Mit der wachsenden Vernetzung erhöht sich auch die Gefahr für Unternehmen, Opfer eines Cyberangriffs zu werden. Wie kann man sich dagegen schützen? Hilfe kommt von unerwarteter Seite.

Text: Constantin Wißmann, Illustration: Jörn Kaspuhl

Der Frankfurter Hauptbahnhof ist schon an einem normalen Tag einer der geschäftigsten Bahnhöfe Deutschlands, doch am Freitag, dem 12. Mai 2017, ist er noch wuseliger als sonst. Am Nachmittag strömen die Manager und Banker aus den Bürotürmen hierher, um schnell nach Hause in den Taunus oder den Odenwald zu kommen, sie drängen sich mit den Wochenendreisenden dicht an dicht an den Gleisen. Wer schaut da schon auf die elektronischen Anzeigetafeln? Doch dann tut es einer und dann der nächste und der nächste, bis auf einmal fast alle den Kopf nach oben recken. Denn auf den Bildschirmen, auf denen die Züge normalerweise in weißer Schrift auf blauem Hintergrund angezeigt werden, ist auf einmal ein karminroter Kasten zu sehen, darin ein Schlosssymbol und sehr viel schwarze Schrift. Was steht da? „Oops, your files have been encrypted“. Warum steht das da auf Englisch? Was bedeutet das? Und warum läuft daneben ein Countdown ab?

Tatsächlich war der Anblick der Anzeigetafeln in mehreren deutschen Bahnhöfen an diesem Tag für viele Menschen wohl die bis dahin deutlichste Visualisierung von etwas, das man sich nur schwer physisch vorstellen kann: einer Cyberattacke. Es war der „WannaCry“-Angriff, der außer der Deutschen Bahn auch den britischen National Health Service traf; in Spanien war die Telefongesellschaft Telefònica teilweise lahmgelegt, in Frankreich musste Renault die Produktion herunterfahren. Innerhalb nur eines Tages waren durch „WannaCry“ laut Europol rund 230 000 Computer in mehr als 150 Ländern infiziert. Es handelte sich dabei um „Ransomsoftware“, also ein Programm, das mithilfe von Kryptotrojanern die Dateien eines Rechners verschlüsselt und sie nur gegen „ransom“, ein Lösegeld, freigibt.

„WannaCry“ machte ein Problem unserer modernen Welt öffentlich, das keineswegs neu ist, aber meist nur von Fachleuten diskutiert wird und ansonsten in der gesellschaftlichen Diskussion unter dem Radar schwebt: Cybersecurity. In einer immer stärker und weitläufiger vernetzten Welt vergessen viele, sich zu schützen. Denn die Werkzeuge, die der Vernetzung dienen, also die Betriebssysteme und das Internet, sind im Grunde unsicher, weil sie dynamisch sind, sich ständig verändern und dabei immer wieder Lücken ins Netz reißen. „Das ist ein ständiger Drahtseilakt“, sagt Uwe Kissmann. Er leitet bei der Firma Accenture das Europageschäft mit IT-Sicherheitslösungen. „In der Realität werden oftmals Digitalisierungsmaßnahmen getroffen, ohne gleichzeitig über die Sicherheitsaspekte nachzudenken.“

Dabei gibt es Angriffe fast schon so lange, wie es den Cyberspace gibt. 1989 trat der „Aids“ Trojaner auf. Er infizierte Geräte über eine Diskette, blendete dann Verzeichnisse aus und verschlüsselte Namen und Erweiterungen von auf der Festplatte gespeicherten Dateien. Dem Benutzer wurde dann eine Nachricht gesendet, dass die Probleme behoben würden, wenn man 189 Dollar cash an ein Postfach in Panama schicke. Mehr als 30 Jahre später, mit mehreren Wendungen in der Entwicklung, ist der Begriff Ransomware in der ganzen Welt zu einem Begriff geworden. Heute ist Internetkriminalität ein Massenphänomen. Sie ist einerseits ein hochprofessionelles Geschäft des organisierten Verbrechens und andererseits eine Waffe von Nationalregierungen. Dazu gehört der Computerwurm „Stuxnet“, mit dem Industrieanlagen in Iran infiltriert wurden – als Auftraggeber wurden Israel und die USA verdächtigt. Vor der US-Wahl 2020 griffen russische Hacker die Server amerikanischer Bundesstaaten und Verwaltungen an. Auch hinter „WannaCry“ soll nach gegenwärtigen Erkenntnissen mit Nordkorea ein Staat stehen.

