Hackerangriffe auf Unternehmen und Kommunen - „Hier funktioniert nichts mehr“
Die Zahl der Cyber-Straftaten hat einen neuen Höchstwert erreicht. 146.000 Delikte verzeichnete das BKA im vergangenen Jahr. Das sind im Schnitt 400 Anzeigen pro Tag. Der Schaden ist enorm. Der Branchenverband Bitkom spricht von 230 Milliarden Euro im vergangenen Jahr. Allein durch Angriffe mit sogenannter Ransomware habe sich der Schaden verfünffacht auf 24 Milliarden Euro.
Im Landkreis kippt die Stimmung
Im Oktober 2021 trifft es auch den Landkreis Ludwiglust-Parchim in Mecklenburg-Vorpommern. Über Nacht werden alle Daten verschlüsselt, kein Rechner funktioniert mehr im Landratsamt Ludwigslust, erinnert sich Mitarbeiter Stefan Frisch: „Wir waren ja zu Anfang immer noch in guter Hoffnung, wird schon wieder gehen, bis dann mal einer sagte: So schnell wird das hier nichts mehr.“
Das Landratsamt ist zurückgeworfen auf Stift und Zettel. Nach einigen Wochen kippte die Stimmung in dem Landkreis mit mehr als 200.000-Einwohnern, erzählt Frisch:
„Weil sie dann gesagt haben: Ihr habt da jetzt so einen Computervirus. Das kann jetzt nicht so wild sein, jetzt kommt mal so langsam aus dem Knick und versucht es wieder hinzukriegen. Wo wir dann immer gesagt haben, wir haben ein gutes IT-Unternehmen, dass uns betreut und wenn es so einfach wäre, wäre das Unternehmen sicherlich auf die Idee gekommen, da irgendwo einen Knopf zu drücken, damit es schneller geht.“
Das IT-Unternehmen des Landkreises heißt Kommunalservice Mecklenburg – kurz KSM. Schnell merken die Informatiker, dass nicht die Rechner des Landratsamtes das Problem sind, sondern die eigenen zentralen Server. Dort hat sich die Ransomware eingenistet. Gut ein halbes Jahr ist der IT-Dienstleister damit beschäftigt alle verbundenen Rechner zu prüfen und das System neu aufzusetzen, damit der Landkreis wieder alle Dienste anbieten kann wie zuvor.
Angreifer sind im Vorteil
Das Kräfteverhältnis habe sich in den vergangenen Jahren extrem ungünstig entwickelt für die Defensive, meint Matthias Schulze, Cyber-Experte von der Stiftung Wissenschaft und Politik:
„Für die Offensive – also für die Kriminellen und die Nachrichtendienste – ist das Kräfteverhältnis weitaus günstiger. Es gibt einerseits eine technische Asymmetrie. Das der Angriff leichter ist als die Verteidigung. Andererseits stecken diese Gruppen auch sehr viel ihres Geldes, das sie verdienen mit Ransomware-Kampagnen in neue Tools, in neue Angriffsfähigkeiten.
Und wenn man das rein nummerisch vergleicht, was die zum Teil in die Offensive stecken und was ein kleines und mittelständiges Unternehmen für die IT-Sicherheit ausgibt, dann ist das sehr oft ein krasses Missverhältnis.“
Das musste Alexander Nelke im Juni 2019 erfahren. Seine damalige Logistikfirma in Sachsen-Anhalt wurde Opfer eines Ransomware-Angriffs. Auch seine Back-ups waren verschlüsselt.
