Cyberkriminalität: Gehackt! Und dann? Ein Unternehmenschef aus der Region erzählt

Der Albtraum begann für Daniel Siegmund mit einem Anruf. Es war an einem Sonntag, er hatte gerade mit seiner Familie zu Abend gegessen, als er die Info aus der IT bekam: Seine Firma war angegriffen worden. Gehackt. Er wusste sofort, was das heißt. Siegmund ist Mitglied der Geschäftsleitung der Siegmund-Gruppe im Landkreis Augsburg, die unter anderem Schweißtische herstellt sowie Masken und Desinfektionsmittel vertreibt. Er ist für die Computersicherheit zuständig und kennt sich mit der IT-Struktur seines Unternehmens aus.

Nun war also das passiert, was nicht passieren sollte: Jemand war unerlaubt ins Netzwerk eingedrungen, hatte die Computer verschlüsselt, die Firma vor ihren eigenen Daten ausgesperrt. Siegmund fühlte sich in dem Moment unsicher, fast nackt, so wird er es Monate später sagen. Wie groß ist der Schaden, was wurde erbeutet? Alles noch unklar, als er ins Auto stieg und sofort in die Zentrale der Bernd Siegmund GmbH in Oberottmarshausen an der B17 fuhr, um die Stecker zu ziehen und sich mit seinem Krisenstab zu beraten. Wenig später wählte er die 110 und lernte kurz darauf Karen Mergner kennen.

203 Milliarden Euro Schaden in einem Jahr

Täglich zigfach finden in Deutschland solche Angriffe wie der auf die Firma Siegmund statt. Die Angst geht um. Wie der Digitalverband Bitkom in seiner jüngsten Studie herausgefunden hat, sind neun von zehn der mehr als 1000 befragten Unternehmen bereits Opfer von Hacking geworden. Im vergangenen Jahr sei der deutschen Wirtschaft dadurch ein Schaden von 203 Milliarden Euro entstanden – in den Jahren 2018/2019 sollen es noch 103 Milliarden Euro gewesen sein. Das Gros der Angriffe kam von professionellen Hacker-Gruppen und wurde häufig aus Russland und China gesteuert.

„Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer hybriden Kriegsführung auch im digitalen Raum ist die Bedrohung durch Cyberattacken für die Wirtschaft in den Fokus von Unternehmen und Politik gerückt“, sagt Bitkom-Präsident Achim Berg. Die kritische Infrastruktur werde ebenfalls immer häufiger angegriffen, zum Teil mit schwerwiegenden Folgen für die Gesellschaft: Die Uniklinik Düsseldorf etwa konnte nach einer Attacke 13 Tage lang keine Notfallpatienten aufnehmen. Laut der Bitkom-Studie stellen sich die Betreiber kritischer Infrastruktur künftig auf noch heftigere Attacken ein.

In der Region war bereits jedes dritte Unternehmen Opfer

Auch in der Region gibt es zahlreiche Firmen und Unternehmen, die schon angegriffen wurden: Hacker haben zum Beispiel an Ostern Computersysteme der Donau-Stadtwerke in Dillingen und im August der Industrie- und Handwerkskammer Schwaben (IHK) lahmgelegt, weil sie die zuständigen IT-Dienstleister angegriffen hatten. Wie viele Unternehmen schon gehackt wurden, darüber wird keine Statistik geführt, viele Betroffene sprechen aus Scham oder Angst vor rechtlichen Konsequenzen auch nicht über die Angriffe. Einer Umfrage der Industrie- und Handelskammer Schwaben zufolge war bereits 2019 jedes dritte Unternehmen Opfer von Hackern geworden.

Immer häufiger treffe es auch kleine und mittlere Firmen, für die es vielfach deutlich schwieriger sei, sich zu schützen. Laut der IHK-Umfrage halten 85 Prozent der Unternehmen Cyberangriffe für eine relevante Gefahr. 72 Prozent der befragten Unternehmen erklärten, dass aus ihrer Sicht das fehlende Know-how der Belegschaft das größte Risiko darstellt. Generell gilt der Faktor Mensch neben Systemschwachstellen als das größte Einfallstor für Cyberattacken.

