Angriff aus dem Netz

Die Bedrohungslage ist angespannt bis kritisch: Fast jedes Unternehmen in Deutschland ist bereits einmal Opfer eine Cyber-Attacke geworden. Die Schäden gehen in die Milliarden. IT-Sicherheit muss Chefsache sein.

Transparenter Code vor mehreren Personen

Auf 223 Milliarden Euro beziffert der Verband der deutschen Informations- und Telekommunikationsbranche inzwischen die jährlichen Schäden, die der deutschen Wirtschaft durch Cyber-Attacken entstehen. Fast neun von zehn Unternehmen wurden bereits Opfer. Foto: picture alliance / dpa | Julian Stratenschulte

Die Angreifer kamen nachts und sie kamen lautlos. Nicht mit Brecheisen und Hammer verschafften sie sich Zutritt zur Kiesel-Gruppe aus Baienfurt im Landkreis Ravensburg. Es brauchte nur eine E-Mail mit Anhang – und einen Mitarbeiter, der diesen Anhang aus Versehen öffnete. Für das, was in den Wochen und Monaten danach geschah, findet Maximilian Schmidt, Mitglied der Geschäftsleitung des Baumaschinenhändlers, auch heute nur noch drei Worte: „Ein einziger Alptraum.“

Die Kiesel-Gruppe wird am 11. Juni 2020 Opfer einer raffinierten Hackerattacke, eines sogenannten Ransomware-Angriffs. Der Termin ist gut gewählt. Es ist Fronleichnam, in den meisten deutschen Bundesländern ein Feiertag. Ein Großteil der Kiesel-Belegschaft genießt den freien Tag, als sich der Angreifer unbemerkt im System der Unternehmensgruppe ausbreitet, den Virenschutz deaktiviert, Daten verschlüsselt und Back-ups unbrauchbar macht.
Am Morgen des 12. Juni bemerkt ein Mitarbeiter der IT-Abteilung eine Anomalie und schlägt Alarm. Sofort wird ein Krisenstab einberufen. Dieser beschließt, das gesamte IT-System des Unternehmens vom Netz zu trennen und die Server herunterzufahren. Mehr als 1.000 Arbeitsplätze an mehr als 50 Standorten in Deutschland, Österreich und Polen sind betroffen.

Als die Infrastruktur eingehender untersucht wird, wird das Ausmaß des Schadens sichtbar: Weite Teile der IT sind verschlüsselt, allen voran das zentrale ERP-System, quasi das Rückgrat des Unternehmens, in dem alle Kernbereiche wie Finanzen, Personalwesen, Fertigung, Logistik, Services und Beschaffung zusammenlaufen. Computer, Laptops, Server, Telefone – nichts funktioniert mehr.

„Your network was hacked“, teilen die Angreifer per anonymer Bildschirmnachricht dem konsternierten Kiesel-Krisenteam mit. Kurz danach melden sich die Erpresser und fordern Kiesel auf, 500 Bitcoins Lösegeld zu zahlen – zu damaligen Kursen knapp 4,7 Millionen US-Dollar oder 4,0 Millionen Euro. Die Kontaktaufnahme und weitere Kommunikation, ließen die anonymen Hacker wissen, hätten über das Darknet zu erfolgen.

Kiesel ist kein Einzelfall

Das, was Kiesel widerfahren ist, erleben tagtäglich viele Unternehmen in Deutschland. Auf 223 Milliarden Euro beziffert der Verband der deutschen Informations- und Telekommunikationsbranche inzwischen die jährlichen Schäden, die der deutschen Wirtschaft durch Cyber-Attacken entstehen. Fast neun von zehn Unternehmen wurden bereits Opfer.

Im aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird die IT-Sicherheitslage in Deutschland als „angespannt bis kritisch“ eingeschätzt. Von Juni 2020 bis Ende Mai 2021, heißt es darin, wurden im Schnitt täglich 394.000 neue Schadsoftwarevarianten bekannt – im Vergleich zum Vorjahreszeitraum ein Zuwachs um 22 Prozent. Insbesondere Cyber-Angriffe, die auf die Erpressung von Löse- oder Schweigegeld abzielten, nahmen zu, berichtet das BSI.

