, dass alle Mitarbeiter*innen diese Richtlinien verstehen und befolgen.
• Schulen Sie Ihre Mitarbeitenden in Bezug auf die Gefahren von Cyberangriffen und wie sie Angriffen vorbeugen können.
• Setzen Sie leistungsfähige Firewalls und Antivirus-Software ein, um Ihr Netzwerk und Ihre Endgeräte zu schützen und aktualisieren Sie diese Software regelmäßig.
• Stellen Sie sicher, dass alle Systeme, Anwendungen und Geräte regelmä­ßig mit den neuesten Sicherheitsup­dates versorgt werden.
• Entwickeln Sie einen umfassenden Notfallplan für den Fall eines Cyber-angriffs.
• Üben Sie regelmäßig, wie Ihr Team auf solche Vorfälle reagieren sollte, um die Auswirkungen zu minimieren.
• Verschlüsseln Sie sensible Daten, z. B. durch Passwörter oder eine Verschlüsselungssoftware.
• Implementieren Sie strikte Zugriffs­kontrollen, um sicherzustellen, dass nur autorisierte Personen auf sensib­le Informationen zugreifen können.

Die aktuelle HiB-Ausgabe zum Herunterladen: