Es ist ein Albtraum für jede Firma: Hacker dringen ins IT-System und verschlüsseln wichtige Daten, wie jüngst bei Bizerba und Essenslieferant Apetito. Warum viele Unternehmen im Notfall lieber Lösegeld zahlen und Experten Alarm schlagen.
Wenn Unternehmen Opfer eines Cyberangriffs werden, haben sie ein riesiges Problem. „Im Zweifel geht gar nichts mehr“, sagt Andreas Mayer, Professor für IT-Sicherheit, Rechnernetze und Softwareentwicklung an der Hochschule Heilbronn.
Bei einem Ransomware-Angriff – „ransom“ kommt aus dem Englischen und steht für Lösegeld – dringen Hacker durch Sicherheitslücken in die IT-Systeme von Firmen oder Einrichtungen ein, verschlüsseln mit Schadsoftware wichtige Daten und können so ein System komplett lahmlegen – je nach Schwere des Angriffs. Dann verlangen die Angreifer für die Entschlüsselung Lösegeld.
„Die Angreifer haben ein Interesse, dass gezahlt wird und klären sehr gut auf. Teilweise schalten die Erpresser sogar Hotlines“, sagt Mayer. Gezahlt werden soll meist in Kryptowährungen wie beispielsweise Bitcoin, weil sich damit anonyme Konten betreiben lassen und die Eigentümer nur schwer nachzuverfolgen sind.
Über 250 000 Euro Lösegeld
Eine Bitkom-Studie beziffert den Schaden durch Daten-Diebstahl, Spionage und Sabotage für die deutsche Wirtschaft auf jährlich 223 Milliarden Euro – dies entspricht gut sechs Prozent des deutschen Bruttoinlandsprodukts für 2021. Ein Großteil davon geht auf Ransomware zurück. Für die Erpresser ist es ein einträgliches Geschäft. Laut einer Studie des Sicherheitsdienstleisters Sophos zahlen rund 42 Prozent aller deutschen Firmen das geforderte Lösegeld, im Schnitt über 250 000 Euro – obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI ) und das Bundeskriminalamt davon abraten.
„Angreifer suchen ihre Opfer gezielt aus, dort wo es einfach und lukrativ ist“, sagt Mayer und warnt vor Lösegeldzahlungen. Gemeinsam mit mehr als 30 IT-Sicherheitsexperten und Informatikfachleuten hat er in einem offenen Brief Alarm geschlagen. Die Experten sehen die Politik gefordert, denn Lösegeldzahlungen bei Ransomware-Angriffen seien ein geostrategisches Risiko. Laut einer BBC-Studie wurden vergangenes Jahr 74 Prozent aller Ransomware-Lösegelder an Verbrecherbanden in Russland gezahlt. Die Politik sollte solche Geschäftsmodelle nicht unterstützen und Lösegeldzahlungen verbieten, sagt Mayer.
Angreifer wollen teils doppelt kassieren
„Wir müssen die Kosten für Unsicherheit erhöhen“, beschreibt er es. Wer nichts für die Sicherheit tue, müsse mehr zahlen. Auch ein Sicherheitssiegel – ähnlich einem Produktsiegel – könnte hier den Druck erhöhen. Die Lösegeldzahlung sei für viele Unternehmen eine wirtschaftliche Abwägung. „Was kostet mich der Ausfall, wie hoch ist das Lösegeld?“, sagt Mayer. In der Regel dauere es drei bis vier Wochen bis nach einem Ransomware-Angriff die Arbeitsfähigkeit wieder hergestellt sei und die Systeme liefen. Manche Angreifer wollen gleich doppelt kassieren: Zuerst verschlüsseln und danach drohten sie noch damit, die Daten zu veröffentlichen.
Laut Sophos betrugen 2021 die durchschnittlichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff für deutsche Unternehmen 1,6 Millionen Euro. Viele entschieden sich für die Zahlung nicht nur weil sie das erst einmal günstiger kommt als die Ausfallkosten, sondern die Zahlung lasse sich auch über sogenannte Cyberversicherungen abdecken und im Jahresbudget einplanen. Mayer spricht von einer trügerischen Sicherheit, denn man sei nicht davor gefeit, dass Daten dennoch im Internet versteigert würden.