Ein großes Problem ist auch die zunehmende Vernetzung von Unternehmen: Cyber-Angriffe betreffen immer häufiger nicht nur ihre eigentlichen Ziele, sondern entfalten ihre Wirkung über die jeweils direkt Betroffenen hinaus auf ganze Lieferketten.

Bei Kiesel sitzen am Tag 3 nach der Attacke die Geschäftsführung, der IT-Krisenstab, Spezialisten von Polizei und Bundeskriminalamt sowie der Zentralen Ansprechstelle Cybercrime (ZAC) in Baienfurt zusammen und beraten über das weitere Vorgehen. Man entscheidet, auf Zeit zu spielen, das Lösegeld nicht zu zahlen – „zumal es keinerlei Gewähr gibt, dass die Erpresser nach der Bezahlung den Code für die Entschlüsselung auch wirklich herausrücken“, erklärt Schmidt.

Parallel dazu wird mithilfe externer Spezialisten versucht, in der Zentrale die IT der Gruppe wieder flottzumachen. Server für Server wird in mühevoller Kleinarbeit und unter höchstem Zeitdruck gescannt und gereinigt. Da zunächst unklar ist, durch welche Lücke im Sicherheitssystem der Angriff erfolgte, werden auch sämtliche Hardware-Geräte der 50 Standorte eingesammelt, nach Baienfurt geschickt und zentral überprüft. „Allein das war eine Sisyphusarbeit“, erinnert sich Schmidt.

Tatort IT-Abteilung

Die IT-Abteilung des Unternehmens sieht zu diesem Zeitpunkt aus wie ein Tatort im Kriminalfilm: hermetisch abgeriegelt und mit Flatterband gesichert. Nur befugte Mitarbeiter haben Zutritt zu den Räumlichkeiten, in denen sich die Hardware der Gruppe stapelt.
Währenddessen versuchen die Mitarbeiter, den operativen Betrieb so gut es geht aufrechtzuerhalten.

„Als Handelshaus leben wir davon, Ware zu kaufen und zu verkaufen, Service und Ersatzteile anzubieten. Ohne eine ausgefeilte Softwarelösung und die entsprechende IT-Infrastruktur im Hintergrund ist das heute fast unmöglich. Und von einem Moment zum anderen war nichts davon verfügbar.“

Maximilian Schmidt, Mitglied der Geschäftsleitung
Kiesel GmbH

„Als Handelshaus leben wir davon, Ware zu kaufen und zu verkaufen, Service und Ersatzteile anzubieten. Ohne eine ausgefeilte Softwarelösung und die entsprechende IT-Infrastruktur im Hintergrund ist das heute fast unmöglich“, beschreibt Schmidt den Normalzustand. „Und von einem Moment zum anderen war nichts davon verfügbar.“ Also fahren die Servicetechniker ohne Laptop raus, Papier und Bleistift müssen den Rechner ersetzen. Und die Vertriebler halten den Kontakt zu den Kunden mithilfe ihrer privaten Handys. Es gelingt, die Abläufe vorübergehend auch ohne IT aufrechtzuerhalten.

Doch je mehr Zeit verstreicht, desto prekärer wird die Lage. In der Zentrale in Baienfurt arbeitet die Finanzabteilung zusammen mit den Banken fieberhaft daran, zumindest die Auszahlung der Juni-Gehälter sicherzustellen. Vor allem das verschlüsselte ERP-System, auf das Kiesel seit dem 11. Juni nicht mehr zugreifen kann, bereitet Kopfzerbrechen. Schmidt gesteht, dass man zwischenzeitlich in Erwägung gezogen habe, das Lösegeld doch zu bezahlen.

Dann ein erster Lichtblick: Aus dem Daten-Papierkorb kann doch noch eine Sicherungskopie des ERP-Systems rekonstruiert werden. Eine Fahrlässigkeit der Erpresser rettet Kiesel das Überleben. Wochen nach dem Angriff gelingt es, die Software zumindest am Hauptsitz in Baienfurt zum Laufen zu bringen – isoliert vom Firmennetzwerk. Nach zwei Monaten funktioniert ein rudimentäres Testsystem. Und es dauert fast ein Jahr, bis die IT der Kiesel-Gruppe wieder richtig rundläuft.

