Titel - Ausgabe 01|02

Systeme schützen

Wenn internationale Studien vermelden, Unternehmen nähmen Cyber-Risiken zu lax, klingt das wenig bedrohlich. Berichten aber Firmen aus der direkten Nachbarschaft von einem Angriff, macht das schon nachdenklicher. Dieses mentale Paradox, das gegen alle Wahrscheinlichkeit erwarten lässt, dass schlimme Dinge immer eher die anderen treffen, ist wesentlich für die Psycho-Hygiene. Im Hinblick auf die Existenz von Unternehmen ist es gelegentlich fatal.
Ich habe mir geschworen, ich schreibe ein Buch darüber, wenn es vorbei ist. Dieser Satz offenbart meistens ein tiefes Entsetzen und eine mühselige Bewältigung von Geschehenem. Einer, der ihn ausspricht, ist Michael Richthammer. Seine Stimme klingt auch heute noch nicht unbeteiligt, wenn er erzählt, was vor sechs Monaten geschah. Man kann noch den Schockzustand erahnen, den der Versicherungsmakler erlebte, als Cyber-Erpresser sein Weidener Unternehmen Richthammer Versicherungsmakler GmbH & Co. KG kaperten, wenn man ihn sagen hört: „Sobald ich auf meinem Rechner heute die minimalste Abweichung feststelle, ist der Horror sofort wieder da.“
Damals fiel zunächst einem leitenden Mitarbeiter an einem externen Standort auf, dass etwas nicht stimmte: Der Frühaufsteher konnte sich an einem Dienstagmorgen um sechs Uhr nicht wie gewohnt einloggen, es folgte ein Anruf zur besten Frühstückszeit, dem sich bald die Erkenntnis anschloss, dass es sich nicht um ein lokal begrenztes Problem handelte, sondern die gesamte Firma und sämtliche 40 Mitarbeiterzugänge betraf. „Ich weiß bis heute nicht, wie die reingekommen sind“, sagt Richthammer, es gebe nur eine zeitliche Korrelation: „wir haben am Freitag eine neue Telefonanlage bekommen, und am Dienstag ging nichts mehr.“ Damit spricht er ein Thema an, das nicht nur seinen Einzelfall betrifft, sondern einen generellen Trend beschreibt: So berichtet in der „Global Digital Trust Insights“-Umfrage der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC aus dem Oktober 2021 die Mehrheit der befragten Unternehmen, die Cyber-Risiken durch Drittanbieter nicht im Griff zu haben.

Lieferketten als zusätzliches Risiko

Es entstehen Risiken, die durch die Komplexität von Geschäftsbeziehungen und Lieferantennetzwerken verschleiert werden, so die Studie. Gleichzeitig gaben 56 Prozent der Befragten an, dass ihre Betriebe einen Anstieg der Verstöße über ihre Software-Lieferkette erwarten, 58 glauben das im Hinblick auf ihre Cloud-Dienste. Viele Befunde, die das große internationale Beratungsbusiness erhebt, kann auch Thomas Michalski bestätigen, dessen Inmodis GmbH aus Hemau Unternehmen in Sachen Informationssicherheit berät: „Am Ende ist es ein Wettbewerb, und es wird derjenige gehackt, der am wenigsten investiert hat.“ Keine Branche und keine Unternehmensgröße sei gefeit, im Visier seien insbesondere auch Steuerberatungs- und Rechtsanwaltskanzleien und – überraschend – Physiotherapiepraxen.

Automatisierte Angriffe auf Sicherheitslücken

„Das bestätigt die These, dass viele Angriffe automatisiert ablaufen – und keiner zu klein, zu unwichtig oder zu weit abgelegen ist, um Ziel der Cyberkriminellen zu werden“, erklärt Michalski. Dass Cyber-Kriminelle im Übrigen auch ganz ohne Zutun der Betroffenen, also anders als beim Phishing, dazu fähig sind, Schwachstellen auszunutzen, betont auch der Bericht zur Lage der IT-Sicherheit in Deutschland des Bundesamts für Sicherheit in der Informationstechnik (BSI). Eine im März 2021 geschlossene Lücke in Exchange-Servern von Microsoft stehe dabei sinnbildlich für das Ausmaß der Herausforderung: Direkt nach Bekanntwerden der Lücke wurden großflächige Versuche und erfolgreiche Angriffe beobachtet, verwundbare Exchange-Server aufzuspüren und zu kompromittieren. Der hohe Anteil verwundbarer Server von 98 Prozent konnte zwar binnen zweier Wochen auf unter zehn Prozent gesenkt werden. Jedoch konnten bestehende Kompromittierungen noch Wochen oder Monate später zu Cyber-Angriffen mit Schadenswirkung führen.
Viele Angriffe laufen automatisiert ab – und keiner ist zu klein, zu unwichtig oder zu weit abgelegen, um Ziel der Cyberkriminellen zu werden.

