Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
PremiumDie Bedrohung durch Hackerangriffe ist so groß wie nie, wie auch der Fall Continental zeigt. Unternehmen und Behörden finden kaum genug Spezialisten zur Abwehr und für die Aufräumarbeiten.
Cyberangriff (Symbolbild)
Die Bedrohung durch Cyberangriffe ist nach Einschätzung von Experten so hoch wie nie.
Bild: Reuters
Düsseldorf, Berlin Die Folgen von Hackerangriffen können dramatisch sein – von Imageschäden über den Verlust von Geschäftsgeheimnissen bis zum Produktionsstillstand. Was die Not derzeit noch schlimmer macht: Es ist schwierig, kompetente Hilfe zu bekommen.
Bei IT-Dienstleistern und Beratungsunternehmen, die virtuelle Einbrüche forensisch untersuchen und Systeme wiederherstellen, werden die Kapazitäten knapp. „Wir sind im Moment an der Belastungsgrenze, das geht fast allen so“, berichtet zum Beispiel Wilhelm Dolle, Partner bei KPMG und Chef der Abteilung „Cyber Security“.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem „grundsätzlichen Engpass“ an Personal für die Incident Response, also den Umgang mit IT-Sicherheitsvorfällen. Wer dafür keine eigenen Ressourcen in der Organisation habe, benötige externe Dienstleister – „die sind aber zeitweise komplett ausgelastet und können dann keine neuen Vorfälle annehmen“.
Besserung ist nicht in Sicht. Im Gegenteil: Die Risiken wachsen, weil die kriminelle Szene nach Einschätzung von Experten immer professioneller wird und womöglich auch staatliche Akteure aktiver werden könnten, namentlich Russland. Das Personal dürfte hingegen bis auf Weiteres knapp bleiben.
Das BSI schreibt im Jahresbericht, dass sich die ohnehin angespannte Lage weiter zuspitze. Neben der Cyberkriminalität ist seit Jahresbeginn der Angriff Russlands auf die Ukraine ein Faktor – so versuchen russische Aktivisten, die Websites westlicher Firmen und Institutionen zu blockieren. „Die Bedrohung im Cyberraum ist damit so hoch wie nie“, warnt die Behörde.
Das größte Risiko geht von Ransomware aus. Die Täter – meist professionelle Gruppen – dringen in die Netzwerke ein und verschlüsseln wichtige Daten. Für die Freigabe der Daten verlangen sie ein Lösegeld, zu zahlen in Digitalwährungen wie Bitcoin oder Monero.
Häufig schleusen sie zudem vertrauliche Dateien aus und drohen mit deren Veröffentlichung. Ein zusätzliches Druckmittel.
Die Aufarbeitung solcher Fälle ist aufwendig, wie das Beispiel Continental zeigt. Erpresser, die der Organisation Lockbit 3.0 zuzurechnen sind, konnten ins Netzwerk des Autozulieferers eindringen.
Es gelang ihnen zwar offenbar nicht, Systeme zu verschlüsseln, sie konnten aber große Datenmengen herunterladen, insgesamt 40 Terabyte. Die Gruppe hat ein Verzeichnis ins Netz gestellt, das die Speicherpfade von 55 Millionen Dateien aufführt.
Continental hat sich Unterstützung von der Beratungsgesellschaft KPMG geholt. Die externen Forensiker sortieren die abgeflossenen Dateien zunächst nach Priorität. In einem zweiten Schritt müssen 250 Mitarbeiter des Autozulieferers jede einzelne Datei prüfen. Besonders kritisch sind Inhalte mit Bezug zu Geschäftspartnern oder Mitarbeitern. Noch „mehrere Wochen“ soll das dauern. KPMG äußert sich nicht zu dem Fall.
>> Lesen Sie hier: Hackerbanden bedrohen Deutschland – betroffene Firmen packen aus
Kurz: Es gibt ein konstant hohes Niveau an Angriffen, die enorme Schäden verursachen können – und damit auch viel Arbeit machen.
