IT-Sicherheit__„Hacker suchen den Schmerzpunkt“

Rafael Gawenda kommt oft zu spät. Der Geschäftsführer von RWT Crowe IT Consulting in Stuttgart ist nicht etwa unpünktlich. Nein, er wird vielmehr häufig erst gerufen, wenn das Kind schon in den Brunnen gefallen ist. Oder hier: der Hacker ins System eingedrungen ist. Im zza-Interview spricht er über moderne Erpressung und zeigt auf, warum es besser sein kann, IT-Sicherheitsexperten schon vor einem Angriff zu konsultieren.

zza: Herr Gawenda, lassen wir doch gleich mal die Katze aus dem Sack: Absolute Sicherheit in IT und Internet gibt es nicht. Widersprechen Sie?
Rafael Gawenda: Das einzige IT-System, das komplett sicher ist, ist das abgeschaltete. Man müsste also alle Stecker rausziehen. Insofern ist es schwierig, Ihnen hier zu widersprechen, weil sie Recht haben. Es gibt keine absolute Sicherheit. Es geht in der IT vielmehr um ein angemessenes Sicherheitsniveau.

Was angemessen ist, definiert jeder für sich selbst?
Ja, es muss jeder für sich selbst definieren, was angemessen ist für das eigene Geschäftsmodell und die IT-Infrastruktur. Grundsätzlich sollten aber Datenverluste und Betriebsstörungen möglichst vermieden werden.

Wie sind die Unternehmen in Deutschland in Sachen IT-Sicherheit aufgestellt?
Das ist stark abhängig von der Branche und der Größe des Unternehmens. Großunternehmen haben mehr Kapazitäten und finanzielle Reserven als kleinere, um sich mit dem Thema zu beschäftigen. Die Großen gehen das mit großen Budgets und Teams an und sind inzwischen meistens gut bis sehr gut aufgestellt. Bei den kleinen und mittelständischen Unternehmen sieht die Sache ein bisschen anders aus. Da fehlt es häufig an Fachkräften, Know-how und am Budget. Investitionen werden dort oft gescheut. IT-Sicherheit kostet Geld und bringt erst was, wenn tatsächlich ein Angriff passiert. Dann merkt man, wie wichtig das Thema ist. Im internationalen Vergleich liegt Deutschland im oberen Drittel bei der IT-Sicherheit. Die Besten sind wir aber nicht.

Welche Risiken gibt es, wenn das Unternehmen angegriffen wird? Welche Konsequenzen drohen?
Das größte Risiko ist die Betriebsunterbrechung, also dass das Unternehmen nicht weitergeführt werden kann. An der IT hängt viel, und wenn ein System nicht mehr funktioniert, kann unter Umständen das ganze Geschäftsmodell zum Stillstand kommen. Es gibt weiterhin die klassischen Ransomware-Angriffe, mit denen Unternehmensdaten verschlüsselt werden. Der Hacker verlangt dann Lösegeld, bevor er die Daten wieder freigibt. Andere Angreifer stehlen Unternehmensdaten und die Kriminellen drohen mit der Veröffentlichung dieser Daten. Das kann erhebliche Reputationsschäden zur Folge haben.

Gibt es bestimmte Branchen oder Unternehmensgrößen, die besonders im Fokus stehen?
Wir beobachten, dass vor allem kleine und mittelständische Unternehmen über alle Branchen hinweg im Fokus der Angreifer stehen. Auch die Kriminellen optimieren ihr Geschäftsmodell und leider machen es ihnen die KMUs einfach.

Wie ist denn der Stand heute, wie gehen Kriminelle vor? Welche Tricks oder Maschen werden besonders häufig eingesetzt?
Es gibt unheimlich viele Angriffsszenarien, aber die beiden größten Einfallstore sind relativ klar: Zum einen fehlende Sicherheitsupdates und veraltete Software, da müssen die Kriminellen auch gar nicht viel investieren. Sie verwenden dann einfach die bestehenden Lücken, um in das System einzudringen. Die zweite Variante ist die Ausnutzung des Einfallstors Mensch oder Mitarbeiter. Hier versuchen die Angreifer, Mitarbeiter des Unternehmens zur Preisgabe sensibler Informationen zu verleiten, zum Beispiel Anmeldedaten, Passwörter oder Interna aus dem Unternehmen. Diese zweite Variante ist mittlerweile die häufigste und wird auch als Social Engineering bezeichnet.

