Am 2. Juli dieses Jahres stand Schweden teilweise still. Ob Supermärkte, Apotheken oder Tankstellen, sogar die staatliche Bahngesellschaft: Überall im Land mussten Läden schließen oder zumindest auf Notbetrieb umschalten. Teilweise wurde das Bezahlen komplett unmöglich, egal ob mit Bargeld oder Karte. Computersysteme gingen in die Knie, Abrechnungen schrieben die Mitarbeiter – wenn überhaupt – nur per Hand. Es dauerte mehrere Tage, bis der Spuk vorbei war und das Leben im Norden Europas wieder in normalen Bahnen verlief.
Der Grund war eine groß angelegte Cyberattacke, die aber gar nicht den skandinavischen Staat selbst als Ziel hatte, sondern eine Softwarefirma in Miami, etwa 8.000 Kilometer von der schwedischen Hauptstadt Stockholm entfernt. Diese Firma, Kaseya, versorgt andere IT-Dienstleister mit einer Software, mit der sie Updates auf die Computer ihrer Kunden spielen können. Kunden wie zum Beispiel die schwedische Supermarktkette Coop.
Der Angriff zeigt, wie sehr die globale Vernetzung die Gefahr von Cyberangriffen erhöht. Eine Sicherheitslücke in Florida kann über zwei Ecken die Lebensmittelversorgung in Göteborg gefährden. Kriminelle und staatliche Akteure machen sich dies zunutze, versuchen, sich bei Unternehmen, Behörden und in die Infrastruktur einzuschleichen, wahlweise um Daten zu stehlen oder Geld zu erpressen. „Die Einschläge sind dichter beieinander, und sie kommen näher“, sagt der Cybersicherheitsexperte Tim Berghoff von der Bochumer Firma G Data.
Und tatsächlich häufen sich die Fälle. Allein in diesem Jahr wurden etwa in den USA sowohl der Fleischkonzern JBS als auch das Colonial-Pipeline-System von Kriminellen lahmgelegt. Facebook und T-Mobile klagten über Datendiebstähle. Durch eine Lücke in den E-Mail-Servern des Technologieriesen Microsoft drangen im Januar Hacker unter anderem in die Systeme der Europäischen Bankenaufsichtsbehörde und des norwegischen Parlaments ein. Im deutschen Landkreis Anhalt-Bitterfeld ging zwischenzeitlich gar nichts mehr. Fast eine Woche war die Verwaltung wegen eines Angriffs zum Beispiel nicht per E-Mail erreichbar. Hacker hatten einen Trojaner eingeschleust, der sämtliche Daten verschlüsselte. Und im September 2020 gab es sogar wohl erstmals einen Toten im Zusammenhang mit einer Cyberattacke, als Angreifer die Uniklinik Düsseldorf de facto betriebsunfähig machten.
Die Gründe, dass Hackern so etwas überhaupt gelingen kann, sind vielfältig. Zunächst ist es die zunehmende Verbreitung und Vernetzung digitaler Infrastruktur. Wo viel Technik ist, da gibt es viele Einfallstore. Gleichzeitig haben sich die Angreifer zunehmend professionalisiert, das Klischee vom Kapuzenpulli-Hacker im Kinderzimmer, der mal eben einen Unternehmensserver lahmlegt, hat heute noch weniger mit der Realität zu tun als früher. Stattdessen stehen organisierte Banden hinter den Angriffen, die ihre Fähigkeiten oft als Service anderen Kriminellen anbieten. Und die Betroffenen? Sind sich des Problems durchaus bewusst. Die Unternehmensberatung Deloitte fand in einer Umfrage heraus, dass 77 Prozent der Entscheidungsträger in Politik und Wirtschaft Datenbetrug im Internet für eine Gefahr halten, 76 Prozent denken dasselbe über Angriffe mit Schadsoftware. Aber sie tun sich schwer damit, die nötigen Gegenmaßnahmen zu ergreifen, die eigene Firewall hochzuziehen, Mitarbeiter zu schulen. Und wenn etwas passiert, schweigen Betroffene oft lieber, als eigene Fehler und Versäumnisse einzugestehen. Dabei ist es gerade in kritischen Bereichen wie der Wirtschaft, der Infrastruktur und der Verwaltung wichtig, sich gegen Cyberattacken zu wappnen. Jeder sieht sich dabei anderen Herausforderungen gegenüber, gleichzeitig sind die Maßnahmen, die man ergreifen kann, oft sehr ähnlich. Ein Überblick über Probleme in drei Sektoren.
