„HACKER ARBEITEN NICHT WIE BEI JAMES BOND, SONDERN WIE EINE FIRMA”

TEXT NILS WISCHMEYER
FOTO GETTY IMAGES/DAVID TROOD

—— Cybersecurity-Spezialist Werner Thalmeier spricht im Interview darüber, wie sich Hackerangriffe verändert haben, wie sich Firmen schützen können und warum Hacking heute Massengeschäft ist.

Herr Thalmeier, sie sind schon lange in der IT-Branche tätig. Wie haben sich Hackerangriffe in den vergangenen Jahrzehnten verändert?
———— Als ich vor 30 Jahren angefangen habe, gab es nur Science-Fiction-Filme über Hacker, aber im realen Leben spielten die noch keine Rolle. Wichtig war damals vor allen Dingen eine Frage: Habe ich ein Backup, sollten meine Systeme eines Tages aufgrund von Überlastung nicht mehr verfügbar sein? Das waren immer schweißtreibende Wochenenden, an denen wir ein vollständiges Backup und die Systemverfügbarkeit überprüft haben. Es hätte ja jederzeit etwas schiefgehen können. In den Jahren danach kamen dann erste professionelle Hackergruppen mit dem Fokus von Erpressungen auf. Damals ging es um sogenannte Denial-of-Service-Angriffe. 
Wie muss man sich das vorstellen?
———— Die Hacker haben damals eine Nachricht an ein Unternehmen geschickt und Lösegeld gefordert. Zahlte die Firma nicht, drohten sie damit, so viele Anfragen an die Firmen-Webseite – oder weitere spezifische Infrastruktur – zu schicken, dass diese zusammenbrach. Damals haben die das an tausende Unternehmen oder Konzerne auf der ganzen Welt geschickt und irgendwer hat dann gezahlt. Viele Firmen hatten nämlich Angst, dass sie ohne Webseite die eigenen Kunden verlieren könnten, was dann mit der Bedeutung des Internets natürlich immer weiter zunahm. Ein weiterer Schwerpunkt waren Spam-Angriffe, welche zu dieser Zeit wie ein Schießen mit der Schrotflinte stattfand. Heute sind die Angreifer viel dedizierter unterwegs und picken sich ihre Opfer bewusst heraus. 
Wie läuft das ab?
———— Dank der sozialen Medien können Hacker viel über einzelne Personen und auch Firmen herausfinden. Etwa wo arbeitet jemand? In welcher Abteilung ist er unterwegs? Was sind seine Hobbys? All diese Informationen nutzen die Hacker, um dann eine E-Mail an das Opfer zu schicken. Arbeitet das in der Pressestelle, wird es in der Mail um eine Presseanfrage gehen. Arbeitet der Angegriffene in der Produktion, fragen die Hacker vielleicht nach den aktuellen Konditionen für ein bestimmtes Produkt. Und geht es in einer Mail an den Chef, geben sie sich vielleicht als Investor oder Bankmitarbeiter aus, die mit einer dringenden Sache direkt an den CEO herantreten. Klicken die Menschen dann beispielsweise auf einen Link in der Mail, die ihnen dank all der Informationen sehr vertrauenswürdig vorkommt, sind die Hacker im System und die Ransomware-Attacke ist in vollem Gange. Dann haben sie als Unternehmen eigentlich nur noch zwei Möglichkeiten. Entweder sie sind langsam, dann müssen sie sich ergeben. Oder sie sind schnell, dann ziehen sie alle Stecker und hoffen, dass von ihren Datenbanken und Systemen noch etwas unverschlüsselt verfügbar ist. 
Wenn die E-Mails aber so aufwendig gestaltet sind, habe ich auch als Mitarbeiter kaum Chancen, diese zu sehen. Oder doch? 
———— Das ist extrem schwer, wenn die Hacker sich Mühe geben. Nehmen wir als Beispiel einen Fall aus Bayern, der sich letztes Jahr zugetragen hat. Der Mittelständler war mitten im Jahresendgeschäft und alles wurde ein bisschen hektisch. Dann kam die Anfrage für eine weitere Bestellung, inklusive Link für die Ausschreibung. In dem Moment hatte sich die Firma den Erpressungstrojaner eingefangen und plötzlich keinen Zugang mehr auf die Daten. Das war doppelt schwierig: Sie konnte das Jahresendgeschäft nicht zu Ende bringen, was viel Geld gekostet hat – und ihnen fehlten die Daten für die Jahresabschlüsse, was organisatorisch und steuerlich die Hölle war. Das wäre nicht passiert, wenn sie eine ganz einfache Grundregel der IT beachtet hätten, die ich jedem Unternehmen nur wärmstens empfehlen kann: Ein Backup ist immer noch das Wichtigste, um sich gegen eine Ransomware-Attacke zu schützen. Dann ist es egal, ob Angreifer die Daten verschlüsseln oder nicht, denn man kann das System ja aus dem Backup heraus neu starten und hochfahren. Der Datenverlust ist in der Regel überschaubar. 
Wenn wir von Hackern sprechen, haben viele Menschen immer noch das Bild von Jungs mit Kapuzenpullovern in dunklen Kinderzimmern vor Augen. Wie sieht die Welt der Hacker tatsächlich aus?
———— Es gab früher sicher ein paar Kiddies, die sich so etwas dazu verdient haben. Das ist aber lange her. Auch die Hacker mit schwarzem Hoodie im abgedunkelten Raum gibt es so nicht mehr. Hacker arbeiten nicht wie James Bond, sondern wie eine Firma – und zwar eine hochprofessionelle. Innerhalb der Organisationen nämlich gibt es, wie bei jedem Großkonzern der Welt, eine Arbeitsteilung. Einige Hacker schreiben ausschließlich Zugriffsprogramme, schauen also nach technischen Schwachstellen und bereiten dafür die Module vor. Andere in der Organisation sind Analysten, die gezielt nach Unternehmen und Personen suchen, bei denen es sich lohnt, Lösegeld zu erpressen. 
Das klingt nach einem fast normalen Beruf.
———— Gerade in den osteuropäischen Staaten, wo viele dieser Organisationen sitzen, ist das sicherlich so. Teilweise haben die Hacker dort einen 9-to-5-Job und machen Urlaub. Wenn die sich im Sommer in die Sonne legen, registrieren wir wesentlich weniger Angriffe und wenn die im Herbst wiederkommen, geht die Zahl der Attacken auf Firmen und Behörden wieder hoch.