Hundertprozentigen Schutz gibt es nicht

Die Bedrohungslage sei angespannt bis kritisch, heißt es beim Landesamt für Verfassungsschutz (LfV) in München wie auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Längst ist klar: Es kann jeden treffen, die Frage ist nur, wann – einen hundertprozentigen Schutz gibt es nicht. Die Behörden sind in Alarmbereitschaft. „Da ist ein kriminelles Wirtschaftsbiotop entstanden, das sich gegenseitig Dienstleistungen anbietet und Informationen abkauft“, sagt ein BSI-Sprecher. Der Kapuzenpullover tragende Hacker, der aus einem dunklen Keller heraus oder am Strand liegend Firmen angreift – das war einmal.

„Inzwischen sind professionelle Hacking-Netzwerke aktiv, die mit neuen Werkzeugen und Methoden arbeiten, die früher nur staatlichen Akteuren vorbehalten waren“, sagt der BSI-Sprecher. Heute müsse ein Hacker deswegen technisch weniger können, um großen Schaden anzurichten, als früher. Voraussichtlich im Oktober erscheint der neue Lagebericht des BSI. Es ist keine Entspannung in Sicht. Im Bereich der Informationssicherheit sah BSI-Präsident Arne Schönbohm schon vor einem Jahr in Teilbereichen die Alarmstufe Rot.

Verfassungsschützer George: "2013 ist eine Zeitenwende eingetreten."

Weil es manchen Hackergruppen ums Sabotieren, Spionieren und Desinformieren geht, befasst sich auch der Verfassungsschutz mit Cyberangriffen. „2013 ist eine Zeitenwende eingetreten, es ist nicht mehr so klar zu unterscheiden, ob Cybercrime oder Cyberspionage“, sagt Michael George, Leiter des Cyber-Allianz-Zentrums (CAZ) im bayerischen Landesamt für Verfassungsschutzin München.

Wie angespannt die Lage ist, zeigt auch dies: In dem Backsteingebäude in Milbertshofen müssen Gäste ihre Handys einschließen. Sicher ist sicher, schließlich hat heute fast jeder einen Computer in der Hosentasche, mit dem Daten gestohlen werden können.

„Wir sehen eine Veränderung im Geschäftsmodell der Angreifer und gleichzeitig durch die Digitalisierung auch eine größere Angriffsfläche. Das ist ein Problem“, sagt George. Im Ukraine-Krieg mischen bereits private Hackergruppen mit und versuchen, Daten und Informationen von der Gegenseite zu erlangen, Systeme zu sabotieren. Wer hacken kann, hat Macht: kann zerstören oder beschützen, angreifen oder verteidigen, kann Krieg führen, ohne sein Leben in Gefahr zu bringen. Oder einfach auch nur für ein riesiges Chaos sorgen.

Die Kripo Augsburg hat ein Schnelleinsatzteam

Eine, die gegen das Chaos und auf der Seite der Guten kämpft, ist also Karen Mergner, die auch der Firma Siegmund half. Wer sie bei der Arbeit besucht, muss erst einmal durch die Schleuse im Polizeipräsidium Schwaben Nord in Augsburg. An der Tür hängt ein etwas ausgebleichtes Plakat: „Amok verhindern. Teamwork erleben.“

Die Polizei sucht damit IT-Fachkräfte für den Cyberkampf. Menschen wie Karen Mergner, die wissen, was hinter Computerbildschirmen abläuft, die sich mit Netzwerkstrukturen auskennen und mit digitalen Angriffen. Die Informatikerin leitet das Quick Reaction Team (QRT) der Kriminalpolizei in Augsburg, das vor gut einem Jahr gegründet wurde und rund um die Uhr einsatzbereit ist, um Unternehmen und Betriebe der kritischen Infrastruktur nach Cyberattacken zu beraten und zu unterstützen. Auch am Wochenende und an Feiertagen, wenn Hackergruppen besonders gerne angreifen, weil sie dann mehr Zeit haben, ehe ihre digitalen Spuren entdeckt werden. Karen Mergner hat die neue Qualität der Angriffe auch schon in der Praxis festgestellt.

