Die Tübinger Sicherheitsfirma SySS wird gerufen, wenn Firmen, Behörden, Krankenhäuser und Versorger Hackerangriffe simulieren lassen wollen – aber auch im Ernstfall, wenn ein Angriff abgewehrt werden soll. Die kritischen Notfalleinsätze häufen sich.
Tübingen - Für Sebastian Schreiber sind Katastrophen-Szenarien Alltag geworden, schließlich ist er ein Teil davon. Doch für die Firmen, Behörden, Krankenhäuser oder Stromversorger, die ihn beauftragen, um die Sicherheit ihrer IT-Systeme testen zu lassen, sind sie oft ein Schock. Wenn Schreiber und sein Team sich von außen wie Hacker in die Systeme geschlichen haben, folgt manchmal der alarmierende Befund: „In vielen Situationen wären wir in der Lage gewesen, den Strom abzustellen, Patientendaten zu verschlüsseln, bei einem Pumpspeicherkraftwerk den Speichersee zu leeren oder Industrieroboter fehlerhaft arbeiten zu lassen“, sagt Schreiber.
Seine Aussagen haben so viel Gewicht, weil die SySS bei den Penetrationstests, wie die Hackerangriffe auf Auftrag genannt werden, in Deutschland als Marktführer gilt. Zu den Unternehmenskunden zählen Autohersteller, Maschinenbauer, Pharma-, Chemie- und Telekommunikationsfirmen, Banken, Versicherungen, Mischkonzerne. Zwei Drittel der 30 Dax-Unternehmen sind darunter, aber auch kleine Betriebe, große wie kleine Stromversorger, Ministerien, Krankenhäuser, Behörden.
Die meisten Kunden kommen aus dem Südwesten, etliche melden sich immer wieder. „Die Notfalleinsätze häufen sich“, sagt Schreiber. Jüngst wurden eine große Bäckereikette und eine Arztpraxis aus Stuttgart gehackt. Sehr selten macht ein Unternehmen einen Angriff transparent wie die Tübinger Buchhandelskette Osiander, die es vor einigen Monaten erwischte.
Geschäftsführung muss Kompetenzen abgeben
Dann geht es ganz schnell. In Krisensituationen muss die Geschäftsführung wie bei einem Feuerwehreinsatz Kompetenzen abgeben, damit der Angriff abgewehrt werden kann. Dann mahnt Schreibers Einsatzgruppe zur Ruhe, identifiziert die Verantwortlichen, sammelt Informationen, analysiert, sucht nach Lösungen. Der Kunde entscheide dabei, wie stark das Einsatzteam die Kontrolle übernehme oder vor allem berate, betont Schreiber. „Das kommt auch darauf an, ob die Produktion stillsteht oder ein Unternehmen nicht an die Personaldaten kommt.“ 2000 Euro pro Person und Tag koste ein Notfall-Einsatz. Am Ende wird das Back-up, also die zuletzt komplett gespeicherten Daten, eingespielt. Auch wenn die Maschinen wieder laufen – eine Sicherheit, dass der Angreifer komplett zurückgedrängt wurde, gebe es nicht. „Das ist wie mit den Metastasen bei einer Krebserkrankung. Da muss man die Ergebnisse regelmäßig wieder überprüfen.“
Am häufigsten seien derzeit so genannte Ransomware-Angriffe, also Trojaner, die Daten verschlüsseln und für deren Entschlüsselung die Angreifer Lösegeld verlangen, sagt Schreiber. Das bestätigen auch das Landeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) unserer Zeitung – dabei habe die Zahl der registrierten Hackerangriffe in den vergangenen Jahren generell stark zugenommen.
Oft beginnt eine Ransomware-Attacke damit, dass ein Mitarbeiter einen infizierten E-Mail-Anhang öffnet. Die Absender gehen dabei immer raffinierter vor. Zum Beispiel erhält ein Angestellter eine Antwort auf einen früheren Mailwechsel mit einem Geschäftskunden samt Hinweis auf einen aktuellen, beigefügten Auftrag. Doch nach dem Öffnen ist nur der Lösegeld-Hinweis samt verschlüsselter Festplatte zu sehen. Als Vorbereitung hatte der Angreifer zum Beispiel das Postfach eines Geschäftskunden geknackt und Kontakte und den Mailverkehr ausgelesen. Am komfortabelsten lassen sich dabei Sammelmails nutzen. Ein interessant formuliertes Antwortschreiben an alle – und schon könnte jemand dabei sein, der sich zum Klick verführen lässt.