Viele Menschen haben in den vergangenen Monaten gelernt, wie zentralistisch die Fleischindustrie strukturiert ist. Als 2020 eine Fabrik des Tönnies-Konzerns wegen eines Corona-Ausbruchs schließen musste, bildete sich über alle Teile der Branche hinweg ein gigantischer Rückstau, die Wurst- und Steakproduktion in der Grillnation Deutschland geriet ins Stocken. Dabei ist Tönnies nur ein Leichtgewicht im Vergleich zu den wirklichen Riesen der Branche. Der brasilianisch-amerikanische Fleischkonzern JBS setzt fast sechsmal so viel um wie das Unternehmen aus Rheda-Wiedenbrück. Entsprechend ist aber auch der Schaden um ein Vielfaches höher, wenn bei JBS die Schlachtbänke plötzlich stillstehen. Das Unternehmen ist für ein Viertel der Rind- und ein Fünftel der Schweinefleischproduktion in den Vereinigten Staaten verantwortlich. Im Juni führte ein Ransomware-Angriff dazu, dass fünf der größten Standorte schließen mussten, in den USA, in Kanada und in Australien. Bei einer Ransomware-Attacke werden die Daten des Opfers mithilfe einer Software entweder gestohlen oder verschlüsselt. Die Drohung: Sie werden veröffentlicht (im ersten Fall) oder zerstört (bei Verschlüsselung), wenn der Betroffene nicht ein Lösegeld (Ransom) zahlt. JBS zahlte, und zwar viel: Elf Millionen US-Dollar in Bitcoin gingen an die Erpresser.
„Heute läuft das deutlich präziser, die Angreifer kundschaften ihr Ziel über längere Zeit aus und suchen individuelle Schwachstellen.“
In der brasilianischen Zentrale gab man sich schmallippig hinsichtlich der Ursache des Vorfalls. Lediglich ein Schuldiger war schnell gefunden. Die russische Hackergruppe REvil steckte angeblich hinter der Erpressung. Gruppen wie REvil haben die Cyberkriminellenwelt revolutioniert. „Früher liefen Ransomware-Attacken eher nach dem Prinzip Gießkanne ab“, erinnert sich Tim Berghoff von G Data. Mit dem Prinzip Gießkanne meint er, dass früher Angriffe breit auf verschiedene Ziele verteilt wurden in der Hoffnung, dass wenigstens einer anbeißt. „Heute läuft das deutlich präziser, die Angreifer kundschaften ihr Ziel über längere Zeit aus und suchen individuelle Schwachstellen“, sagt er. Die finden sie auch, weil selbst einfache Gegenmaßnahmen oft vernachlässigt werden. „Die Basics zum Selbstschutz sind im Prinzip seit den 90ern die gleichen“, sagt Berghoff. Mitarbeiter sollten nicht auf verdächtige E-Mails klicken und sichere Passwörter verwenden.