Die Kriminellen teilen sich die Arbeit

„Früher wollten sich Einzeltäter profilieren, da ging es bei Attacken um Ansehen, vielleicht auch um Machtdemonstration. Heute geht es bei der Cyberkriminalität in erster Linie ums Geld“, sagt die IT-Ermittlerin. Professionell organisierte Gruppen greifen an, gehen gezielt vor und teilen sich die Arbeit wie in einem Unternehmen auf: Die einen suchen die Schwachstelle, die anderen dringen ein, die nächsten recherchieren, was zu holen ist und wo die Schmerzgrenze des Unternehmens liegen könnte, ein anderes Team wiederum kümmert sich um die Verschlüsselung. „Die haben sogar eine 24/7-Hotline, die die Opfer nach der Lösegeldzahlung berät, wie sie wieder an ihre Daten kommen können“, sagt Karen Mergner.

Viel genauer kann sie die Tätergruppe nicht eingrenzen, da die Angriffe meist aus dem Ausland kommen, wo die Kriminellen nur schwer aufzuspüren seien. Die IT-Branche ist männlich dominiert, höchstwahrscheinlich gibt es also auch unter den kriminellen Computerexperten mehr Männer als Frauen.

Viele Firmen wenden sich gar nicht erst an die Polizei

20 bis 35 Mal ist das QRT bisher in der Region ausgerückt, nur ein Bruchteil der wirklich Betroffenen. Karen Mergner vermutet: Aus Angst, dass Akten beschlagnahmt, Computer mitgenommen werden oder es gar strafrechtliche Konsequenzen gibt, würden sich viele Firmen gar nicht erst an die Polizei wenden. „Unser erstes Ziel ist, weitere Schäden zu verhindern, wir behindern nicht, wir beraten die Firmen, helfen beim Spurenfinden, sammeln Beweise für die strafrechtliche Verfolgung des kriminellen Angriffs“, betont die IT-Ermittlerin. Dabei habe die schnellstmögliche Wiederherstellung der betrieblichen Abläufe Priorität.

Die Cyber-Cops arbeiten zusammen - national und international

Für ihre Einsätze benutzt das Cyber-Ermittlungsteam einen digital aufgerüsteten VW-Bus, der auch als mobiler Besprechungsraum umfunktioniert werden kann. Auch wenn es für ihr Team unwahrscheinlich sei, den oder die Täter gleich zu finden und gar festzunehmen, so werde Material über den Angriff und die Hacker gesammelt, das dann mit Ermittlungsteams anderer Polizeidienststellen in Deutschland oder auch dem Ausland geteilt wird - durch diese Zusammenarbeit seien auch schon Täter gefasst worden, sagt die QRT-Leiterin.

An besagtem Sonntag im November 2021 fuhr Karen Mergner zusammen mit einem weiteren IT-Ermittler und einem IT-Forensiker zur Firma Siegmund und half bei der Spurensuche. Schnell war klar: Da waren Profis der berüchtigten Conti-Gruppe am Werk, der Verbindungen zum russischen Geheimdienst FSB nachgesagt werden. Schnell war auch klar: Der Albtraum der Firma hat schon ein bis zwei Wochen zuvor begonnen. Die Attacke lief über eine Ransomeware, ein Schadprogramm, das gezielt verschickt wird. Es kann sich in einem Mailanhang verbergen oder in einem mitgeschickten Link. Ein Klick und die Angreifer sind im System – und bleiben erst einmal unerkannt. Sie sehen sich um, suchen Daten, lesen mit – bis dann der eigentliche Angriff kommt und die Computer gezielt verschlüsselt werden. Bei der Bernd Siegmund GmbH fiel die Attacke früher als geplant auf, weil eine Mitarbeiterin am Sonntag von daheim aus arbeiten wollte und nicht ins System kam. Sie machte das einzig Richtige und alarmierte die IT.

