Im Jahr 2021 gab es in Deutschland 146.363 Cybercrime-Vorfälle. Das entspricht einem Anstieg von 12 Prozent im Vergleich zum Vorjahr. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet die Situation mittlerweile als "angespannt bis kritisch". Die tatsächliche Zahl der Angriffe liegt sehr wahrscheinlich noch wesentlich höher – denn oftmals wollen Geschäftsführer und Vorstände es eher vermeiden, damit an die Öffentlichkeit zu gehen. Zudem wird eine Vielzahl an Attacken seitens der Unternehmen gar nicht erst erkannt.
Ob ein Unternehmen in das Visier von Angreifern gerät, ist nicht von der Größe abhängig, es trifft den Mittelstand ebenso wie jene, die zur kritischen Infrastruktur zählen – dies ist einzig abhängig von den Daten oder Werten, die für Cyberkriminelle jeweils interessant sein können. Generell steigt die Wahrscheinlichkeit eines Angriffs mit dem wirtschaftlichen Erfolg.
Die Gründe für Attacken sind vielfältig: Unter anderem Spionage, um in den Besitz von wertvollen Firmeninterna zu gelangen oder Lösegeld-Erpressung mittels Ransomware. Zunehmend jedoch auch DDoS-Attacken – oft ebenfalls verbunden mit einer Lösegeldforderung, damit der Angriff gestoppt wird.
Wir geben Ihnen im Folgenden einen Einblick in publik gewordene Fälle aus diesem und dem vergangenen Jahr, der zeigt, welche Auswirkungen unterschiedliche Angriffe auf den laufenden Geschäftsbetrieb haben können. Welche Lehren andere aus den erfolgten Angriffen ziehen können, erfahren Sie weiter unten.
Wisag
Im Februar dieses Jahres wurde die Wisag – ein in Frankfurt ansässiger Dienstleistungskonzern, der zuletzt einen Jahresumsatz von 1,2 Milliarden Euro verzeichnete und in den Bereichen Facility-Management, Industriedienstleistungen und Flughafen-Services tätig ist – erneut Opfer von Cyber-Kriminellen. Fast genau ein Jahr nach der ersten Attacke.
Dieses Mal nahm die IT-Abteilung – aufgrund von detektierten Unregelmäßigkeiten auf den Servern – alle IT-Systeme und Anwendungen vom Netz. Das führte dazu, dass weder die Website des Unternehmens verfügbar war noch die Mitarbeiter per E-Mail erreicht werden konnten.
Während des ersten Angriffs waren die Geschäftsabläufe eine Woche lang stark beeinträchtigt gewesen, unter anderem konnten die Löhne für 55.000 Mitarbeiter erst verspätet ausgezahlt werden. Der Vorstandsvorsitzende Michael Wisser hatte jedoch öffentlich betont, dass er sich nicht von Kriminellen erpressen lasse. Konsequenterweise hat Wisag in der Folge in die IT-Sicherheit investiert, im Sinne einer besseren Abwehr gegen Angriffe.
Schiffbauer Lürssen
Die Bremer Werften-Gruppe Lürssen – weltweit führend im Bau von Luxusjachten sowie auch im Marineschiffbau und mit rund 1.500 Beschäftigten ein wichtiger Arbeitgeber in der Region – bestätigte öffentlich, dass sie über die Osterfeiertage 2023 Opfer einer Cyber-Attacke geworden sind. Zudem gaben die Verantwortlichen die Einleitung strafrechtlicher Ermittlungen bekannt sowie, dass Cybercrime-Experten der Polizei die Werft bei dem Vorfall beraten, umgehend alle notwendigen Schutzmaßnahmen eingeleitet und die zuständigen Behörden informiert worden seien.
Laut Angaben der Lürssen-Werft handelte es sich bei dem Angriff um eine Ransomware-Attacke, die mittels Einschleusung von Schadsoftware auf unternehmensinterne Rechner durchgeführt wird.
Die weiteren Details über die gravierenden Auswirkungen waren dann in öffentlichen Medien nachzulesen: Große Teile des Betriebs seien zum Erliegen gekommen, lediglich die Lürssen-Kröger Werft in Schleswig-Holstein produziere derzeit noch.