Bitte skizzieren Sie mal den Ablauf eines typischen Erpressungsfalls für uns.
In den allermeisten Fällen laufen die Angriffe unerkannt. Irgendwann später landet im Unternehmen wie aus heiterem Himmel eine E-Mail mit einem Erpressungsschreiben. Alternativ kann es auch sein, dass man morgens den Rechner anschaltet und nichts mehr geht, außer das dort steht: Sie wurden gehackt. Oft werden als Beweis gestohlene Daten mitgeschickt. Die Erpresser drohen dann mit der Veröffentlichung der Daten im Internet oder dem Verkauf an die Konkurrenz des angegriffenen Unternehmens. Zeigt sich das Unternehmen nicht kooperationsbereit im Sinne von zahlungswillig, wird auch damit gedroht, den Angriff auf einschlägigen Internetseiten bekannt zu machen, um den Druck weiter zu erhöhen. Dort lesen Medien wie Heise.de und andere mit. Im angegriffenen Unternehmen werden dann häufig forensische Analysen externer Experten angefertigt, die den Ablauf des Angriffs rekonstruieren. Dann kommt zum Beispiel heraus, dass die Hacker schon mehrere Monate Zugriff auf das Unternehmensnetzwerk hatten. In einem uns bekannten Fall war der Hacker seit zwei Jahren im Unternehmensnetzwerk unterwegs.

Warum hat er zwei Jahre lang gewartet?
Auch die Hacker haben mittlerweile Organisationsstrukturen analog zu einem Unternehmen. Vermutlich hatten sie in diesem Fall schlicht keine Zeit.

Sie hatten zu viel zu tun?
Ja, auch dort gibt es Fachkräftemangel, sagen wir es mal so.

Über welche Summen sprechen wir bei Erpressung?
Grundsätzlich gibt es keine fixe Zahl. Die Summen liegen zwischen vierstelligen bis zu hohen siebenstelligen Bereichen. Die Angreifer orientieren sich oft an der Größe des Unternehmens und schauen genau, wie leistungsfähig ihre Opfer sind. Sie versuchen genau den Punkt zu erwischen, wo es schmerzt, aber das Unternehmen noch bereit ist, zu bezahlen. Sie haben ja unter Umständen Einblick in Bilanzen und Kontostände. Studien zeigen, dass im Mittelstand bei kleineren Unternehmen zwischen 70.000 und 150.000 Euro aufgerufen werden.

Wer garantiert, dass ein Unternehmen nicht weiter erpresst wird, wenn es einmal an die Kriminellen gezahlt hat?
Dafür gibt es keine Garantie, aber es gibt bei diesen Cyberkriminellen eine Art Ganovenehre. Würde etwa bekannt, dass eine Hackergruppe Daten veröffentlicht, obwohl das angegriffene Unternehmen Lösegeld gezahlt hat, würde das sozusagen den Ruf der Hacker schädigen und beim nächsten Angriff würde ihnen vielleicht niemand mehr glauben, also zahlen. Sie versuchen also gewissermaßen ihr Image als verlässlicher Geschäftspartner aufrechtzuerhalten.