„Das hatte dann zur Folge, wenn Du keine Rechnungen schreibst, hast Du keine Geldeingänge. Diese 14 Tage ohne Geldeingänge haben dann letztlich auch dazu beigetragen, dass eine Insolvenz folgte. Wobei ich versucht habe, mit allen wichtigen Partnern – Krankenkassen, Finanzamt, dem Mautanbieter – zu verhandeln. Habe den unsere Situation geschildert. Habe um Zahlungsaufschub gebeten, was auch gewährt wurde, von dem Finanzamt und den Krankenkassen. Wer nicht mitgespielt hat, war der damalige Mautbetreiber.“
Seine Firma Blitz Logistik musste Insolvenz anmelden. 34 Arbeitsplätze standen auf dem Spiel, die nach einigen Monaten letztlich gerettet werden konnten und von einer neuen Firma übernommen wurden. Auslöser war die größte Sicherheitslücke: der Mensch. Erzählt auch Alexander Nelke: „Der Trojaner, der uns seinerzeit erwischt hatte, war mit Sicherheit an einer Mail dran, die ein Mitarbeiter, vielleicht war es auch ich, geöffnet hat und damit diese Verschlüsselung in Gang gesetzt hat.“
Hackergruppe aus Russland
Kein menschlicher Fehler, sondern eine bisher unbekannte Sicherheitslücke nutzten die Hacker aus, die im Februar 2022 den Insolvenzverwalter „Schultze & Braun“ aus Baden-Württemberg mit einer Ransomware-Attacke angriffen. Alle Daten des Mittelständlers mit 600 Mitarbeitern waren verschlüsselt, erzählt Achim Frank, Geschäftsführender Partner, bis auf eine Datei:
„Auf einem der Server war dann eine Textdatei in englischer Sprache verfasst. Darin hat man sich zum Angriff bekannt und eine Entschlüsselung unserer Daten angeboten. Und dazu hatte man uns eine Kontaktadresse hinterlegt, die sich im Darknet befindet. Und dorthin sollten wir uns wenden.“
Der Insolvenzverwalter nimmt keinen Kontakt zu den Erpressern auf, er ist gut vorbereitet, hat funktionierende Back-ups und kann die eigenen Systeme innerhalb weniger Wochen wieder neu aufsetzen. Die Spuren der Ermittler deuten auf die Hackergruppe "Conti" hin. Die käme aus Russland, sagt Wissenschaftler Matthias Schulze:
„Bei denen wissen wir es. Weil deren interne Chatprotokolle geleakt wurden vor einiger Zeit. Und daraus konnte man rekonstruieren, dass die mit dem russischen Geheimdienst FSB in Verbindung standen und scheinbar auch gezielt Aufträge angenommen haben.
Das lässt sich nicht nachweisen auf einer Bezahlbasis oder Vertragsbasis, sondern man sagt ein Ziel, es wäre in unserem Interesse, wenn ihr westliche Unternehmen angreift und dann sagen die, okay, machen wir, aber welche wir dann machen und wie viel wir verdienen, ist unsere Sache.“
Deutschland durch den Krieg im Fokus
Mit russischen Hackergruppen befasst sich Thomas Uhlemann jede Woche. Er arbeitet bei der europäischen Cyber-Security-Firma Eset in Jena, die auch der ukrainischen Regierung hilft:
„Wir schützen immer noch einen Großteil der Infrastruktur der Ukraine. Und sehen da natürlich durch unsere eigene Telemetrie, was passiert. Und andererseits haben wir auch eine sehr gute Zusammenarbeit mit den CERTS – also den Computer Emergency Response Teams der ukrainischen, staatlichen Behörden.“
Auch Deutschland sei zunehmend im Fokus pro-russischer Hacker. Erst im Mai bekannte sich die Gruppe „Killnet“ dazu, die Internetseiten von Bundeskanzler Olaf Scholz, des Bundestages, der Bundespolizei und des Verteidigungsministeriums lahmgelegt zu haben. Durch sogenannte DDOS-Angriffe. Das sei aber wenige dramatisch, meint Uhlemann:
„DDOS-Attacken sind eher etwas für den Durchschnittskriminellen. Da vermuten wir eher den Bereich Hacktivismus dahinter. Das also pro-russische Organisationen, die gar nicht staatlich gelenkt sein müssen, ihre Mittel nutzen, um die Systeme anzugreifen. Aber in dem Bereich Cyberspionage, wo also Netzwerke langfristig ausgespäht werden und man auch versucht, sich lange unentdeckt in den Netzwerken zu bewegen, da haben wir eine ganze Reihe an Angriffen mittlerweile jetzt gesehen.