Die Erpresser wollten 5 Prozent des Jahresumsatzes

Die Computerfachleute fanden auf einem der wenigen noch funktionierenden Rechner in einer Readme-Datei ein digitales Bekennerschreiben. Dort stand auch die Lösegeldforderung. Wie viel genau die Erpresser in der Digitalwährung Bitcoins verlangten, möchte Daniel Siegmund nicht sagen, nur so viel: ungefähr fünf Prozent des Jahresumsatzes seien Verhandlungsbasis, ein einstelliger Millionenbetrag also.

Aber schnell sei für die Geschäftsleitung klar gewesen: Mit Terroristen wird nicht verhandelt. Es wird kein Geld fließen, damit dadurch ein Geschäftsmodell weiterfinanziert wird, das weitere Firmen oder gar die kritische Infrastruktur eines Landes angreift. Wer kein Lösegeld zahlt, muss definitiv aufräumen und reparieren.

Die Kommunikation lief über Stift, Zettel und Handy

Das Hauptproblem der Firma Siegmund nach dem Angriff: Die Hardware war lahmgelegt, Computer, Telefone tot. Weil nicht klar war, welche Rechner genau betroffen waren, mussten alle 300 Windows-Geräte neu aufgesetzt oder gereinigt werden. Das allein dauerte drei Wochen. Auch die Servergrundstruktur war infiziert und musste erst einmal gründlich untersucht werden. Neue Server waren nicht schnell aufzutreiben. Die Kommunikation lief derweil über Stift, Zettel und Smartphones, weil deren Betriebssystem nicht betroffen war. „Nach drei Monaten haben wir wieder einigermaßen arbeiten können“, sagt Daniel Siegmund rückblickend. Inzwischen laufe wieder alles rund.

Die Firma hatte Glück im Unglück

„Ein kleiner Mittelständler muss sich mit Staatsterrorismus auseinandersetzen, das sind ungleiche Gegner. Aber wir haben noch einmal Glück gehabt“, bilanziert Siegmund. Die Conti-Gruppe habe nicht genug Zeit gehabt, um an die wichtigen Daten zu gelangen. Sie habe zudem nur eine uralte Datenbank erwischt, auf der sich weder Kunden- noch wichtige Konstruktionsdaten befunden hätten. Außerdem sei die Produktion nicht betroffen gewesen.

Letztlich sei der finanzielle Schaden wohl kleiner gewesen als die Lösegeldforderung. Der Gesamtschaden sei aber unklar. Wie soll man einen Image-Schaden berechnen, wie unzufriedene Kunden? Und wie die positiven Erlebnisse aus der Zeit? „Die Belegschaft war super, ich bin dankbar, dass die so gut mitgemacht haben, das schweißt zusammen“, blickt Siegmund zurück. Auch die Reaktionen vieler Kunden und anderer Firmen hätten ihn überrascht. Viele hätten sich gemeldet. Die Sätze „Das ist uns auch schon passiert“ oder „Ach, ihr auch?“ seien häufig gefallen. „Wenn man hört, was in der Region passiert, das ist Wahnsinn. Aber keiner redet offen darüber“, sagt Siegmund. Er redet. Er wolle mit seiner Erfahrung anderen Firmen helfen, sich besser zu schützen oder auch zu wehren.

Gute Netzwerke gegen böse Netzwerke

Miteinander reden, Erfahrungen austauschen, sich vernetzen, Ressourcen bündeln, sich gegenseitig unterstützen, das ist nach Ansicht von IT-Fachleuten eine wichtige Strategie bei der Cyberabwehr. Gute Netzwerke gegen böse Netzwerke also. „Mit der Zeitenwende hat sich auch auf der Abwehrseite etwas verändert“, sagt CAZ-Leiter George. Früher hätten Behörden und Unternehmen ihr eigenes Süppchen gekocht, inzwischen hätten sie verstanden: „Wir können das nur gemeinsam schaffen.“

Es gibt inzwischen einige Netzwerke der Guten. Das BSI und Bitkom haben vor zehn Jahren bereits die „Allianz für Cybersicherheit“ gegründet, die nun mit 6456 Mitgliedern Europas größte Kooperationsplattform für Cybersicherheit ist. Im nationalen Cyberabwehrzentrum arbeiten BSI, Verfassungsschutz, Bundeskriminalamt, Bundeswehr und Katastrophenschutz überbehördlich zusammen. Zudem gibt es am Landesamt für Verfassungsschutz in München das Cyber-Allianz-Zentrum Bayern (CAZ), das Unternehmen, Hochschulen und Betriebe der kritischen Infrastruktur im Freistaat berät. Noch im September wird ebenfalls beim Verfassungsschutz in Milbertshofen ein neues Cyber-Lagezentrum eingeweiht.