Fehlt nur noch die Service-Hotline.
———— Tatsächlich gibt es die bei den Hackern heute schon. Natürlich keine über Telefon, aber wenn Hacker heute per Ransomware die Daten einer Firma verschlüsseln, müssen deren Chefs ja wissen, wie viel Lösegeld sie wann wohin bezahlen sollen. Es gibt deshalb meist Chatbots, über welche Hacker mit den Firmen kommunizieren und wo die Opfer instruiert werden, was sie wann tun sollen. Oftmals wollen die Hacker beispielsweise über Bitcoin bezahlt werden und wenn die Firma keinen Zugang zu Kryptowährungen hat, gibt es die Anleitung zur Einrichtung einer digitalen Geldbörse und dem Verschicken des Geldes obendrauf. Das Ganze ist heute ein gigantisches Massengeschäft und geht so weit, dass große Hacker-Organisationen richtige Dashboards haben, auf denen die Opfer eigene Karteinummern bekommen, ähnlich wie bei der Krankenversicherung oder bei einem Vertrag. Wenn Sie sich da melden, müssen sie die Nummer parat haben. 
Wie kann ich als Unternehmen denn sicher sein, dass ich das Lösegeld nicht umsonst bezahle und meine Daten danach auch wieder entschlüsselt werden? 
———— Das liegt im Interesse der Hacker-Firmen. Die wollen vor allen Dingen das Lösegeld, alles andere ist denen egal. Es würde aber niemand das Lösegeld bezahlen, wenn klar wäre, dass die Daten danach weiter verschlüsselt blieben. In den Gesprächen und Chats zwischen Unternehmen und Hackern bleiben die Angreifer deswegen auch immer sehr höflich und sachlich. Wenn die Daten entschlüsselt sind, gibt es zudem oft noch Tipps und Tricks, wie man die eigenen Daten künftig besser schützen könnte. Das ist dann quasi ein Extra-Service frei Haus, den es dazu gibt, wenn Unternehmen alles brav befolgen. 
Wenn das alles so bekannt ist: Können die Behörden nicht eingreifen? 
———— Die Ermittler haben es nicht leicht. Sitzen die Angreifer in Russland und attackieren russische Ziele, dann greifen die Sicherheitsbehörden relativ schnell ein. Greifen sie aber europäische Ziele an, ist es quasi unmöglich, rechtlich gegen sie vorzugehen. Den Ermittlern bleibt nur die Möglichkeit, die Infrastruktur im Hintergrund abzuschalten. Das ist aber enorm schwer, weil die Hacker sehr viel Aufwand betreiben, anonym zu bleiben. Sie verbieten beispielsweise Unternehmen, zur Polizei zu gehen, wenn sie je wieder an die eigenen Daten kommen wollen, wodurch ein Großteil der Angriffe und damit der Methoden nie bekannt wird. Das macht es schwierig, die Angreifer auszuschalten. 