Schädliche E-Mails kommen bei großen Unternehmen fast unter Garantie, denn die digitale Kriminalität ist heute finanziell unglaublich lukrativ. „Seit mehreren Jahren überflügelt laut Lagebild des Bundeskriminalamts der Umsatz in Cybercrime die Umsätze im internationalen Drogenhandel“, sagt Peter Wirnsperger. Für das Prüfungs- und Beratungsunternehmen Deloitte unterstützt er Kunden beim Aufbau effektiver Sicherheitssysteme, außerdem ist er Mitautor des jährlichen „Cyber Security Reports“ von Deloitte. Er kann so regelmäßig aus der Nähe beobachten, wie die Kriminellen arbeiten. „Die haben mittlerweile Hotlines und stellen Handbücher zur Datenentschlüsselung zur Verfügung“, berichtet er. Längst arbeiten sie nicht mehr nur auf eigene Rechnung, sondern bieten ihre Dienste auch Dritten an. Experten sprechen von „Ransomware-as-a-Service".
Auch TÜV SÜD warnt in seinem aktuellen Trendreport für 2022 davor, dass diese Art der Cyberkriminalität noch zunehmen wird. Diese Entwicklung erfordert neue Maßnahmen bei Firmen, um sich gegen die zwielichtigen Dienstleister zu wappnen. „Unternehmen müssen ihre Investitionen in die Cybersicherheit erhöhen und sich auf den Schutz vor solch ausgeklügelten Angriffen konzentrieren“, warnt Sudhir Ethiraj, Chef des Cyber Security Office von TÜV SÜD. Er hält es außerdem für unerlässlich, dass sich Unternehmen mehr über ihre Erfahrungen mit den Hackern austauschen. Bisher schweigen sie oft aus Scham, wenn sie eine Ransomware-Attacke erreicht. Ein Fehler, wie Sudhir Ethiraj betont: „Ständige Überwachung der neuesten Bedrohungen und die aktive Teilnahme an branchenübergreifenden Plattformen zum Austausch über Bedrohungen sind das Gebot der Stunde, um auf dem Laufenden zu bleiben."
Eine solche Plattform ist zum Beispiel die Charter of Trust. Der Industriekonzern Siemens rief diese 2018 auf der Münchener Sicherheitskonferenz ins Leben. Zusammen mit Unternehmen wie IBM oder der Deutschen Telekom ist auch TÜV SÜD Mitglied dieser Inititiave. Ihr Ziel: Branchenübergreifende Standards und Regeln für Cybersicherheit schaffen. Gemeinsam wollen die Großunternehmen Vorarbeit leisten, sodass auch kleinere Firmen und die ganze Gesellschaft von erhöhten Sicherheitsstandards profitieren.
Das Thema Cyberangriffe betrifft zunehmend auch die Infrastruktur, was die Gefahren weiter multipliziert. Gibt es mal ein paar Tage keine Fleischprodukte, ist das bitter, aber nicht lebensgefährlich. Ganz anders sah das im Herbst 2020 in Düsseldorf aus. Die dortige Uniklinik war lahmgelegt, weil sich Hacker ins System eingeschlichen hatten. Ein Rettungswagen wurde abgewiesen und musste spontan ins gut 25 Kilometer entfernte Wuppertal ausweichen. Die Patientin starb kurz nach der Ankunft im dortigen Krankenhaus. Ob die zusätzliche halbe Stunde Fahrt der Frau am Ende zum Verhängnis wurde, lässt sich nicht definitiv sagen. Aber auf einmal stand die Frage im Raum, ob eine Cyberattacke zumindest indirekt am Tod eines Menschen schuld war. Die Polizei konnte die Hacker schnell ausfindig machen. Nach Behördenangaben zeigten sich diese erstaunlich kooperativ, als sie erfuhren, dass sie ein Krankenhaus lahmgelegt hatten, und stellten den Entschlüsselungscode für die eingesetzte Ransomware ohne Zahlung zur Verfügung.
Kritische Infrastruktur nehmen Hacker vermehrt ins Visier, und nicht alle sind so nachsichtig. Im vergangenen Jahr meldeten Betreiber aus Bereichen wie Energie, Wasserwirtschaft und Telekommunikation 345 Störfälle. Das geht aus der Antwort der Bundesregierung auf eine Anfrage der FDP zurück. 2019 waren es 254 gemeldete Störfälle. Zwar lassen sich der Bundesregierung zufolge nicht all diese Störfälle auf Hacker zurückführen, weil auch zum Beispiel menschliches Versagen dazu führen kann – sie geht aber von einer weitaus größeren Dunkelziffer aus.