Währenddessen gehen die Ermittlungen gegen den unsichtbaren Feind weiter. Erste Spuren führen in ein Internetcafé nach Holland. Doch bald stellt sich heraus, dass von dort nur der Angriff ausgeführt, das Internetcafé selbst ebenfalls gehackt wurde. Weitere Recherchen von Polizei und Bundeskriminalamt machen einen Server in Russland aus. Dann verliert sich die Spur.

Mittelständler geizen bei der IT-Sicherheit

Was bleibt ist ein Millionenschaden und die bittere Erkenntnis, dass sich eine solche Attacke jederzeit wiederholen kann. Für diesen Fall hat sich Kiesel aber gewappnet. „Wir haben unsere Abwehr danach völlig neu konzipiert“, erklärt Schmidt. Zusätzliche Sicherheitsmaßnahmen wurden eingeführt – angefangen von einer Multifaktor-Authentifizierung, wie sie beispielsweise im Onlinebanking üblich ist, über eine Netzwerksegmentierung und eine vollständige Entkoppelung der Back-up-Systeme von der IT bis hin zu einem erweiterten Virenschutz. Zudem wurden die Mitarbeiter für das Thema Cyber-Angriffe sensibilisiert und ein Notfallplan erstellt, der detailliert auflistet, was nach einem Hackerangriff zu tun ist.

Das alles bedeutet einen immensen finanziellen und administrativen Aufwand, doch die Maßnahmen scheinen sich auszuzahlen. „Wir hatten seitdem weitere fünf, sechs Cyber-Angriffe, die wir dank der nun deutlich höheren Sicherheitsstandards alle abwehren konnten“, sagt Schmidt.

Die Notwendigkeit, sich gegen die immer häufigeren Angriffe aus dem Netz wirksam zu schützen und dafür auch Geld in die Hand zu nehmen, verfängt in vielen mittelständischen Unternehmen aber noch nicht.

„Man weiß um die Gefahr, will dafür aber kein Geld ausgeben.“

Marco Zuzak, Geschäftsführer Abakus IT AG

„Man weiß um die Gefahr, will dafür aber kein Geld ausgeben“, berichtet Marco Zuzak, Chef des Rechenzentrumbetreibers Abakus IT AG. Dabei machen Investitionen in IT-Sicherheitslösungen regelmäßig nur einen Bruchteil des potenziellen Schadens aus, den ein erfolgreicher Angriff anrichtet. Doch vor allem im inhabergeführten Mittelstand würde der Kostenaspekt die Datensicherheit noch immer überwiegen. In managergeführten Firmen sei es hingegen andersherum – „weil sich die Firmenlenker sonst angreifbar machen“, sagt Zuzak.

Die Cyber-Gefahr ist real

Wie real die Gefahr eines Cyber-Angriffs inzwischen ist, illustriert der Abakus-Chef an einer einzigen Zahl: Rund 22.000 schadhafte E-Mails fängt der IT-Dienstleister für seine rund 100 Rechenzentrum-Kunden täglich ab. Dass die Bedrohung zunimmt, bestätigt auch Armin Kisling von der Zentralen Ansprechstelle Cybercrime in Stuttgart. Vor allem bei Ransomware-Attacken würden die Erpresser immer zielgerichteter und perfider vorgehen. „Die Attacken erfolgen mittlerweile stets zweistufig: Ein erster Angriff hat zum Ziel, das Umfeld der Firma und die IT-Infrastruktur zu erkunden. Dabei erfolgt in der Regel auch ein Upload von Firmendaten“, berichtet Kisling. Der eigentliche Angriff, bei dem die IT-Infrastruktur verschlüsselt und außer Gefecht gesetzt werde, geschehe oftmals erst Wochen später – häufig am Wochenende oder an Feiertagen.

Die Lösegeldforderungen, die in der Regel in der Kryptowährung Bitcoin erhoben werden, richteten sich dabei an der Leistungsfähigkeit des Unternehmens aus. Teilweise sei die Höhe sogar verhandelbar, sagt der ZAC-Experte, der aber davon abrät zu zahlen. „Denn es bleibt die Frage, ob damit der Schaden behoben ist. Oftmals werden die zuvor abgegriffenen Daten im Darknet gehandelt. Das gibt anderen Angreifern die Möglichkeit, einen erneuten Erpressungsversuch zu starten.“ Kisling bittet betroffene Unternehmen, Cyber-Angriffe zu melden und so zumindest einen Teil zum Kampf gegen die Computerkriminalität beizutragen – auch wenn die Erfolgsaussichten, der Täter habhaft zu werden, überschaubar bleiben.