Welche Firmen sind aktuell besonders betroffen? 
———— Zwei Aspekte sind für die Angreifer entscheidend: Zum ersten stellt sich die Frage, ob es Intellectual Property in einer Firma gibt und ob sie davon lebt. Zum anderen ist die Frage, wie hoch der Leidensdruck wäre, wenn man keinen Zugriff mehr auf die Daten hätte. Danach entscheiden die Hacker, wen sie attackieren. In Deutschland sehe ich da besonders die Hidden Champions im Visier, und auch sonst Ingenieurbetriebe, die vor allem von ihrem Wissen leben. Was wir aktuell noch als Trend beobachten, ist die Verlagerung dieser ganzen Informationen in die Cloud, besonders getrieben durch Microsoft 365. 
Wie gehen die Angreifer dort vor?
———— Sie versuchen an die Benutzernamen und Passwörter zu kommen, beispielsweise über eine gefälschte Webseite. Sobald ein Mitarbeiter darauf hereingefallen ist, können sie von dort aus wie ein interner Mitarbeiter agieren. Als Administrator sehen sie nicht, ob der Mann am Rechner wirklich Maximilian Müller ist oder doch ein Hacker. Von dort aus kann er das ganze System befallen, Mails lesen, Mails schicken, auf geheime Dokumente zugreifen. Im schlimmsten Fall führt das dazu, dass er Daten auch klaut. Das können dann teilweise auch geheime Unterlagen sein, weil die Zugriffsrechte in der Cloud oft nicht so eng gefasst sind wie auf dem heimischen Netzwerk. Das wird noch zu einem echten Problem werden. 
Was können Firmen tun, um sich zu schützen?
———— Wenn Sie beispielsweise auf ein Schiff steigen und jemand erklärt Ihnen innerhalb von fünf Minuten, welche Sicherheitsmaßnahmen es gibt, dann nicken sie das ab und zwei Stunden später haben sie keine Ahnung mehr, worum es dort eigentlich ging. So ist das auch bei Mitarbeiterschulungen und deshalb müssen diese alltagsnah sein und ständig wiederholt, bzw. im täglichen Ablauf eingebunden sein. Und dann brauchen Sie Mechanismen, die verdächtige Mails identifizieren. Kommt die Mail beispielsweise von “MaxMustermann” oder “MaxMustermann1”? Dann brauchen sie auf jeden Fall ein regelmäßiges Backup ihrer Daten. Haben sie das, können Ihnen Ransom-Attacken kaum etwas anhaben. Ebenfalls unerlässlich ist ein Plan. 

Ein Plan?
———— Das klingt banal, aber viele Firmen wissen im Notfall nicht, wer wann für was verantwortlich ist. Das gilt für die IT, aber im Anschluss auch für die Kommunikation. Da muss man sehr offen und klar kommunizieren, damit man nachher nicht in einer Schlagzeile als „dumm” oder „inkompetent” bezeichnet wird. Das klingt alles vielleicht einfach, aber viele Firmen missachten diese Grundregeln und schaden sich nur selbst. 

WEITERE ARTIKEL