Evotec
Der Wissenschaftskonzern Evotec SE – ein Wissenschaftskonzern, der sich auf die Erforschung und Entwicklung von hochwirksamen Medikamenten konzentriert – gab bekannt, dass es am 6. April 2023 einen Cyber-Angriff auf seine IT-Systeme gegeben hat; eine hochkomplexe Infrastruktur, bestehend aus einer multimodalen Plattform, die innovative Technologien, Daten und wissenschaftliche Ansätze kombiniert, um first-in-class und best-in-class pharmazeutische Produkte zu erforschen, entwickeln und zu produzieren.
Bemerkt wurde der Angriff, seitens der Mitarbeiter des unternehmensinternen IT-Teams aufgrund ungewöhnlicher Aktivitäten. Sie reagierten umgehend, indem sie zum einen alle Maßnahmen ergriffen, um die IT-Sicherheit aufrechtzuerhalten, sowie die notwendigen Schritte einleiteten, um die Attacke abzuwehren. Unter anderem wurden Evotecs IT-Systeme proaktiv und präventiv offline gestellt, um Datenbeschädigungen und Datenschutzverletzungen zu vermeiden. Zur Erforschung des Umfangs und der potenziellen Auswirkungen des Angriffs führten externe IT-Experten und weitere Spezialisten gemeinsam eine forensische Untersuchung durch. Vorschriftsmäßig informierte Evotec zudem die relevanten Behörden über den Vorfall. Insgesamt deutet die Art der Gegenmaßnahmen auch hier auf einen Ransomware-Angriff hin – offiziell bestätigt wurde dies jedoch nicht.
Evotec betonte, dass die Geschäftskontinuität an allen globalen Standorten aufrechterhalten wurde, obwohl ihre Systeme zeitweilig offline waren. Jedoch blieben ausgewählte Systeme bis zum Abschluss der forensischen Untersuchung sowie der Implementierung der Sicherheitspläne offline geschaltet, um die Datenintegrität sicherzustellen.
Um das komplette Serviceangebot für die Geschäftspartner weiterhin aufrechtzuhalten, war das Unternehmen bemüht, Lösungen zu finden: Partner und Lieferanten konnten ihre Kontakte so lange über ein zentrales E-Mail-Postfach erreichen, bis wieder eine effizientere E-Mail-Kommunikation zur Verfügung gestellt werden konnte.
Rheinmetall
Gemäß öffentlicher Berichterstattung hieß es, dass Hacker Anfang März dieses Jahres versucht haben, die Online-Präsenz des Rüstungskonzerns Rheinmetall lahmzulegen. Demnach versuchten bislang unbekannte Täter, IT-Systeme des Konzerns auszuhebeln – jedoch offenbar ohne großen Erfolg.
Vermutlich handelte sich offenbar um einen sogenannten DDoS-Angriff, bei dem die Server des Opfers mit einer Masse von Datenanfragen überflutet werden, bis sie die Anfragen nicht mehr bewältigen können und ihren Dienst quittieren. Ein Sprecher des Unternehmens erklärte, dass lediglich die externe Konzern-Website vorübergehend nicht erreichbar gewesen ist. Doch hieraus wird ersichtlich, dass Angreifer in der Lage sind, selbst IT-Systeme von großen (Dax-)Konzerne zu überlasten und damit zum Beispiel Webseiten zum Erliegen zu bringen können – wodurch je nach Unternehmen potenziell gravierende Schäden resultieren – auch wenn sich die IT-Infrastruktur Rheinmetalls insgesamt stabil gezeigt und es keine sonstigen nennenswerten Ausfälle gegeben hat.
Experten vermuten, dass Rheinmetall im Fokus von Hackern stehen könnte, die im Auftrag Russlands im Netz unterwegs sind. Das Unternehmen liefert unter anderem Schützenpanzer in die Ukraine zur Abwehr des russischen Angriffs. Rheinmetall war erst kurz vor dem Angriff in den deutschen Leitindex Dax aufgenommen worden.
Möbelhersteller Häfele
Einen besonders folgenreichen Hacker-Angriff musste der Baden-Württembergische Möbelhersteller Häfele Anfang Februar hinnehmen. Für mehrere Wochen ging dort so gut wie gar nichts mehr – die IT-Systeme wurden heruntergefahren beziehungsweise vom Netz genommen und ein Großteil der Belegschaft nach Hause geschickt. Ursache hierfür war einmal mehr ein Ransomware-Angriff, wie das Unternehmen kurz nach der Attacke auf ihrer Webseite publik machte.