Das ist ein großes Thema für Behörden und Unternehmen. Gerade wenn sich Deutschland engagiert in der Verteidigung der Ukraine, finden das eben nicht alle gut auf der Welt und gerade pro-russische Akteure, haben dann natürlich Ziele, die sie versuchen anzugreifen bei uns.“
Ermittler rät Opfern: Bei der Polizei melden
Der Krieg hat auch Nachteile für die Strafverfolgung, erzählt Maik Schröder, Dezernatsleiter Cybercrime im Landeskriminalamt Mecklenburg-Vorpommern:
„Es erschwert natürlich die Ermittlungen, wenn wir keine Antworten bekommen und es wäre auch falsch, nicht darauf abzustellen, dass gerade der Ukraine-Russland-Konflikt immense Auswirkungen auf die eine oder andere Ermittlungshandlung hat. Weil nicht wenige Täter aus dem osteuropäischen Raum kommen. Und dort gerade andere Problemlagen vorherrschen, als Ermittlungsverfahren zu betreuen.“
Das LKA Mecklenburg-Vorpommern kümmert sich auch den Angriff auf den Landkreis Ludwigslust-Parchim. In einigen Bereichen wie deutsche Fake-Shops im Internet habe es zuletzt Ermittlungserfolge gegeben, aber im Bereich Ransomware, sei das schwierig: "Dort ist man ohne internationale Unterstützung eigentlich nur auf sich allein gestellt und es ist schwer möglich, Täter zu ermitteln."
Trotzdem rät der LKA-Ermittler immer dazu, sich nach einem Angriff bei der Polizei zu melden, was laut Umfragen 80 bis 90 Prozent nicht tun:
„Die Firma selber oder der Geschädigte hat einen großen Vorteil, indem er auf unseren Erkenntnisgewinn zurückgreifen kann. Sei es Entschlüsselungshinweise, die wir aus vergangenen Verfahren wissen, um einen schnelleren Betrieb wiederherstellen zu können. Andersherum erfahren wir durch die Daten, die bei dem Angriff erfolgt sind, wieder Hinweise auf die Täter und auf mögliche weitere Opfer.
Aktuell haben wir über 100 Firmen im Bundesgebiet warnen können, weil ihre IP-Adressen bei Täterkommunikation aufgetaucht sind und einige Firmen waren schon betroffen und anderen noch nicht und konnten Sicherheitsvorkehrungen treffen.“
Maik Schröder leistet inzwischen auch viel Präventionsarbeit für Firmen, damit die möglichen Schäden nach einem Angriff gering halten und schnell wieder an den Start gehen können. Das koste Geld, lohne sich aber im Schadensfall.
Hackerangriff auf Unternehmen: Diesmal Aurubis betroffen
28. Oktober 2022 – dpa
Hacker-Attacke
Kriminelle und staatliche Akteure gefährden die Sicherheit im Cyber-Raum so stark wie nie zuvor. Darauf hat erst in dieser Woche die für Datensicherheit zuständige Bundesbehörde BSI aufmerksam gemacht. Nun haben Hacker erneut ein großes Unternehmen angegriffen.
Erneut ist ein deutsches Unternehmen Opfer eines Hackerangriffes geworden. Europas größte Kupferhütte Aurubis teilte mit, in der Nacht zum Freitag habe es einen Cyberangriff auf die IT-Systeme des Unternehmens gegeben. «Daraufhin mussten gezielt zahlreiche Systeme an Aurubis-Standorten präventiv heruntergefahren und vom Internet getrennt werden», hieß es. «Die Produktion konnte weitgehend aufrechterhalten werden. Der Umfang der Auswirkungen im Konzern wird derzeit bewertet.» Aurubis arbeite eng mit den eingeschalteten Ermittlungsbehörden zusammen.
Das Unternehmen bezeichnete es als oberstes Ziel, «die Produktion und den Bezug von Rohstoffen sowie die Lieferung von Metallen und Produkten weiter am Laufen zu halten». Die Produktions- und Umweltschutzanlagen an den Hüttenstandorten laufen den Angaben zufolge, der Warenein- und -ausgang werde manuell aufrechterhalten. «Es werden Übergangslösungen implementiert, um den Geschäftspartnern ab nächster Woche die vollen Serviceleistungen des Unternehmens wieder zur Verfügung zu stellen», hieß es weiter. «Aktuell kann Aurubis jedoch noch keine Auskunft darüber geben, wann die Systeme wieder komplett funktionsfähig sind.»
Der Aktienkurs des im Mdax notierten Unternehmens war am Vormittag unmittelbar nach einer zunächst sehr knappen Mitteilung um mehr als sieben Prozent abgesackt, machte einen Teil der Verluste aber im Tagesverlauf wieder wett.
