Plan statt Panik: Nach einem Cyberangriff kommt es auf schnelle Reaktion an – und auf die genaue Analyse, was falsch gelaufen ist

Foto: DREAMSTIME

Tatort Tastatur

Die vernetzte Produktion in Zeiten von Industrie 4.0 erhöht die Gefahr von Angriffen aus dem Internet enorm. Viele mittelständische Unternehmen jedoch unterschätzen die Risiken. Dabei könnten sie die IT-Sicherheit ihres Betriebs mit überschaubarem Einsatz deutlich verbessern

Text: Thomas Mersch

zum Artikel

results Abonnement

So kommt results direkt auf Ihren Schreibtisch

Mit dem kostenlosen Print-Abo verpassen Sie keine Ausgabe und haben wichtige Tipps und Analysen für Mittelständler stets griffbereit.

Hier kostenfrei bestellen

Der Überfall geschah lautlos und ohne Warnung. Mitarbeiter in der Zentralambulanz und der Radiologie des Neusser Lukaskrankenhauses bemerkten als Erste, dass etwas nicht stimmte: Die Computer liefen extrem langsam. Keine Störung, wie zunächst gedacht. Ein Computervirus hatte die Klinik befallen. Die IT-Experten schlugen bei der Geschäftsführung Alarm: Alle IT-Systeme sofort herunterfahren, lautete umgehend die Anweisung. Parallel schaltete die Krankenhausleitung das Landeskriminalamt (LKA) ein, das einen ganzen Trupp von Beamten für die Ermittlungen schickte. Es dauerte dennoch mehrere Tage, allein um den Virus zu entschlüsseln. Dann stand fest: Sogenannte Ransomware hatte die IT lahmgelegt. Angreifer erpressen damit ihre Opfer, indem sie Rechner verseuchen und Geld dafür verlangen, die Systeme wieder ans Laufen bringen.

„Wir fühlten uns um Jahre in der Zeit zurückversetzt“, erinnert sich der kaufmännische Geschäftsführer Nicolas Krämer. Befunde wurden wieder handschriftlich festgehalten, Laborergebnisse auf Papier zur Station gebracht. Wie früher mussten die Ärzte in die Röntgenabteilung gehen, um sich die Aufnahmen dort anzuschauen. Die Rückkehr ins analoge Zeitalter gelang – auch weil lebenswichtige Geräte zum Beispiel auf der Intensivstation oder in der Röntgenabteilung nicht an das Netzwerk angeschlossen waren und autark funktionieren. „Wir mussten zwar einige Operationen verschieben“, sagt Krämer. „Aber die Versorgung der Patien­ten war zu keinem Zeitpunkt gefährdet.“ Auch dank eines Notfallplans konnten die Verantwort­lichen im Lukaskrankenhaus das Schlimmste verhindern. Denn der regelte klar, was im Fall eines IT-Angriffs zu tun war. Ein automatisches Back-up in der Nacht zuvor hatte zudem alle Daten gesichert. Dennoch entstanden Kosten von einer Million Euro – überwiegend Honorare für externe Berater, die bei der Wiederherstellung der IT halfen. „Wir sind aber vergleichsweise glimpflich davongekommen“, sagt Krämer.

Die Internetkriminalität floriert. Die Zahl der Fälle steigt, ebenso die Höhe der Schäden. Im Sommer wurde eine der weltgrößten Reedereien Opfer eines Virenangriffs. Zwischen 200 und 300 Millionen Dollar kostet der das Unternehmen. Auch andere prominente Firmen wurden von Hackern teilweise lahmgelegt. Doch es sind nicht nur die großen Namen, die Attacken fürchten müssen. „Cybercrime ist auch im Mittelstand zu einem riesigen Problem geworden – und das ganz unabhängig von der Branche“, sagt Götz Weinmann, Sicherheitsexperte beim Stuttgarter IT-Dienstleister Thinking Objects. Angesichts der zunehmenden Vernetzung der Wirtschaft sei ein rasches Umdenken nötig: „Jeder muss darauf vorbereitet sein, zum Ziel zu werden.“

Thesen

Angriff: Fast jedes fünfte Unternehmen war 2016 Opfer eines erfolgreichen Cyberangriffs. Die Methoden der Angreifer werden aggressiver, ausgefeilter und umfassender. Trotz dieser Bedrohung sind mittel­­ständische Unternehmen bei Investitionen in die Informations­sicherheit weiterhin zögerlich.

Verteidigung: Es geht nicht nur um Geld. Experten fordern, dass Unternehmen gezielt Notfall­pläne für den Fall eines Angriffs vorbereiten. Nur so lässt sich oft noch größerer Schaden vermeiden.

