Mitarbeiter sitzt geschockt vor seinem gehackten Rechner

Cyber-Kriminelle hacken Rechner von Unternehmen, um Lösegeld zu erpressen. Häufig könnten Mitarbeiter dies bereits durch mehr Schulung und daraus folgend mehr Achtsamkeit verhindern. - Bild: Andrey Popov - stock.adobe.com

| von Dietmar Poll

Die Sicherheit der Industrie vor Cyber-Attacken scheint nicht gewährleistet, da immer wieder über erfolgreiche Hacks berichtet wird. Zwei Experten zeigen auf, was jedes Unternehmen und vor allem jeder Mitarbeiter für die IT-Sicherheit tun kann - und auch was nach einer erfolgten Cyber-Attacke zu beachten ist.

Sebastian Kumpmann ist Head of Cyber Defence bei der Thyssenkrupp AG in Essen. Er gewährt auch Einblicke, wie sein Team reagierte, als der Industriekonzern aus der Stahlindustrie Opfer eines Hacker-Angriffs wurde: "Als ThyssenKrupp bedienen wir sämtliche Industriezweige, in denen es um starkes Know-how geht. Solch ein ‚Unternehmensgeistiges Eigentum‘ weckt Begehrlichkeiten von Staaten und Unternehmen, die sich auf ähnlichen Feldern tummeln." Da gehe es darum Zeiten einzuhalten und schnell zu sein. Würden Systeme sabotiert werden, sei das eine ganz große Herausforderung.

Sie haben wenig Zeit? Hier kommen Sie direkt zu den einzelnen Textabschnitten

"Auf der einen Seite haben wir es mit Leuten zu tun, die so breit wie möglich versuchen über das Internet ihre Eingriffe zu streuen und durch die schiere Masse zum Erfolg zu kommen. Auf der anderen Seite haben wir es mit unternehmensspezifischen Angriffen zu tun. Das sind Leute, die zum Teil sehr genau wissen auf wen sie sich da eingeschossen haben. Sie gehen mit Aufklärungsmethoden vor, sammeln viel Wissen über ihr Ziel und nutzen das dann auch", erläutert Kumpmann.

Sebastian Kumpmann, Thyssenkrupp AG.

"Jeder Angestellte sollte das Bewusstsein dafür haben, dass es bei Cyber-Attacken um seinen Arbeitsplatz geht und es sich nicht nur um einen Computervirus handelt, der irgendwo ein bisschen spaßig abgetan wird", sagt Sebastian Kumpmann, Head of Cyber Defence bei der Thyssenkrupp AG in Essen. - Bild: ThyssenKrupp

IT-Security nicht die einzige Lösung, um Schaden von der Wirtschaft abzuwenden

Dagegen kann man sich laut Kumpmann natürlich mit käuflich erwerbbarer Technik schützen. "Aber wir sehen immer wieder, dass die Technik gar nicht so sehr das Ziel ist, sondern dass vor allem der Mensch, der Mitarbeiter im Ziel einer solchen Attacke steht."

Ein Mensch wiederum ließe sich nicht durch Schutzmaßnahmen aufrüsten. "Da geht es um langfristiges Schulen, um das Thema wieder ins Bewusstsein zu bringen und um dem Mitarbeiter ein Gefühl dafür zu vermitteln, wie er sich zu verhalten hat. In welchen Fällen er auch einfach mal auf sein Bauchgefühl hören sollte und den Kollegen Bescheid geben soll, die sich um solche Themen kümmern", führt der Experte aus.

Security Awareness in jedem Unternehmen notwendig

So habe ThyssenKrupp vor einiger Zeit eine Awareness-Kampagne genutzt, um die Mitarbeiter zu schulen. "Dazu haben wir eine Internet-Domain registriert, die den Anschein erweckte, zum Krupp-Konzern zu gehören. Wir haben dann die Mitarbeiter angeschrieben, dass es einen Test gäbe und bei Teilnahme ein Apple-Gerät zu gewinnen sei und sie mögen sich mit ihren dienstlichen Zugangsdaten auf der folgenden Seite registrieren", fährt er fort.

Diese Seite sei aber aus Bausteinen der Thyssen-Krupp Werksseite zusammengesetzt. Kumpmann weiter: "Für den Laien war das überhaupt nicht zu erkennen, dass es sich um eine Fälschung handelte und an Hand dieser E-Mail kann man gut erkennen, wie man mit ein bisschen Aufwand und mit ein paar Taschenspielertricks die Mitarbeiter so betrügen kann, dass sie eigentlich gar keine Chance mehr haben, ihre Zugangsdaten zum Unternehmensnetzwerk nicht in die Hände eines Kriminellen zu geben."