Der Rat und die Erfahrung von Pilz ist gefragt
Automatisierungsspezialist Pilz aus Ostfildern, der vor drei Jahren Opfer eines Cyberangriffs war, zahlte kein Lösegeld, vielmehr ging der geschäftsführende Gesellschafter Thomas Pilz in die Offensive, um andere Unternehmen für die Gefahr zu sensibilisieren. Sein Rat ist gefragt. Mehr als ein Duzend gehackte Firmen haben sich bei ihm gemeldet. „Da nimmt er sich auch Zeit, das Thema hat er zur Chefsache gemacht“, sagt ein Pilz-Sprecher. Bei Pilz hat es Monate gedauert, die IT-Systeme neu aufzustellen. Etliche Wochen waren es auch beim gehackten Autozulieferer Eberspächer und dem Autohändler Emil Frey.
Beim Balinger Waagenhersteller Bizerba und Essenslieferant Apetito sind die Cyberangriffe von Ende Juni noch nicht ausgestanden. Die Untersuchungen liefen noch, ist bei Bizerba auf der Internetseite zu lesen. Experten arbeiteten mit Hochdruck daran, die wichtigsten Systeme wieder zum Laufen zu bringen, heißt es bei Apetito.
Laut dem Cyber-Security-Report der Management-Beratung MHP in Kooperation mit dem Landeskriminalamt Baden-Württemberg ist jedes zweite Unternehmen in Deutschland in den vergangenen zwei Jahren Ziel eines Cyber-Angriffs geworden.
Nach einem Hackerangriff müssten typischerweise alle Systeme neu aufgesetzt werden, weil man nicht wisse, ob die Angreifer im komplexen IT-Umfeld irgendwo eine Hintertür installiert hätten, um zu einen späteren Zeitpunkt eine erneute Attacke zu starten, sagt Experte Mayer.
Wappnen gegen Cyberangriffe
Monitoring
Damit sich Unternehmen möglichst vor einem Cyberangriff schützen, ist ein Monitoring wichtig, um frühzeitig Unregelmäßigkeiten im Datenverkehr im eigenen Netzwerk zu erkennen, sagt Andreas Mayer, Professor mit dem Fachgebiet IT-Sicherheit an der Hochschule Heilbronn. Denn es sei nicht ungewöhnlich, dass Angreifer schon mehrere Monate im System unterwegs seien, ehe der Angriff bemerkt werde.
Schulungen
Jede Firma sollte ein Informationssicherheitsmanagement haben, denn ein wichtiger Faktor sei der Mensch. Ransomware-Angriffe kämen häufig durch E-Mails mit Anhängen. Mitarbeiter sollten sensibilisiert, geschult und trainiert werden. Dazu sein auch eine Kultur der Offenheit nötig, „nicht dass Mitarbeiter vor Angst, Ärger zu bekommen, lieber nichts sagen, wenn sie einen ungewöhnlichen Link geöffnet haben“, so der Experte.
Notfallplan
Mayer rät Unternehmen, sich für den Tag X vorzubereiten – mit Notfallplänen und einem Krisenstab, „damit man nicht ganz blank dasteht, wenn es passiert“. Wie kommuniziert man im Krisenfall und mit wem, wenn man keinen Zugriff mehr aufs E-Mail-System, Skype for Business oder das digitale Telefonverzeichnis hat? „Das sind grundlegende Probleme, die erst mal ausbremsen und Panik erzeugen“, sagt er. Verantwortlichkeiten müssten vorab festgelegt werden, ebenso wer ins Krisenteam kommt – Leitungsebene, Juristen, IT-Fachleute Datenschutzbeauftragter, Betriebsrat, Pressesprecher, nennt er Beispiele.
Sicherheitskopien
Auch Backups, die an sicheren Orten verschlüsselt gespeichert werden, seien unerlässlich und auch das Wiederherstellen mit diesen müsse regelmäßig geübt werden, sagt Mayer.
Ansprechpartner
Für Unternehmen, die Opfer eine Hackerangriffs wurden, gibt es die Zentralen Ansprechstellen Cybercrime (ZAC) unter https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html. Die ZAC-Dienststelle beim Landeskriminalamt Baden-Württemberg ist zu erreichen unter cybercrime@polizei.bwl.de beziehungsweise unter der Hotline 0711/5401-2444.