Lukaskrankenhaus: Es geht um Leben

Am Aschermittwoch des Jahres 2016 entschied sich die Klinikleitung, alle IT-Systeme herunterzufahren. Hacker hatten einen Virus eingeschleust. „Ich hätte nicht gedacht, dass Leute so perfide sein können, ein Krankenhaus anzugreifen. Hier steht das Leben von Menschen auf dem Spiel“, sagt der kaufmännische Geschäftsführer Nicolas Krämer. Zum Glück war die Klinik auf einen solchen Ernstfall vorbereitet. Ein Notfallplan unterstützte rasches Handeln. Die Versorgung der Patienten war weiter gesichert. Patientendaten wurden nicht gestohlen.

Völlige Sicherheit ist eine Illusion

Tatsächlich aber zögern viele Manager, sich gegen Angreifer zu wappnen. Mittelständler in Deutschland seien „oft schlechter gesichert als öffentlich bekannte Kapitalgesellschaften“, heißt es in einer Anfang 2017 veröffentlichten Studie der Wirtschaftsprüfungsgesellschaft PwC. Dabei sind sie laut Erhebung ebenso massiv betroffen wie Großunternehmen. Denn die Digitalisierung und Vernetzung mit Zulieferern und Kunden schafft ganz unabhängig von der Firmengröße neue Einfallstore für Cyberverbrecher. Es entstehen „hochkomplexe IT-Infrastrukturen, die völlig neue Herausforderungen an die Informationssicherheit stellen“, so die Analyse von PwC. Zugleich gingen Angreifer „immer aggressiver, ausgefeilter und umfassender“ vor.

Dennoch stellen die Experten fest, dass die Unternehmen sparen. So sank der Anteil der befragten Mittelständler, die mehr als eine Million Euro pro Jahr für die IT-Sicherheit ausgeben, von acht auf zwei Prozent. Ein gefährliches Abwarten, warnen die Autoren der PwC-Studie: „Werden heute notwendige Investitionen vertagt, steigen die Risiken und sehr oft die daraus entstehenden Folgekosten.“

Zwei typische Muster haben Sicherheitsexperten bei Angriffen beobachtet. Beispiel „WannaCry“: Die Ransomware infizierte im Mai 2017 weltweit über 200 000 Computer – der bis dahin schwerste Angriff dieser Art. „Daten wurden verschlüsselt. Und für den Schlüssel, mit dem ein Nutzer wieder an die Daten herankommt, soll er bezahlen“, beschreibt Berater Weinmann. „Die Erpresser können sogar relativ gut einschätzen, mit welcher Art von Unternehmen sie es zu tun haben – das läuft automatisiert.“ Cyber­kriminelle wüssten also, ob sie Konstruktionspläne in einem Industriebetrieb verschlüsselt oder ein kleines Steuerbüro lahmgelegt haben. Von kleineren Firmen würden eher vierstellige Summen verlangt. „Das geht dann hoch auf bis zu 500 000 Euro“, so Weinmann.

Thinking Objects: Allzeit bereit

„Die Art der Attacken verändert sich. Man muss darauf vorbereitet sein, dass sie durchkommen“, sagt Götz Weinmann, Sicherheitsexperte bei Thinking Objects. Der Stuttgarter IT-Dienstleister legt Hackern das Handwerk. Dabei helfen 70 IT-Berater und Systemingenieure – der Fokus ist der Mittelstand. „Lange standen Antivirenprogramme im Mittelpunkt, die Viren unschädlich machten“, sagt Weinmann. Das greife heute zu kurz. „Wichtig ist ein umfassenderes Sicherheitskonzept, das dabei hilft, einen möglichen Schaden einzudämmen.“

Noch höher sind die Summen, wenn die Erpresser zielgerichtet vorgehen. „CEO Fraud“ oder „Fake President“ heißt die Masche, bei der Unternehmen oft über Wochen ausgespäht werden. „Social Engineering“ nennen Experten das Vorgehen, wenn die Angreifer selbst Gewohnheiten einzelner Beschäftigter genau ermitteln. Sie kapern beispielsweise den Mailserver und lesen über längere Zeit geduldig mit. Das Ziel: Ein Mitarbeiter soll dazu veranlasst werden, eine Millionensumme auf ein Auslandskonto zu überweisen. Die Anweisung per Mail stammt dann vermeintlich vom Chef selbst – mit der Bitte um absolute Geheimhaltung. Selbst die Tonalität des gefälschten Schreibens ist authentisch. „Die Erpressungssummen sind genau auf das Unternehmen zugeschnitten“, sagt Weinmann. „Die Angreifer wissen sogar oft, wie viel Cash verfügbar ist.“ So gelang es mit dieser Masche im Jahr 2016, beim Autozulieferer Leoni 40 Millionen Euro zu erbeuten.