Angriffe auf kritische Infrastruktur werden längst nicht nur in Deutschland zu einem immer ernsteren Problem. In den USA gab es dieses Jahr einen Angriff auf das Colonial-Pipeline-System, das weite Teile der US-amerikanischen Ostküste mit Diesel und Benzin versorgt. Hacker hatten sich in das Rechnungssystem des Betreibers eingeschlichen, der daraufhin aufhörte, Treibstoff aus Texas in den Osten zu pumpen. In mindestens fünf Bundesstaaten gab es in der Folge eine Benzinknappheit.
Ob es den Angreifern wirklich gelungen wäre, aus dem Abrechnungssystem auf den tatsächlichen Betrieb überzugreifen, war nicht klar. Aber die Angst davor bewog den Betreiber zur Notabschaltung. Ein Problem, von dem viele Infrastrukturbetreiber und Unternehmen betroffen sind, wie auch Tim Berghoff berichtet: „Viele Betroffene wissen gar nicht so genau, was ihre kritischen Systeme sind, und sichern diese entsprechend auch nicht besonders ab.“ Dabei gebe es durchaus Möglichkeiten, interne Firewalls hochzuziehen. Die brauchen gerade Unternehmen, die auf externe Dienstleister für Teile ihrer Operationen zugreifen. Denn diese sind oft Einfallstore für Hacker, wie die Fälle von Kaseya und Microsoft E-Mail gezeigt haben.
Häufig scheuen Unternehmen noch den Aufwand, den eine effektive Hackerabwehr mit sich bringt. „Security ist eine Lebensaufgabe, kein Projekt“, sagt Deloitte-Mann Wirnsperger. Hin und wieder eine Bestandsaufnahme reiche nicht. „Auf Basis der Untersuchungsergebnisse müssen Unternehmen Übungen und Szenarien aufsetzen.“ Die sollten nach Möglichkeit nah am täglichen Arbeitsumfeld der Mitarbeiter sein und nicht nur aus einer Powerpoint-Präsentation bestehen. Einer, der solche Trainings durchführt, ist Julien Ahrens. Der Hacker arbeitet seit 13 Jahren im Bereich IT-Sicherheit, bietet seine Dienste beispielsweise über die Vermittlungsplattform HackerOne an. Er verdient sein Geld unter anderem mit sogenannten Penetrationstests. Dabei testet er die Sicherheitssysteme seiner Auftraggeber auf mögliche Lücken. Dafür verschickt er zum Beispiel auch fingierte Phishing-E-Mails an die Mitarbeiter. „Den Realismusgrad kann ich dabei variieren“, erläutert er. Die Nachricht könne sehr offensichtlich wie ein Betrugsversuch aussehen, er könne aber auch das Niveau nachstellen, das professionelle Angreifer an den Tag legen. „Es überrascht mich immer wieder, wie viele schon auf die einfachere Variante hereinfallen.“
Colonial Pipeline konnte den Betrieb am Ende recht schnell wieder hochfahren. Auch weil Lösegeld floss, angeblich knapp fünf Millionen US-Dollar, gezahlt in Bitcoin. Das mag nachvollziehbar sein, wenn es darum geht, Infrastruktur schnell wieder in Gang zu bringen. Grundsätzlich sei es aber die schlechteste Methode, um eine Attacke zu beenden, sagt Berghoff. „Die Betroffenen wissen nie, ob sie die Kontrolle tatsächlich zurückbekommen oder später erneut erpresst werden können“, sagt er. Immerhin: Einen großen Teil des Lösegelds konnte das US-Justizministerium wiederbeschaffen, indem es die Zugangsdaten zu einer Bitcoin-Wallet herausfand. Wie dies genau geschah, gab die Behörde nicht bekannt.