Um Deutschland vor solchen Angriffen besser zu schützen, riefen Innen- und Verteidigungsministerium 2020 die Cyberagentur mit Sitz in Halle an der Saale ins Leben. Ihr Leiter Christoph Igel sieht die Aufgabe der Agentur darin, die Forschung in vier Bereichen voranzutreiben, wie er der Deutschen Presse-Agentur sagte. „Erstens: Wie kann ich den Einzelnen präventiv dazu befähigen, die Sicherheit seiner Geräte zu prüfen? Zweitens: Wie stelle ich fest, dass ich gehackt wurde?“ Der dritte Schritt laut ist Igel die Reaktion: Was ist zu tun, wenn man weiß, dass man gehackt worden ist? Und der vierte die Repression: Welche Sanktionen etwa strafrechtlicher Art können eingeleitet werden, wenn ich gehackt wurde?

Das ist vor allem schwierig bei kriminellen Organisationen. Sie operieren von weltweit verteilten Standorten aus, was die Zuständigkeit erschwert. Die Kriminellen sind auf Geld aus. Und das funktioniert hervorragend. Schon 2014 übertrafen die Umsätze aus Cybercrime nach einer Studie des Softwareanbieters McAfee die des weltweiten Drogenhandels. Die andere Seite: Die Verluste deutscher Unternehmen durch Cyberattacken betragen laut Statistischem Bundesamt fast 90 Milliarden Euro. Das entspricht etwa dem Anteil des Finanzministeriums am Bundeshaushalt. Aller Voraussicht nach werden die Verluste der Unternehmen sich weiter vergrößern. Denn die Möglichkeiten der Cyberattacken wachsen mit den Möglichkeiten der Vernetzung. Und die entwickeln sich rasant. Da ist zum einen Big Data, was bedeutet, dass die betrieblichen Prozesse immer umfassender digital erfasst, verarbeitet und archiviert werden. Das gilt ebenso für die wachsende Fülle an Informationen über den Kunden: Kontaktdaten, Transaktionshistorien und Interaktionen bis hin zu Browser-Suchdaten und Konsumgewohnheiten.

Hinzu kommt, was man gemeinhin unter Industrie 4.0 versteht, also die zunehmend komplexe Vernetzung der verarbeitenden Industrie. Dadurch öffnen sich immer mehr potenzielle Einfallstore für Hacker, die den Betrieb empfindlich stören können. Auch das Internet der Dinge kann zum Dorado der Hacker werden. Je mehr das Internet sich von PC und Handy hin zu Alltagsprodukten bewegt, sei es ins Auto, in ein Pulsmessger.t am Arm oder in die Lichtsteuerung im Haus, desto mehr wächst auch dort die Gefahr eines feindlichen digitalen Eindringens. Wer das schafft, erhält potenziell Zugang zu vielen weiteren, oftmals sensiblen persönlichen Daten. Das hat schwerwiegende Folgen für den Nutzer, trifft aber auch die Unternehmen, mit deren Servern die Geräte vernetzt sind.

Das alles hat 2020 durch Corona einen Boost bekommen. Mit der Verlagerung der Arbeit ins Homeoffice kommen auf die Unternehmen in Sachen Cybersicherheit ganz neue Probleme hinzu. Nun muss eine Firma nicht mehr nur ein Büro vor Cyberangriffen schützen, sondern Dutzende, oft sogar Hunderte. „Die physischen Bürowände fungieren häufig als eine große Firewall, und jeder abnormale Eingriff in das Netzwerk kann oft leicht erkannt und bekämpft werden“, sagt Jake Moore, Sicherheitsexperte beim slowakischen Softwareanbieter ESET, einem der weltweit führenden Unternehmen in dem Bereich. Aber wenn nun ein Gro.teil der Mitarbeiter von außen auf das Netzwerk zugreifen müsse, so Moore, stünden die IT Abteilungen vor neuen „gravierenden Herausforderungen, um es milde auszudrücken“.

Kein Wunder, dass gerade kleine und mittelständische Unternehmen sich angesichts der Fülle der Gefahren und der Komplexität der Materie geradezu ausgeliefert fühlen. Ein Angriff kann theoretisch jederzeit von überallher erfolgen. Dem steht dann eine IT-Abteilung gegenüber, die oft aus nicht mehr als einem festen Mitarbeiter und ein paar Werkstudenten besteht. Ihnen Mut zu machen, darin sieht Kim Nguyen seine Aufgabe. Er ist Geschäftsführer von D-TRUST, einem Unternehmen der Bundesdruckerei-Gruppe, das sichere digitale Identitäten bereitstellt. Digitale Identitäten gewährleisten, dass bei digitalen Transaktionen die Beteiligten auch tatsächlich die sind, für die sie sich ausgeben. Oft hat Nguyen das Gefühl, dass kleinere Unternehmen für das Thema Cybersecurity erst einmal sensibilisiert werden müssten. Er möchte Gefahren aufzeigen, aber auch Ängste nehmen.