Die Häufigkeit solcher Attacken steigt, sagt Weinmann. Das Bundesamt für Sicherheit in der Informationstechnik habe erst jüngst 5000 Geschäftsführer informiert, dass Informationen über ihr Unternehmen in einer Datenbank gespeichert waren, über die solche Attacken vorbereitet würden. Peter Vahrenhorst, Kriminalhauptkommissar im Bereich „Prävention Cybercrime“ beim nordrhein-westfälischen LKA, bestätigt den Trend: „Internetkriminalität wächst deutlich“, sagt er und verweist auf eine Studie des Digitalverbands Bitkom. Danach waren mehr als die Hälfte aller deutschen Unternehmen in den vergangenen zwei Jahren Ziel einer Cyberattacke. Die Zahl der Anzeigen belaufe sich nur auf einen geringen Bruchteil davon. Die Polizei bewege sich „in einem großen Dunkelfeld“, so Vahrenhorst.

Erpressung, aber auch Sabotage

Betroffene Unternehmen können sich bei den Landeskriminalämtern an die „Zentralen Ansprechstellen Cybercrime“ für die Wirtschaft wenden, die rund um die Uhr besetzt sind. „Ein Spezialist unterstützt im Fall eines Angriffs bei ersten Maßnahmen“, erläutert Vahrenhorst. 850 Anrufe seien im Jahr 2016 eingegangen. Die Praxis zeigt: Auch reine Sabotage ohne finanzielle Absichten kann beträchtliche Schäden verursachen. Im Fall eines Unternehmens sei die Website zur Aktionärsversammlung gehackt und stillgelegt worden. „Die Versammlung war damit hinfällig und musste komplett neu angesetzt und geplant werden“, sagt Vahrenhorst. Der Schaden: 100 000 Euro. Vahrenhorst rät Unternehmen zum Notfallplan, wie ihn das Lukaskrankenhaus in Neuss vorbereitet hatte. „Klassisch ist, dass der CEO oder Geschäftsführer genau dann nicht erreichbar ist, wenn die Ransomware einschlägt“, sagt er. „Dann muss klar sein, wer die Entscheidungskompetenz hat.“ Darf der Administrator das Netz ganz abschalten? Und wer ruft die Polizei? „Wenn dafür schon drei Telefonkonferenzen nötig sind, geht wichtige Zeit verloren“, so Vahrenhorst. Er rät im Zweifel zum Herunterfahren der IT. „Im schlimmsten Fall sind dann ein paar Beweismittel weg. Aber die oberste Prämisse muss die Schadensbegrenzung sein. Das Unternehmen geht vor.“

Völlige Sicherheit vor Internetangreifern gebe es nicht, sagt Vahrenhorst. „Wenn ein Dienstleister das verspricht, dann sollte sich das Unternehmen einen anderen suchen.“ Weinmann bestätigt: „Egal, wie gut die Abwehrsysteme sind: Man muss davon ausgehen, dass irgendetwas durchkommen kann. Darauf muss man vorbereitet sein.“ Unternehmen dürften sich nicht allein auf die Sicherheitssoftware verlassen. Weinmann rät, die Anwender im Unternehmen zu schulen – gerade im Hinblick auf „Fake President“-Angreifer. „Da muss die Kultur passen: Die Mitarbeiter müssen zwei Sekunden länger überlegen, ob auf sie auf einen Link klicken, Auskunft geben oder einen Auftrag ausführen.“

Sicherheit vor Bequemlichkeit

Ein neues Sicherheitsdenken erfordert laut Weinmann die Digitalisierung der Produktion. Betriebe müssten etwa genau festlegen, wie onlinefähige Maschinen eingebunden werden. „Eine Fräse muss vom Webshop aus erreichbar sein, um bestellte Ware zu produzieren – sie muss also mit dem ERP-System für die Unternehmenssteuerung kommunizieren. Aber sie muss nicht mit dem PC im Sekretariat vernetzt sein, wo die Termine des Chefs koordiniert werden“, erläutert er. Wenn trotz aller Vorkehrungen ein Virus eingedrungen sei, gelte es zu verhindern, dass es sich überall ausbreiten kann. Dazu empfiehlt Weinmann, einzelne Bereiche innerhalb der Firmen-IT über Firewalls abzuriegeln – analog zu den Schotten zwischen einzelnen Decks auf einem Schiff.