Bemerkenswert ist, dass Häfele schnell reagiert und die Behörden sowie die Datenschutzbehörde über den Angriff informiert hat. Auch hier stellte sich heraus, dass die Zusammenarbeit mit externen Forensikern ein wichtiger Schritt, um einen Vorfall zu untersuchen und weitere Sicherheitsmaßnahmen zu ergreifen. Zum Zeitpunkt der Recherchen für diesen Beitrag arbeitete Häfele daran, die Bestell- und Lieferfähigkeit wiederherzustellen.
Dem Anschein nach hat Häfele bislang keine Informationen darüber, ob Kundendaten während des Cyberangriffs abgeflossen sind. Allerdings betonen die Verantwortlichen, dass alle für die Auftragsabwicklung notwendigen Daten und Prozesse wieder zur Verfügung stehen und in das System eingespielt wurden. Potenziell führt Häfele noch weitere Untersuchungen durch, um sicherzustellen, dass keine Kundendaten betroffen waren, beziehungsweise diese unversehrt geblieben sind.
Als Reaktion auf den Cyberangriff hat das Unternehmen beschlossen, in eine neue IT-Sicherheitsarchitektur zu investieren und die Sicherheitsvorkehrungen zu verstärken, um zukünftig IT-/Cybersicherheits-Risiken zu minimieren. Beispielsweise ist geplant, dass die rund 1.800 Mitarbeiterinnen und Mitarbeiter in Deutschland zukünftig an neu aufgesetzten Endgeräten mit aktueller sowie sicherer Software arbeiten.
Was für den Schutz der eigenen IT-Infrastruktur wesentlich ist
Welche Lehren lassen sich nun aus all diesen Fällen ziehen? Das Wichtigste ist es, eine gute Incident-Readiness-Strategie zu entwickeln. Dazu gehören Verschlüsselung und regelmäßige Backups. Ein wesentlicher Baustein ist das Notfallhandbuch, das im Rahmen einer Business-Continuity-Strategie zu verfassen ist. Darin sind unter anderem exakte Vorgehensweisen, klare Verantwortlichkeiten und notwendige Kommunikationsflüsse für einen Vorfall – sprich den Angriff durch Cyberkriminelle – definiert. Wie ein für einen Feueralarm sollte entsprechend auch das richtige Verhalten aller Mitarbeiter gemäß diesen Szenarien regelmäßig geübt werden.
Wie die oben dargestellten Vorfälle zeigen, ist es für Unternehmen und Organisationen mittlerweile notwendiger denn je alles tun, um Angriffe zu vermeiden. Dazu gehört in erster Linie eine gute langfristige IT-/Cyber-Sicherheitsstrategie, in der unter anderem alle Maßnahmen festgelegt sind, um Angriffsflächen reduzieren, zum Beispiel durch das Managen von Zugriffsberechtigungen und regelmäßiges Einspielen von Updates. IT-Sicherheitsmechanismen wie Firewall, Verschlüsselung, Authentifikation oder Anti-Malware-Lösungen sind hilfreich, um Angriffe abzuwehren.
Eine der größten Herausforderungen ist es, erfolgreiche Angriffe – und diese passieren früher oder später – zu erkennen und ihnen entgegenzuwirken, bestenfalls um sie zu verhindern oder zumindest den Schaden zu begrenzen. Hier unterstützen Log-Dateien und Siem-Lösungen die Incident Detection and Response (IDR). Die Analyse der dort ausgegebenen Alarme lässt sich zwar durch den Einsatz moderner Sicherheitstechnologie basierend auf KI optimieren, jedoch noch nicht vollständig automatisieren.
Ein wichtiger Bestandteil einer guten Sicherheitsstrategie sind die Mitarbeiter: Diese sollten zum einen durch regelmäßige Awareness-Trainings über aktuelle Sicherheitsbedrohungen informiert und entsprechende Gegenmaßnahmen geschult werden. Zudem sollten die Verantwortlichkeiten Ihrer Mitarbeiter und Mitarbeiterinnen in der IT klar definiert und bekannt sein und diese auch in einem Notfallplan schriftlich festgehalten werden, sodass im Fall eines IT-Angriffs adäquat und zeitnah gehandelt werden kann.
Ein weiterer Tipp zum Schluss: Da entsprechende Spezialisten rar und teuer sind, empfiehlt sich für viele Unternehmen die 24/7-Überwachung durch einen externen SOC-Provider (Security Operations Center).
jd