Generell steigt die Gefahr, dass Unternehmen zum Ziel von Hackern werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erst in dieser Woche in seinem aktuellen Lagebericht darauf hingewiesen, dass die Sicherheit im Cyberraum so stark gefährdet sei wie nie zuvor. Neben Aktionen von Kriminellen, die vor allem finanzielle Motive im Sinn haben, macht die Behörde Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine als Ursache für die hohe Bedrohung aus.
Hackerangriffe: Unternehmen zahlen Lösegeld
Mitte April wurde die IMA Schelling-Gruppe in Schwarzach von Hackern angegriffen, die Internet-Kriminellen legten das Computersystem des Unternehmens lahm. Das ist kein Einzelfall in Vorarlberg: Im vergangenen Jahr wurden beim Landeskriminalamt zehn Hackerangriffe angezeigt.
Viele kleinere und mittlere Betriebe sehen von Anzeige ab
Allerdings zeigten die meisten Betriebe eine Attacke auf ihre Systeme gar nicht an, sagt der Experte für Computerkriminalität beim LKA, Harald Longhi. Die Zahl der betroffenen Firmen sei vermutlich 20- bis 30-mal so hoch, wenn nicht sogar noch höher.
Viele Klein- und Mittelbetriebe würden auf eine Anzeige verzichten und ihre EDV stattdessen einfach wieder in Ordnung bringen, um weiter arbeiten zu können, so Longhi. Das habe immerhin den Vorteil, dass die Sicherheitssysteme erneuert würden.
Viele Firmen bezahlen einfach
Die vielen betroffene Firmen, die nicht zur Polizei gehen, bezahlen häufig einfach ein gefordertes Lösegeld. Davon rät die Kriminalpolizei allerdings ab. Denn dadurch würden diese Unternehmer bestätigen, dass das System der Hacker funktioniere, andere Firmen zu erpressen. Aber er könne auch verstehen, dass Firmen, die Daten verloren haben, natürlich dafür Geld aufwenden, um wieder an die Daten zu kommen bzw. den Betrieb wieder ans Laufen zu bringen, so Longhi.
Hacker arbeiten oft von anderen Kontinenten aus
Ohne Computer funktioniert heutzutage schließlich gar nichts mehr. Jedes Lager, jeder Plan und auch jede Baustelle wird zumindest durch Computer gesteuert oder organisiert. Einzelne Hackergruppen haben sich darauf spezialisiert, durch Angriffe auf diese Systeme Geld zu machen. Etwa indem man Informationen stiehlt – oder eben die Unternehmen erpresst. Die Hacker sitzen dabei oft auf anderen Kontinenten oder in anderen Ländern, sagt Longhi. Nordkorea sei so ein Beispiel.
Vom kleinen Tischler bis zur großen Firma
Beispiele für gehackte Unternehmen gebe es unzählige, sagt Longhi – vom kleinen Tischler oder Installateur bis zum großen Industriebetrieb. Dementsprechend würden auch die Lösegeld-Forderungen angepasst, die von ein paar hundert Euro bis zu hunderttausenden Euro reichen. Die Bandbreite sei sehr groß, so Longhi.
Wenn die Täter erkennen könnten, dass bei einer Firma Geld zu holen sei und dass ein Unternehmer erpressbar sei,also dass dieser auch Willens sei zu bezahlen, dann gebe es keinen Grund für die Täter, weniger zu verlangen. „Das ist wie ein Basar“, so Longhi. Lösegeld wird zudem immer in Kryptowährungen, wie etwa Bitcoins, gefordert. Das macht es für die Polizei noch schwieriger, an die Täter zu kommen.
Bei Verein Lösegeldforderungen zurückgenommen
Aber nicht alle Betrüger seien gleichermaßen skrupellos, sagt Longhi. Bei einem Verein hätten die Hacker die Lösegeld-Forderungen zurückgenommen, den Angriff beendet und die Systeme wiederhergestellt. Das alles, weil sie mitbekommen hätten, dass der Verein karitativ arbeite.
Wirtschaftskammer bietet Unterstützung für Firmen
Die Wirtschaftskammer reagiert darauf, dass immer mehr Unternehmen Opfer von sogenannten Cyber-Attacken werden. Gemeinsam mit IT-Dienstleistern und Versicherungsmaklern bietet die Kammer Unternehmen Hilfe an und gründet dazu die Initiative „Cyber Vorarlberg“. Am Freitag wird das mehrstufige Maßnahmenpaket vorgestellt.