verimi: der digitale Schlüssel für das Internet

Führende Unternehmen haben die branchen­übergreifende Registrierungs-, Identitäts- und Daten­plattform verimi ins Leben gerufen. Verimi – ein Kunstwort, angelehnt an die englischen Begriffe „verify“ und „me“ – will zum Jahreswechsel 2017/18 einen digitalen „Generalschlüssel“ für das Internet auf den Markt bringen. Dabei hinterlegt der Nutzer einmalig seinen Namen und ein Passwort und kann dann ein­­fach und sicher im Internet einkaufen, Verträge abschließen oder auch digital mit Behörden kommunizieren. Die Eingabe persönlicher Daten bei jeder neuen Anwendung sowie die Verwaltung mehrerer Passwörter entfällt. „Bei verimi entscheiden die Nutzer, welche Daten sie weitergeben wollen. Bei uns haben die Kunden Transparenz und den Schutz der EU-Datenschutz-Grundverordnung“, so Torsten Sonntag, Mitglied der verimi-Geschäftsführung. Gesellschafter von verimi sind neben der Deutschen Bank unter anderem die Allianz, Axel Springer, die Bundesdruckerei, Daimler, Deutsche Lufthansa und Deutsche Telekom. Weitere Informationen: www.verimi.com

LKA: „Jede Anzeige hilft weiter“

Sollten Unternehmen, die von Cyberkriminellen erpresst werden, zur Polizei gehen? Im Kampf gegen Verbrecher in der digitalen Welt sei jede Anzeige hilfreich, sagt Peter Vahrenhorst, Kriminalhauptkommissar im Cybercrime-Kompetenzcenter des Landeskriminalamts Nordrhein-Westfalen: „Wir kriegen zwar nicht jeden Täter. Aber wir können etwa aus Schreibweisen im Text Zusammenhänge erkennen, die auf bestimmte Tätergruppen schließen lassen. Und wir können nur besser werden, wenn wir wissen, was an Straftaten passiert.“

Grafik:
Im Visier

Im Visier

Im Visier

19 Prozent der deutschen Mittelständler wurden 2016 erfolgreich angegriffen – die meisten verzeichneten mehr als einen Vorfall.

Quelle: PriceWaterhousecoopers 2017

Die Lage unter Kontrolle behalten – das gelang im Neusser Lukaskrankenhaus mit etwas Glück und Improvisation auch für eine kurze Zeit. „Unser Mailsystem ging noch. Also haben wir eine Rundmail geschrieben“, sagt Geschäftsführer Krämer. „Wir fanden in der IT-Abteilung einen alten Nadeldrucker, der nicht mit dem Netzwerk verbunden war, und konnten Informationsblätter für die Patienten produzieren.“ Per Pressemitteilung setzte die Klinik­leitung auch die Öffentlichkeit in Kenntnis – ein Schritt, den viele Unternehmen scheuen. „Wenn wir gezahlt und geschwiegen hätten, wäre es nur eine Frage der Zeit bis zur nächsten Erpressung gewesen“, ist Krämer überzeugt. „Den Teufelskreis kann man nur durchbrechen, wenn man offen darüber redet.“

Die Sicherheitsstrategie hat das Lukaskrankenhaus nach dem Cyberangriff umgestellt. „Früher stand die Benutzerfreundlichkeit im Fokus“, erläutert Krämer. „Jetzt gilt: Sicherheit vor Funktiona­lität.“ So sei es für Mitarbeiter nicht mehr möglich, eigene Mobilgeräte in das Netzwerk einzuklinken. Und ein sogenanntes Sandbox-System prüft Anhänge verdächtiger Mails, die in den Postfächern der Angestellten landen. Zudem wurden die Schulungen stark erweitert. Schon vor dem Angriff habe das Lukaskrankenhaus hier mit hohem Einsatz gearbeitet: „13 bis 18 Prozent unserer Investitionen sind in die IT geflossen – im Schnitt liegen deutsche Krankenhäuser bei unter zehn Prozent“, erläutert Krämer. „Trotzdem hat es Ransomware geschafft, in unser IT-System einzudringen.“ Der Klinikmanager ist deshalb sicher: „Der Faktor Mensch spielt die entscheidende Rolle.“

Weitere Informationen
PwC-Studie „Im Visier der Cyber-Gangster“; kostenlos downloadbar unter www.pwc.de/mittelstand


Verwandte Artikel

 


Artikel teilen

article_arrow_right
Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Durch die weitere Nutzung der Website stimmen Sie dem zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.