Immer mehr Firmen suchen sich System-Bodyguards

Auch im privaten Sektor wird aufgerüstet: Die Industrie- und Handelskammern etwa vernetzen ihre Mitglieder hinsichtlich Präventions- und Abwehrmaßnahmen. Immer mehr branchengleiche Unternehmen tauschen sich aus und auch private Cybersicherheitsunternehmen vernetzen ihre Kunden. Die Alite GmbH etwa, die im deutschsprachigen Raum Unternehmen in Sachen IT-Abwehr berät, hat die „Wiener Gruppe“ ins Leben gerufen, zu der sich in Wien regelmäßig Unternehmen und Fachleute treffen, um neueste Erkenntnisse aus der Hacking-Welt auszutauschen und auch Spezialwissen zu teilen. „Der Markt für Cybersicherheitsberatung boomt“, sagt Stefan Tödling von Alite. Immer mehr Firmen hätten erkannt, dass sie digitale System-Bodyguards brauchen und ihr Personal schulen müssen, damit gefährliche Mails rechtzeitig erkannt werden.

Einfache IT-Maßnahmen, große Wirkung

Hat die gute Seite überhaupt eine Chance gegen die Bösen? Die Lage ist nicht aussichtslos. „Mit einer Reihe relativ einfacher Basismaßnahmen kann das Sicherheitsniveau deutlich erhöht werden. Das Unternehmen wird so für Angreifer unattraktiv oder die Auswirkungen eines Angriffs werden so reduziert, dass die Schäden minimiert werden“, sagt der BSI-Sprecher. Solch eine Maßnahme kann für einen kleinen Betrieb etwa auch sein: Sechs externe Festplatten kaufen und täglich auf eine andere eine Sicherheitskopie ziehen. Kommt der Angriff, ist zumindest noch die Datensammlung vom Vortag erhalten. Der BSI-Sprecher: „IT-Sicherheit ist eine Daueraufgabe und Chefsache.“

Auch Daniel Siegmund ist sich sicher: Es wird nicht der letzte Angriff gewesen sein. „Wir haben aufgerüstet, aber der Gegner schläft nicht. Wir können das System nicht zu 100 Prozent sicher machen“, sagt Siegmund. Eine neue Masche der Internetkriminellen habe er bereits bemerkt: Seine Buchhaltung bekomme immer wieder Mails von Lieferanten, die gehackt wurden, in denen neue Kontonummern für die Rechnungsüberweisungen mitgeteilt werden. Wird Geld auf diese falschen Konten überwiesen, ist es weg. Im Ausland. Vorsichtshalber überprüfe die Firma Siegmund solche Mails telefonisch. „Wir informieren auch unsere Lieferanten, dass die so etwas nicht glauben sollen“, sagt Daniel Siegmund.

Siegmund hat noch einmal in die IT investiert

Die Firma habe aus dem Angriff gelernt und setze gezielt auf Schulungen der Mitarbeiterinnen und Mitarbeiter, damit sie verdächtige Mails rechtzeitig erkennen. Statt Geld in eine Cyberversicherung zu stecken, sei lieber noch einmal in die IT investiert worden. Ein digitaler Wächter etwa soll bei ungewöhnlichen Computeraktivitäten Alarm schlagen, sodass Eindringlinge früher erkannt und ausgesperrt werden. Die wichtigsten Informationen werden auch nicht in der IT abgelegt. Siegmund: „Die werden auf Papier gespeichert und in zwei Tresoren und Gebäuden aufbewahrt, falls es mal brennt.“ Analog, nicht digital. Angst, dass es wieder passiert? Siegmund: „Angst nicht. Respekt. Aber wir sind vorbereitet.“