Beispiele von Erpressungen von Unternehmen gibt es laut Kumpmann mittlerweile zur Genüge, sei es der Vorfall 2014 bei Engelbert & Strauss, die eine Summe von etwa 500 000 Euro verloren haben oder zwei Jahre später der Fall bei Leoni, die 40 Millionen Euro verloren haben.

So reagierte ThyssenKrupp auf eine Cyber-Attacke

"Wir sind 2016 selbst Opfer eines unserer Meinung nach staatlich organisierten Cyber-Angriffs geworden. Dann beschäftigen Sie sich plötzlich damit, dass jemand mit Methoden auf ihr Unternehmen losgeht, die als hochprofessionell einzustufen sind, die sehr schwer zu erkennen sind und die noch schwerer abzuwehren sind. Unser damals schon implementiertes Computer Emergency Response Team (CERT) war in der Lage uns durch diesen Vorgang zu führen und die entsprechenden Abwehrmaßnahmen zu steuern", berichtet Kumpmann.

Als im CERT der Angriff in seiner Hochphase bearbeitet wurde gab es eine Vielzahl von Menschen, die alles taten, um diesen Angriff abzuwehren, jeder für sich in seinem Bereich, so Kumpmann. "Das waren Forensiker, incident responder, Analysten aber eben auch unterstützende Kräfte, die sich um das Thema Kommunikation kümmern. Die versorgten die einzelnen Standorte mit Informationen, die sich darum kümmern den jeweils zuständigen IT-ler mit an Bord zu nehmen." Die aber einfach auch Fleißarbeit lieferten wie Listen abzuarbeiten oder Images zu verwalten.

Tipps vom Fachmann: Notfallpläne

Folgende Notfallpläne sollten Sie laut Sebastian Kumpmann parat haben, falls Ihr Unternehmen gehackt wird

 

  • Was mache ich, wenn meine IT nicht zur Verfügung steht?
  • Wo bekomme ich entsprechende Unterstützung her?
  • Wo bekomme ich die Geräte her?
  • Wo liegen meine Datensicherungen?
  • Bin ich in der Lage, kurzfristig mein System wieder so herzustellen, dass ich auch mein Geschäft weitermachen kann?
  • Wo bekomme ich im Fall des Falles Experten her?
  • Habe ich intern Mitarbeiter, die in der Lage sind so einen Vorgang zu handeln, die mich da unterstützen können?
  • Muss ich die aufbauen? Will ich die aufbauen? Oder knüpfe ich Kontakte zu externen Partnern die mich unterstützen können, die im Ernstfall auch sofort unterstützen können?

Security war für den Schutz ausschlaggebend

"Nur, weil wir die Kollegen schon vor dem Angriff im CERT organisiert hatten, diese wiederum ein sehr gutes Netzwerk hatten und wir Firmen kannten, die uns in dieser Lage hilfreich zur Seite standen, waren wir überhaupt in der Lage, diesen Angriff so zu bearbeiten wie wir es damals getan hatten", verdeutlicht Kumpmann.

Dies ist auch laut Kumpmann eine der wesentlichen Erkenntnisse gewesen, denn "Vorbereitung für alle möglichen Ernstfälle ist elementar wichtig. Sobald einmal das Thema bei Ihnen explodiert ist, ist so viel Hektik im Raum, dann lässt sich niemand mehr aussuchen, der sinnvoll helfen kann."

Hilfe und Schutz durch die Polizei nicht vergessen

Laut Kumpmann habe ThyssenKrupp auch den Kontakt zu der Zentrale und Ansprech-Stelle Cyber-Crime der Staatsanwaltschaft des LKA NRW aufgenommen. "Von dieser Seite wurden wir sehr professionell unterstützt und deren Personal, Methoden und Tools haben auch Mehrwert gebracht. Da möchte ich dafür werben Kontakt zu den Behörden aufzunehmen, am besten vor dem Ernstfall", unterstreicht der Experte.

Die wichtigste Erkenntnis sei gewesen, dass es nicht so sehr darum gehe, welche Firewall in welchem Implementierungsstatus die beste ist. Sondern es gehe tatsächlich um die Basics. "Denn jeder kann Opfer eines Angriffes werden. Wir haben die typische Situation gehabt, dass wir auf einen Ernstfall zwar nicht direkt vorbereitet waren, aber doch gute Grundlagen hatten, um sehr schnell reagieren zu können. Allen anderen würde ich dringend empfehlen, entsprechende Vorbereitungen zu treffen", rät Kumpmann.

Security und Informationssicherheit geht jeden an

Für alle Bereiche des Unternehmens ist laut Kumpmann elementar wichtig, dass jeder einzelne Angestellte zum Ziel einer derartigen Attacke werden kann. "Jeder Angestellte sollte das Bewusstsein dafür haben, dass es hierbei um seinen Arbeitsplatz geht und es sich nicht nur um einen Computervirus handelt, der irgendwo ein bisschen spaßig abgetan wird. Aber auch die Unternehmensleitung ist gefragt, das Thema immer wieder ins Bewusstsein zu bringen", schließt Kumpmann und spricht damit auch die Informationssicherheit an.