Hinzu kommt: „Viele Unternehmen nehmen Ransomware-Angriffe zum Anlass, ihre IT grundlegend neu aufzubauen, damit sie besser geschützt ist“, sagt KPMG-Partner Dolle. „Das dauert typischerweise mehrere Monate.“
In der kriminellen Szene ist eine Professionalisierung zu beobachten. Große Gruppen beschäftigen Programmierer für die Weiterentwicklung der Software und stellen die Infrastruktur für Verschlüsselung und Lösegeldzahlungen.
Andere Akteure wiederum spezialisieren sich auf die Suche nach Sicherheitslücken oder den Einbruch in Systeme. „Das Ökosystem diversifiziert sich weiter“, sagt Lorenz Kuhlee, Direktor bei PwC Deutschland.
Überdies können immer mehr Kriminelle ins Geschäft einsteigen. Einzelne Komponenten wie die Software oder die Zugangsdaten zu kompromittierten Konten werden im Darknet „as a service“ angeboten, also zur Miete. Und es gibt Schadsoftware, die fast so einfach zu bedienen ist wie eine Tabellenkalkulation. „Das Einstiegslevel für Angriffe wird immer weiter verringert“, sagt Kuhlee.
Das Resultat: Moderne Ransomware erlaube es den Hinterleuten, „Unternehmen mit weitgehend automatisierbaren Methoden anzugreifen, Daten zu stehlen und fast vollständig zu verschlüsseln“, sagt Richard Wagner, Berater beim japanischen Softwareanbieter Trend Micro. Das ermögliche eine mehrschichtige Erpressung „und somit deutlich höhere Erträge als früher“.
Es ist ein weiterer Anreiz für kriminelle Organisationen, in das Geschäft einzusteigen.
Nach dem Angriff Russlands auf die Ukraine warnte das BSI vor Gefahren für „Hochwertziele“ wie kritische Infrastruktur, auch in Deutschland. Bislang ist der Sturm ausgeblieben: Ein großer Teil der russischen Cyberaktivitäten habe sich auf die Ukraine konzentriert, sagt Jens Monrad vom IT-Sicherheitsspezialisten Mandiant.
In Europa habe man primär Kampagnen zur Informationsbeschaffung beobachtet. Es sei jedoch denkbar, dass Russland 2023 die disruptiven Fähigkeiten verstärkt gegen europäische Organisationen einsetze, darunter etwa Energieversorger, Militärzulieferer oder allgemein Unternehmen, die Sanktionen gegen Russland unterstützen.
Diese Befürchtung wird in deutschen Sicherheitskreisen geteilt. „Das ist eine gewaltige Hacker-Welle, die über die Ukraine rollt“, hieß es. Diese werde sich auch gegen den Westen richten; die Frage sei lediglich, wann. Hinzu kommt die Bedrohung aus anderen Ländern: Die Industriespionage etwa aus China geht nach Einschätzung in Fachkreisen unvermindert weiter.
>> Lesen Sie hier: Vier Gründe, warum Unternehmen russische Hacker fürchten sollten
Daher dürfte es für Unternehmen auf absehbare Zeit nicht leichter werden, externe Dienstleister zu finden. Angesichts des Mangels an erfahrenem Personal seien Opfer möglicherweise nicht in der Lage, die benötigte Hilfe zu finden, warnt Peter Mackenzie, der bei Sophos den Bereich „Incident Response“ leitet. „Deshalb ist es so wichtig, im Voraus zu planen und auf potenzielle Zwischenfälle vorbereitet zu sein.“
Das BSI qualifiziert seit einigen Jahren Personal für die Cyberabwehr, eine Liste mit Dienstleistern hat das Amt online veröffentlicht. Bundesbehörden und Betreiber kritischer Infrastrukturen bekommen zudem direkt Unterstützung.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×