Das sieht inzwischen auch Maximilian Schmidt von der Kiesel-Gruppe so. Anfänglich hätte die Geschäftsführung noch versucht, die Attacke geheim zu halten. Doch mittlerweile geht Kiesel offensiv mit dem Vorfall um und möchte dazu beitragen, es potenziellen Tätern künftig schwerer zu machen, indem sich potenzielle Opfer besser schützen.

Reaktion und Prävention: Was bei einem Ransomware-Angriff zu tun ist

Gehackt, und nun? Laut Armin Kisling von der Zentralen Ansprechstelle Cybercrime (ZAC) in Stuttgart kommt es bei einem Cyber-Angriff mit einem Verschlüsselungstrojaner auf Schnelligkeit an. „Externe und interne Netzwerkverbindungen sollten so schnell wie möglich getrennt und Back-ups isoliert werden. Manchmal hat man Glück und es sind nur Teile der IT verschlüsselt“, weiß der ZAC-Experte.

Darüber hinaus sollte sofort der IT-Dienstleister kontaktiert werden. Der kennt die Firmen-IT am besten und weiß, wo er ansetzen kann, um Daten zu retten. Kisling rät betroffenen Firmen, unbedingt auch die ZAC zu kontaktieren. In der Regel ist noch am gleichen Tag einer der Experten vor Ort. „Für die Firmen hat Priorität, schnell wieder auf die Füße zu kommen. Der ein oder andere Unternehmer mag deshalb auf die Lösegeldforderungen eingehen. Das müssen wir akzeptieren“, sagt Kisling. Doch betroffene Unternehmen sollten auch die Ermittlungsansätze der Polizei und der Strafverfolgungsbehörden berücksichtigen und mit einer Meldung bei der ZAC zum Kampf gegen die Cybercrime-Tätergruppen beitragen.

Präventiv rät Kisling, spezialisierte IT-Dienstleister ins Boot zu holen, um kurze Wege bei möglichen Angriffen zu haben, sowie einen IT-Notfallplan zu entwickeln und ein Krisenreaktionsteam aufzustellen. Hilfestellung beim Aufbau eines Notfallmanagements gibt unter anderem das BSI.
Darüber hinaus sollte die Back-up-Strategie hinterfragt werden, ob diese einem Ernstfall standhält. „Das ist regelmäßig nicht der Fall, wenn Sicherungskopien im Firmennetzwerk gespeichert werden. Stattdessen sollten die Back-ups entweder vom Netzwerk entkoppelt oder in einer Cloud abgelegt werden“, sagt Kisling.

Typische Einfallstore für Cyber-Angriffe sind zudem Fernzugriffslösungen (Remote-Desktop), wie sie häufig im Homeoffice genutzt werden. Kisling rät zudem zur Einführung einer Zweifaktor-Authentifizierung. Detaillierte Handlungsempfehlungen bei Ransomware-Attacken stellt die ZAC zur Verfügung.
Vorbeugend helfen ferner Penetrationstest von zertifizierten IT-Sicherheitsdienstleistern wie dem Tüv, um organisatorische und technische Sicherheitslücken zu identifizieren und zu schließen.
Während verbesserte Cyber-Sicherheit und Präventionsmaßnahmen die erste Verteidigungslinie darstellen, kann eine Cyber-Versicherung dazu beitragen, die Schwere eines Vorfalls abzumildern, Unternehmen durch die Unterbrechung und bis zur Wiederherstellung zu unterstützen und die Widerstandsfähigkeit zu erhöhen, erklärt Johannes Behrends, Leiter der Einheit Cyber-Risiken beim Versicherungsmakler Marsh. Doch der Teufel liegt im Detail. Cyber-Policen sind nicht günstig, die Prämien haben durch die vielen Attacken extrem angezogen. Zudem beginnen etliche Versicherer, ihre Leistungen bei Ransomware-Angriffen zu reduzieren.

11/2021
Chefredaktion: Bastian Frien und Boris Karkowski (verantwortlich im Sinne des Presserechts). Autor: Andreas Knoch. Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers (Deutsche Bank AG) wieder.