Nguyen weiß, wovon er spricht, denn er hat diesen Prozess bei der Bundesdruckerei seit mehr als 15 Jahren begleitet. Als er 2004 dort, an der Grenze zwischen Mitte und Kreuzberg, anfing, war sein Arbeitgeber in vielen Bereichen noch so aufgestellt wie eine manchmal etwas träge Behörde. „Wir mussten uns dann in Turbogeschwindigkeit digitalisieren“, erinnert sich Nguyen heute. Der Aspekt Sicherheit war aus naheliegenden Gründen zentral. Denn nirgends sonst sind so sensible Daten in Arbeit, schließlich werden hier nicht nur Pässe und Personalausweise, sondern auch die deutschen Euro-Banknoten gedruckt. Für Nguyen hat die Bundesdruckerei den Wandel von der Druckerei zum IT-Sicherheitsunternehmen des Bundes mit schnellen, transparenten, automatisierten und individualisierten Prozessen geschafft. Und aus dieser eigenen Erfahrung für andere Organisationen praxisnahe Strategien und Sicherheitslösungen entwickelt, die das Unternehmen an kleine und mittelständische Unternehmen weitergibt.

Das fange oft bei ganz einfachen Lösungen an, etwa mit der Vorgabe, E‑Mails mit sensiblen Informationen grundsätzlich zu verschlüsseln. „Eine unverschlüsselte Mail ist wie eine Postkarte, für jeden lesbar. Daher stelle ich meistens die Frage: Würden Sie Ihre Produktionsgeheimnisse auch auf eine Postkarte schreiben?“ Trotzdem werde IT-Sicherheit oft stiefmütterlich behandelt, gerade weil sie auf den ersten Blick lästig ist und Kosten verursacht, deren Nutzen nicht sofort erkennbar ist. „Deshalb geht es darum, den Mindset zu ändern“, sagt Nguyen. Panik zu erzeugen aber liegt ihm fern. Tatsächlich scheuten sich viele Unternehmer davor, die Digitalisierung voranzutreiben, aus Angst, immer angreifbarer zu werden. „Mit einem fundierten Sicherheitskonzept, das alle Bereiche – Menschen, Computer und Maschinen – einschließt, sind die Risiken beherrschbar.“

So war es schließlich auch bei „WannaCry“. Die Sicherheitslücke in den Betriebssystemen, durch die der Wurm in die Rechner kriechen konnte, war dem Hersteller Microsoft bekannt, die Firma hatte auch einen Patch herausgegeben, der sie verschloss. Nur hatten die Unternehmen es unterlassen, diesen Patch herunterzuladen, oder sie ließen die Rechner mit veralteten Windows-Versionen laufen. Es wäre schon viel gewonnen, wenn die Verantwortlichen die vielleicht manchmal penetranten Warnungen der ITler beherzigen würden, Betriebssystem und Software immer auf dem neuesten Stand zu halten, nicht übereilt auf Links in E-Mails zu klicken und regelmäßig ein Back-up zu machen, um die eigenen Daten in Kopie parat zu haben. Hilflos ausgeliefert ist man den Attacken nicht. Es war ein Mensch, ein Sicherheitsforscher der Firma Malware Tec, der auf eine unregistrierte Internetadresse stieß, über die das schädliche Programm verbreitet worden war. Er meldete die Adresse amtlich an und aktivierte so einen offenbar in die Software integrierten Schalter, der die Weiterverbreitung stoppte. „WannaCry“ war damit zwar nicht besiegt und kehrte immer wieder in anderer Form zurück. Aber die große Katastrophe blieb aus, die Anzeigentafeln in Frankfurt zeigen seither nur noch An- und Abfahrtszeiten an.

Diesen Beitrag lesen Sie auch in unserem Magazin diskurs Nr. 33. Bestellen Sie ein kostenloses Exemplar bei Roland Lis, Berater Privatkunden, Weberbank Actiengesellschaft, Tel.: (030) 897 98 – 403, E-Mail: roland.lis@weberbank.de