Thomas Michalski
Inmodis GmbH

Konzeptionelle Fehler vermeiden

Auch aus Bequemlichkeit, wie Michalski betont. Oftmals bestehen konzeptionelle Fehler beim Back-up: „Wer etwa seine Systeme so konfiguriert, dass das Back-up zwei Stunden nach Dienstschluss um 18 Uhr startet, um ein Uhr nachts das alte Back-up überschrieben wird und um vier Uhr dasselbe noch einmal an einem anderen Serverstandort passiert, hat trotz Vorsicht ein Problem: Denn wenn die Ransomware zwischen 16 und 18 verschlüsselt, werden bis zum kommenden Morgen sämtliche Back-ups in aller Seelenruhe durch kompromittierte Daten ersetzt. Auch ist beobachtet worden, dass diese Art von Malware gezielt nach Accountinformationen und Back-ups sucht, um diese zu verschlüsseln – hier wäre die Art der Übermittlung im Pull-Verfahren zu bevorzugen“, berichtet Michalski.
Einfache Abhilfe in diesem Fall: das zweite, externe Back-up mit einem Tag Verzögerung ersetzen lassen, so dass im Workflow die Administration die Chance hat, Anomalien zu entdecken und die Daten im Zweifel dort mit nur einem Tag Informationsverlust unversehrt zur Verfügung stehen. „Segmentierung der Netzwerke und Berechtigungen – Rechte und Rollenkonzept – sowie Mitarbeitersensibilisierung sind weitere Grundlagen in der IT, welche umgesetzt gehören, um die Risiken entsprechend zu reduzieren“, ergänzt Michalski.
Tatsächlich ist die Datenverschlüsselung und Freigabe gegen Lösegeld derzeit das Hauptgeschäftsfeld der Cyber Crime-Szene. Der Tarif für die Freigabe liegt aktuell bei mindestens einem Bitcoin pro Server. „Zunächst werden gezielt die Accountdaten abgefischt, dann die Ransomware eingeschleust und anschließend die Daten verschlüsselt“, erklärt Michalski. Einfallstore gibt es gleich mehrere: Neben bekannt werdenden Sicherheitslücken etwa die Phishing-Mail, die mittlerweile täuschend echt wirkt, oder als blinder Passagier etwa im Softwareupdate über die Lieferkette.

Datenmarkt im Darknet

Dabei ist wichtig zu verstehen: Es ist oftmals nicht ein Täter, dem man sich gegenübersieht, sondern es sind mindestens zwei – die unabhängig voneinander agieren. Denn Cyber-Crime läuft inzwischen ausdifferenziert und arbeitsteilig ab. „Der Erste ist auf das oftmals automatisierte Ausspähen spezialisiert und bietet Ihre Daten über Account-Broker im Darknet an. Die haben dann einen Wert, der sich auch daran bemisst, ob Sie schon einmal Lösegeld bezahlt haben“, erklärt Ute Lesch-Gebhardt, deren Gebhardt Logistic Solutions GmbH vor rund einem Jahr Opfer eines Angriffs geworden ist.
Der Erpresser kauft den Datensatz und führt damit den Angriff durch. Das Perfide ist, dass Unternehmen oftmals nicht bemerken, dass sie bereits ausgespäht wurden. Im Falle von Gebhardt Logistic konnten die IT-Forensiker zwar den Tag des ersten Zugriffs feststellen, nicht aber das Einfallstor. Der offene Angriff erfolgte dann mit sechs Wochen Zeitversatz. „Dabei war in unserem Fall sehr schnell Lösegeld kein Thema mehr, weil die IT-Forensiker nach wenigen Tagen wussten, dass die Daten ohnehin unrettbar zerstört waren“, erklärt Lesch-Gebhardt. Dem 190-jährigen Traditionsunternehmen mit 400 Mitarbeitenden half anschließend, dass es noch alte Bänder mit Back-ups gab, die reaktiviert werden konnten.