Sich auf die Behörden zu verlassen, ist aber nicht immer die beste Idee. Denn die können auch selbst jederzeit zum Opfer eines Angriffs werden. So geschehen 2017 in der Ukraine. Eine groß angelegte Attacke mit der Schadsoftware Petya betraf weite Teile des dortigen Staatsapparats: Ministerien, Banken, das U-Bahn-System, Telekommunikation. Sogar das System zur Überwachung der Radioaktivität am ehemaligen Atomkraftwerk Tschernobyl war zwischenzeitlich offline.
„Security ist eine Lebensaufgabe, kein Projekt.“
Die Hacker hatten sich über eine in der Ukraine weit verbreitete Steuersoftware in die Systeme eingeschlichen. Der Zeitpunkt war wohl bewusst gewählt: der Vorabend eines staatlichen Feiertags, an dem viele Beamte zu Hause sein würden und sich die Schadsoftware einfacher in den Systemen verbreiten konnte. Zunächst gingen die Betroffenen von einem Erpressungsversuch aus, Botschaften auf den Computern suggerierten dies auch. Nur: Anstatt die Daten – wie bei Ransomware üblich – nur zu verschlüsseln, beschädigte Petya sie und störte so langfristig die Arbeit des ukrainischen Staats. Ein möglicher Grund, den der ukrainische Geheimdienst später kommunizierte: Hier seien keine Kriminellen am Werk, sondern vom Staat gesponserte Hacker, möglicherweise aus Russland. Die Behörden konnten den Angriff zunächst innerhalb eines Tages abwehren. Allerdings fanden sie später heraus, dass die Hacker sich eine Hintertür in die betroffene Software eingebaut und so die Möglichkeit offengehalten hatten, später erneut anzugreifen. Die für die Software verantwortliche Firma wurde durchsucht, um eine weitere Attacke möglichst auszuschließen.
Was staatliche Akteure besonders gefährlich macht, kann Tim Berghoff erklären: „Die haben alle Zeit der Welt, um sich in Ruhe in Systemen einzunisten.“ Gleichzeitig wollten sie im Gegensatz zu Erpressern oft unerkannt bleiben. Das heißt, dass manch Betroffener gar nicht von der Attacke weiß und daher auch gefährliche Hintertüren nicht schließt. Wer aber diese Hintertüren in den eigenen Systemen entdecken möchte, kann zum Beispiel auf sogenannte Bug-Bounty-Programme setzen. Hierbei loben Unternehmen Prämien für Hacker aus, wenn diese Schwachstellen in ihrem System finden und melden. „Nur ist das in Deutschland bisher leider nicht wirklich verbreitet“, kritisiert der IT-Sicherheitsberater Julien Ahrens. In den USA etwa würde sogar das Militär ein solches Programm betreiben.
„Was sich alle klarmachen müssen: 100-prozentige Sicherheit kann es nicht geben“, sagt er. Angriffe können auch gut vorbereitete Einrichtungen überrumpeln. Dann gilt es, offen damit umzugehen, um herauszufinden, woran es lag. Nur tendieren Betroffene nach wie vor dazu, Vorfälle totzuschweigen und Experten erst spät hinzuzuziehen. „Wir werden auffällig oft am Freitag angerufen“, sagt etwa Peter Wirnsperger. Das liege nicht daran, dass Cyberkriminelle vor dem Wochenende plötzlich aktiv würden. „Naturgemäß versuchen Unternehmen, die Probleme in den ersten Tagen selbst zu beheben, da nicht immer sofort eine Cyberattacke erkennbar ist. Leider passiert es dann zu oft kurz vor dem Wochenende, dass die eigentliche Gefahr erkannt wird.“ Opfern müsse die Angst genommen werden, auch mal verfrüht Alarm zu schlagen. „Ich würde mich freuen, wenn wir auch mal wegen eines Fehlalarms ausrücken.“