Was sollte ein Unternehmen tun, wenn es von einem Angriff betroffen ist?
Wer angegriffen wurde, sollte schnell externe Experten ins Boot holen. Man benötigt Erfahrung im Umgang mit diesen Kriminellen, weil man beispielsweise in vielen Fällen die Lösegeldforderung runterhandeln kann, teilweise bis zu 70 Prozent. Spezialisten haben zudem einen Schlachtplan, wie mit den Erpressern umzugehen ist. Zugleich sollte man IT-Forensiker einschalten, die untersuchen, wo die Angreifer im Netzwerk unterwegs waren, was sie sich angeschaut haben. Im nächsten Schritt erarbeiten sie dann, welche Gegenmaßnahmen als nächstes ergriffen werden sollten. Ziel sollte sein zu identifizieren, wie die Angreifer in das Netz gelangt sind und zu welchen Systemen sie bereits Zugriff haben. Der Rest muss für ein paar Tage von der Welt getrennt werden. In der Phase nach dem Angriff baut man die gesamte IT-Infrastruktur wieder auf. Das kann mehrere Wochen bis Monate dauern, bis man den ursprünglichen Zustand wieder hergestellt hat und sicher sein kann, das niemand Unbefugtes mehr im Netzwerk ist.

Sollte man die Polizei einschalten?
Ja, kann und sollte man. Schlussendlich ist man aber auch ein bisschen auf sich allein gestellt, um es mal vorsichtig auszudrücken. Das Unternehmen muss selbst schauen, welche Maßnahmen getroffen werden. Häufig wird das Lösegeld bezahlt, damit das Geschäft weiterlaufen kann.

Eine Chance solche Kriminelle dingfest zu machen, gibt es praktisch nicht, oder?
Es ist schwierig, an sie heranzukommen, weil viele im Ausland sitzen und die deutsche Staatsanwaltschaft keinen Zugriff hat. Der ganze Ablauf findet ja im Darknet statt, die Zahlung in der Regel über Kryptowährungen. Die Hacker sind hochgradig professionelle Truppen, teilweise unterstützt von Regierungen. Ich kann also nicht davon ausgehen, das Geld zurückzubekommen. Daher ist das Vermeiden des Angriffs meine beste Wahl.

Und was können Unternehmen tun, um sich bestmöglich vor einem Cyberangriff zu schützen?
Erste Gegenmaßnahme ist das Patch-Management, sprich Software auf dem neuesten Stand zu halten. Es muss gewährleistet sein, dass man immer die neuesten Sicherheitsupdates eingespielt hat. Das zweite wäre, Mitarbeiter und auch Geschäftsleitung zu trainieren. Man simuliert beispielsweise Phishing-Angriffe oder Telefonate von Hackern, die versuchen, Vertrauen aufzubauen. Mitarbeiter sollten die psychologischen Muster erkennen und schnell skeptisch werden, wenn die Hacker zum Beispiel Druck aufzubauen versuchen. Dazu noch ein Backup- Konzept, das die Möglichkeit gibt, nach einem Angriff das System schnell wiederherzustellen, dann kann man durchaus beruhigter schlafen.

Was kostet das?
Technische Maßnahmen kann man vielleicht schon mit dem eigenen IT-Personal etablieren. Auch bei der Anschaffung von Systemen kann man schauen, wie sicher sie sind und wie der Anbieter es mit Sicherheitsupdates hält. Im Mittelstand wird häufig die billigste Software verwendet, die dann dementsprechend auch unsicherer ist. Awareness-Schulungen für Mitarbeiter werden teilweise auch von der öffentlichen Hand subventioniert. Unterm Strich ist das Hochfahren der Sicherheit gar nicht so teuer, wie man das vielleicht glaubt. Für einen kleinen Mittelständler mit unter 50 Mitarbeitern ist das schon unter 10.000 Euro zu realisieren, dazu dann noch die Subventionen.

Welchen abschließenden Rat würden Sie kleinen Unternehmen geben, um die eigenen Cybersicherheit zu erhöhen?
Ich würde darauf abzielen, Angriffe schnell zu erkennen und sie abzuwehren. Je schneller ich reagiere, umso günstiger ist der Ausgang des Vorfalls. Weitere Maßnahmen wären eine Firewall, Backups, die Segmentierung des Netzwerkes, um die Kronjuwelen besser abzusichern, und die Schulung der Mitarbeiter, die man einem Pflichtprogramm zur Cyberhygiene unterziehen kann. Last but not least sollte man immer auch Notfallpläne haben, um möglichst nahtlos weiterarbeiten und eine Betriebsunterbrechung vermeiden zu können.

Dominic Heitz