Die Katastrophe managen

Bis es so weit war, galt es vor allem, die Nerven zu behalten. „Wir hatten vor zwanzig Jahren schon einmal einen Großbrand, das war einfacher zu managen. Denn da sind Sie als Unternehmer sofort im Machermodus, klären Versicherungsfragen, den Abriss usw.“, sagt die Firmenchefin. Im Cyberspace sei das anders: „Da haben Sie im Grunde wenig Ahnung, müssen loslassen und den Experten einen Vertrauensvorschuss entgegenbringen.“
Vertrauen ist auch der zentrale Punkt, den es gegenüber Mitarbeitern und Kunden zu erhalten gilt. „Mein Rat ist schlicht: Sie können es nicht geheim halten, also teilen Sie offen den gesicherten Kenntnisstand, den Sie selbst haben, mit den relevanten Personen“, so Lesch-Gebhardt. Dass Gehälter auch ohne ERP-System weiterfließen sollten, versteht sich von selbst. „Bei uns kam der Angriff an einem 20. – am 28. hätten wir Löhne auszahlen sollen, dafür hatten wir keine Datengrundlage. Also gab es Abschlagszahlungen“, erinnert sie sich.
Wir hatten vor zwanzig Jahren schon einmal einen Großbrand, das war einfacher zu managen.

Ute Lesch-Gebhardt
Gebhardt Logistic Solutions GmbH

Prävention und ihre Grenzen

Inzwischen läuft alles wieder, eine völlig neu aufgesetzte IT-Landschaft mit regelmäßigen Stresstests sorgt zusammen mit der gelebten Überzeugung, dass Informationssicherheit ein Dauerthema ist, für mehr Schutz. Dabei ist sich Lesch-Gebhardt aber auch der Grenzen ihrer Anstrengungen bewusst: „Wir sind nicht davor gefeit, erneut betroffen zu sein, deshalb geht es vor allem darum, etwaige Schäden eines Angriffs beherrschbar zu machen.“
Das gelingt einigen mit Cyber-Versicherungen, wie auch Michael Richthammer als Betroffener ihren Wert zu schätzen lernte. „Doch ich muss auch sagen: Sie bekommen zwar einen finanziellen Ausgleich und je nach Police auch professionelle Unterstützung im Schadensfall – den ‚Brandgeruch‘ bekommen Sie aber so schnell nicht mehr aus der Nase“, sagt der Versicherungsmakler.
Deshalb ist Prävention trotz ihrer Grenzen wesentlich – und in vielen Fällen offenbar auch erfolgreich. So berichtet etwa die Nabburger emz - Hanauer GmbH & C. KGaA, bislang noch nicht Opfer eines Angriffs geworden zu sein. Dafür betreibt das weltweit agierende Unternehmen mit über 1.600 Mitarbeitern, die Bauteile und Systeme für Geschirrspüler, Waschmaschinen, Trockner und Kühlschränke produzieren, einen nicht unerheblichen Aufwand.
Sie bekommen zwar einen finanziellen Ausgleich und je nach Police auch professionelle Unterstützung im Schadensfall – den ‚Brandgeruch‘ aber so schnell nicht mehr aus der Nase.

Michael Richthammer
Richthammer Versicherungsmakler GmbH & Co. KG

Awareness-Kampagnen für die Belegschaft

Im Zentrum der Anstrengungen steht neben der technischen Optimierung der Systeme zu der eine zentrale Echtzeitauswertung sämtlicher Logfiles, Netzwerk- und Sicherheitskomponenten gehört, um Verdächtiges unmittelbar zu identifizieren, seit anderthalb Jahren eine groß angelegte Awareness-Kampagne, die die Mitarbeiter sensibilisieren soll. „Etwa alle zwei bis drei Wochen veröffentlichen wir neue Kommunikationsinhalte, die vor allem aufrütteln sollen – auch durch die Darstellung möglicher privater Schadensszenarios“, erklärt Andreas Weidmüller, Mitglied der Geschäftsleitung und verantwortlich für die Bereiche Finance und IT.
Wesentliche Bausteine für mehr Sicherheit seien außerdem ein striktes Management der Zugriffsrechte – auch innerhalb der IT-Abteilung – und die konsequente Modernisierung der Systeme insbesondere auch in der Fertigung. „Es geht darum, die Mauer möglichst hoch zu bauen. Jede Sekunde, die ein Krimineller länger braucht, hilft uns, den Angriff rechtzeitig zu erkennen und abzuwehren“, erklärt Weidmüller. Das Unternehmen führt ebenso wie Richthammer und Gebhardt regelmäßige externe Penetrationstests durch. „Da gibt es nichts zu verlieren – selbst wenn die beauftragten Hacker reinkommen, können wir als Unternehmen daraus eine ganze Menge von Erkenntnissen gewinnen“, rät Weidmüller.
Jede Sekunde, die ein Krimineller länger braucht, hilft uns, den Angriff rechtzeitig zu erkennen  
und abzuwehren.

Andreas Weidmüller
emz - Hanauer GmbH & C. KGaA

- von Alexandra Buba