Arglosigkeit wird zum Verhängnis
Neben Neugierde wird den Mitarbeitern oft Arglosigkeit zum Verhängnis. Im konkreten Fall eines Maschinenbauers klickte ein Mitarbeiter der Personalabteilung auf den Anhang einer Mail, mit dem der Absender sich auf eine reale Stellenanzeige beworben hatte. „Die Legenden der Angreifer sind nahezu perfekt. Auch ich hätte schon beinahe auf einen Anhang geklickt“, sagt Schreiber.
Ein weiterer Trend: Die Angreifer wissen die infizierten Computer besser zu nutzen. Oft agieren sie über längere Zeit behutsam im Verborgen, um sich tiefer ins Firmennetz vorzuarbeiten. „Die Angreifer agieren so wie früher die staatlichen Akteure gehackt haben“, sagt Schreiber. Die kurzfristigen Ziele gebe es allerdings nach wie vor. Angreifer verbinden infizierte Rechner zu so genannten Botnetzen, um mit massenhaften Angriffen zum Beispiel Firmenserver lahmzulegen. Sie nutzen die Rechenleistung für das Schürfen von digitalen Währungen. Oder sie verschlüsseln Rechner auch mal weniger gezielt und massenhaft, um auf die Schnelle möglichst viel Geld zu erpressen.
Aus seiner Praxis wisse er, dass der Rat der Kriminalämter, kein Lösegeld zu zahlen, kaum beherzigt werde, sagt Schreiber. „Viele Unternehmen überweisen das Lösegeld sehr schnell, um wieder arbeitsfähig zu sein, insbesondere wenn das geforderte Lösegeld im Vergleich zur Bedrohung niedrig ist.“
Ständiger Wettlauf zwischen Hackern und Verteidigern
Schreiber zeigt Verständnis dafür, dass nicht immer die hochwertigste Software eingesetzt werde. Denn diese koste neben Geld auch Zeit. „Wer eine hohe Qualität will, würde den Wettlauf um die Digitalisierung aufgeben. Jeder nutzt Software, Betriebssysteme und Protokolle, die nicht immer funktionieren. Mir fällt es schwer, meine Kunden auf einen strengen Sicherheitskurs zu bringen, weil eine hochwertige IT andere Ziele torpediert“, so Schreiber. „Einen einfachen Ausweg kann ich auch nicht bieten.“ Konzerne seien dabei nicht besser gegen Angriffe gerüstet als kleine oder mittelständische Firmen. „Die Konzerne haben zwar mehr Geld und Mitarbeiter, aber auch eine viel komplexere IT. Würde man die Investitionen pro PC und Nutzer berechnen, weiß ich gar nicht, ob zum Beispiel ein Dax-Konzern mehr investiert als ein Bäckermeister“, so Schreiber.
Am Ende bleibt es damit für jeden ein ständiger Wettlauf, Sicherheitslücken wieder zu stopfen, bis neue erkannt oder ausgenutzt werden. So wie sich die Software weltweit ähnelt, gleichen sich auch die Angriffe, ob sie in Böblingen, Michigan oder Tel Aviv erfolgen. Ein Wissensvorsprung, sei er nur als Baustein, kann da von Vorteil sein. Wohl auch deshalb hat Schreiber schon Anfragen von Geheimdiensten außerhalb Europas erhalten, klassisch per Mail. „Sie schreiben, dass sie unsere Veröffentlichungen gelesen haben und gerne Beratungen oder Schulungen einkaufen würden – das sagen wir ab“, sagt der SySS-Chef. Auch weil er die wahren Hintergründe nicht kenne und sich keinem Druck aussetzen lassen wolle. Zumindest aus finanzieller Sicht scheint er es etwas zu bedauern. „Damit geht auch viel Geld verloren, das sind für mich keine einfachen Entscheidungen.“