Die Zahl der Cyberangriffe auf Unternehmen in Baden-Württemberg ist erschreckend. Wer ist betroffen? Und wie gehen die Hacker vor? Ein Experte klärt auf. [Archiv]
Am Donnerstag ist der Landkreis Ludwigsburg Opfer einer Cyberattacke geworden. Betroffen sind untere anderem das Kreishaus und alle Außenstellen des Landratsamtes. Es ist nicht die erste Attacke auf Institutionen in Baden-Württemberg in diesem Jahr. Breits zu Beginn des Jahres traf es selbst die, die eigentlich für Recht und Ordnung sorgen sollen. Nach Cyberangriffen auf Unternehmen, Rathäuser, Kliniken und Hochschulen legten Hacker die Internetseiten der Polizei in Baden-Württemberg lahm. Es ist eine von vielen bundesweiten sogenannten DDoS-Attacken auf deutsche Webseiten von Institutionen, unter anderem aus den Bereichen Infrastruktur und Verwaltung.
Ungefähr 80 Prozent. Diese Schätzzahl nennt Jens Fröhner auf die Frage, wie viele Unternehmen im Südwesten bereits Bekanntschaft mit Netzerpressern gemacht haben. „Man kann sagen, das ist bei fast jedem angekommen“, sagt Fröhner, der bei der IHK Freiburg als Chief Information Officer (CIO) arbeitet und sich auch landesweit im Auftrag des Baden-Württembergischen Industrie- und Handelskammertags um das Thema IT-Sicherheit kümmert. Solche Prozentzahlen stützen sich auf Umfragen, denn viele Betroffene trachten danach, Erpressungen zu verschweigen. Fröhner kann das teilweise verstehen. „Stellen Sie sich vor, Sie verhandeln gerade mit einer Bank wegen eines Investitionskredits.“ Dann könnte das Bekanntwerden einer Sicherheitslücke schwere Folgen haben.
Seit August ist die Freiburger IHK selber im Großclub der Geschädigten, nach einer professionell eingefädelten Cyberattacke musste die Kammer alle Systeme runterfahren, die rund 70 000 Mitglieder am Oberrhein konnten für längere Zeit etwa keine Lehrstellen mehr elektronisch melden. Obwohl die Sorge vor solchen Vorkommnissen in der Unternehmerschaft verbreitet ist, hat sich eine ganze Reihe von Marktteilnehmern laut Fröhner immer noch nicht ausreichend um Schutz gekümmert. Zwar genieße das Thema in den Unternehmen inzwischen eine größere Aufmerksamkeit, „weil die Einschläge näher kommen“, sagt er. „Die Dienstleister sind ausgebucht, was das Thema angeht. Aber es gibt immer noch viel zu tun. Das wird ein Katz-und-Maus-Spiel bleiben.“
Das liegt auch daran, dass sich seit etwa Mitte vergangenen Jahres eine Änderung des kriminellen Verhaltens zeigt. Zum einen lässt sich im Darknet Schadstoffsoftware „mieten“, und wer mag, so sagen Ermittler, kann gleich auch noch erbeutete E-Mail-Nachrichten aus Unternehmen dazukaufen. Damit lassen sich dann Phishingmails wirklichkeitsnah formulieren und verbreiten. Andererseits wurden auch Virenschutzprogramme in den Unternehmen so weiterentwickelt, dass Anomalien schneller erkannt, neue Angriffsmuster weltweit automatisch upgedatet werden.
Also machen Erpresser es anders: Sie versuchen sich nicht mehr an der Lahmlegung von Systemen und verlangen Geld für die Wiederherstellung, sondern stehlen unbemerkt Daten und drohen nachher mit der Veröffentlichung. Der Autozulieferer Continental erfuhr vor wenigen Wochen, was das bedeutet. Im August wurde der Dax-Konzern gehackt. Wie das „Handelsblatt“ dann im November berichtete, wurden gestohlene Daten im Darknet zum Kauf angeboten – zum Preis von 50 Millionen Dollar. Der Ausgang des Krimis ist offen.
Ein Sprecher des baden-württembergischen Landesbeauftragten für Datenschutz bestätigt die Zunahme von Pflichtmeldungen auch 2022 und nennt noch eine weitere Verfeinerung der kriminellen Methoden. Erpresserorganisationen böten nicht mehr nur Franchisekonzepte und „Ransomware-as-a-Service“ im Darknet an. Einige legten „zusätzlich ein Bug-Bounty-Programm zum Finden von Schwachstellen in der eigenen Verschlüsselungssoftware auf“, so der Sprecher. Heißt: Wer den Kriminellen exklusiv sagt, wie sie ihre Schadsoftware noch verbessern können, bekommt eine Provision.
Laut dem Landeskriminalamt Baden-Württemberg agieren die Täter weiter global vernetzt. „Landesgrenzen stellen für sie kein Hindernis dar“, so eine Sprecherin. Das Bundeskriminalamt listet aktuell drei Cybercrime-Gruppen: die Unabhängigen, die auf Geld aus sind, die rein staatlich gesteuerten Gruppen und drittens sogenannte state-sponsered Angreifer, die als Unterauftragnehmer für Regierungen agieren.
Vermutlich hat 2021 und 2022 der Friedrichshafener Schiffsmotorenhersteller MTU Bekanntschaft mit den letzteren Gruppen gemacht. Nach zwei Cyberangriffen führten einem Firmeninsider zufolge Spuren nach China und nach Nordkorea.
Fast zeitgleich mit dem Cyberangriff auf die Internetseiten der Polizei in Baden-Württemberg schlugen am Donnerstag allerdings auch die Ermittler zu: In den Morgenstunden gelang Spezialisten aus Deutschland und den USA ein Erfolg gegen ein international agierendes Netzwerk von Cyberkriminellen und Erpressern. Die Hacker-Gruppe soll in den vergangenen anderthalb Jahren weltweit für mehr als 1500 schwere Cyberangriffe gegen Unternehmen und Organisationen verantwortlich gewesen sein, wie das US-Justizministerium und die Staatsanwaltschaft zeitgleich in Washington und Stuttgart mitteilten
Das offene Feld für Cyberkriminelle hat inzwischen schwere Konsequenzen für Unternehmer nach sich gezogen. Sie können sich kaum mehr gegen Schäden versichern. Bisher deckten sogenannte Allgefahrenpolicen auch die Schäden von Netzangriffen ab. Doch solche Produkte sind vom Markt genommen, stark verteuert oder in der Leistung deutlich abgespeckt worden. Das belegte dieser Tage eine Branchenumfrage des Allianz-Industrieversicherers AGCS. Mario Greco, Chef des Versicherers Zurich, forderte deshalb öffentlich „staatlich mitgetragene Risikopartnerschaften“.
Von einem unternehmerischen Risikotransfer auf den Staat hält Jens Fröhner von der IHK Freiburg wenig. Dass der Staat etwas tun müsse, fordert der Fachmann aber dennoch. Denkbar ist für ihn die Einführung einer Pflichtversicherung gegen Cyberangriffe. Dann könnten sich die Policen wieder verbilligen. Möglich wäre es auch, sagt er, Lösegeldzahlungen an Netzerpresser unter Strafe zu stellen. Geschäftsführer, die sich nicht strafbar machen wollten, wären dann gezwungen, für ihre IT „vorher genügend Vorkehrungen zu treffen“.
Dieser Text erschien erstmals am 27.01.2023.