Schutz vor Cyber-Angriffen auf die Produktion

Andreas Rohr, CTO von der Deutschen Cyber Sicherheits Organisation (DCSO), stell dar, dass es keinen spezifischen Sektor wie die Logistikbranche, Pharmaunternehmen oder Industrieanlagenbauer wie Thyssen Krupp gibt, die im Fokus von Angriffen stehen.

"Die Cyber-Kriminellen interessieren sich nicht dafür, um was für eine Art von Unternehmen es geht, sondern nur darum, ein Unternehmen so stark in die Ecke zu treiben, dass der Angreifer in Form von Lösegeld Kapital schlagen kann. Wir empfehlen möglichst nicht zu zahlen, denn das unterstützt das Business Modell des Angreifers", betont Rohr.

Aber es stelle sich natürlich die Frage, wie der Impact auf das Unternehmen in der Produktion aussehe. Denn da gehe es nicht um die Außenwirkung oder Reputation des Unternehmens.

Laut Rohr sind die Angreifer über mehrere Monate vorbereitend tätig, um danach die Erpressung durchzuführen. "Seit geraumer Zeit erhöhen die Angreifer den Druck bei der Erpressung damit, besonders sensitive Dinge und Daten zu veröffentlichen. Typischerweise geht es dann um Medizin- und Pharmaunternehmen. Würden Studiendaten mit Patientendaten rausgetragen, dann haben diese natürlich eine ganz andere Brisanz als irgendwelche x-beliebigen Daten", unterstreicht Rohr.

Kein Unternehmen ist nach einer Cyber-Attacke chancenlos

Demnach machten sich die Angreifer die Mühe, sensitive Daten aus den Unternehmen zu exfiltrieren, zu verschlüsseln und dann gäben sie dem Opfer einen Einblick in diese.

Laut Rohr entsteht dann ein solch erdrückender Eindruck, dass der Betroffene glaubt, nichts dagegen tun zu können. Dem widerspricht der Experte: "Das stimmt so nicht. Nach unserer Auffassung können Sie die Wahrscheinlichkeit reduzieren, indem Sie nicht der erste sind der umfällt."

Zur Erklärung bedient er sich des Beispiels, wie man es schafft, vor einem Löwen davon zu kommen. "Sie müssen nur schneller rennen als Ihr Nachbar. So ähnlich könnte man hier auch schauen, ob und welche Maßnahmen es gibt, dass Sie in der Suche von solchen zielgerichteten Angreifern nicht das erste Opfer sind", verdeutlicht Rohr.

Andreas Rohr, Deutsche Cyber Sicherheits Organisation

"Seit geraumer Zeit erhöhen die Angreifer den Druck bei der Erpressung damit, besonders sensitive Dinge und Daten zu veröffentlichen. Typischerweise geht es dann um Medizin- und Pharmaunternehmen", sagt Andreas Rohr, CTO von der Deutsche Cyber Sicherheits Organisation (DCSO). - Bild: DCSO

Das sind die Maßnahmen, sich vor einem Angriff zu wappnen

Die Maßnahmen, die die DCSO aus vielen Fällen gelernt hat, sehen wie folgt aus. "Das allererste ist, dass es eine Reihe von Hygienemaßnahmen gibt, die für das Schwachstellenmanagement wichtig sind: Sind meine Systeme auf aktuellem Stand oder sind sie soweit abgeschottet, dass sie nicht von jedem erreichbar sind? Damit können Sie die Angriffsfläche in einer Art und Weise reduzieren, damit Sie nicht der Erste sind, den der Löwe erwischt", erklärt Rohr.

Denn der Angreifer überprüft, welches System er angreifen kann – er braucht ja nur eins oder zwei; er sucht sozusagen die Angriffsoberfläche, so Rohr. "Wenn Sie aus der Angriffsperspektive blicken, dann können Sie sehen, wie Sie selbst für einen Angreifer aussehen", erläutert der Fachmann.

Was könnte diese Sorge nun etwas reduzieren? Dazu Rohr: "Indem Sie sich auf das konzentrieren, was insgesamt für den Angreifer von außen sichtbar ist. Das bezieht auch Identitäten ein, die gegebenenfalls irgendwo abgeflossen sind - etwa von Ihren Zulieferern oder von Partnern. Das heißt, Sie können im Prinzip dasselbe tun, was auch Angreifer tun, wenn diese sich auf Ihr Unternehmen vorbereiten. Somit können Sie vielleicht schneller die Dinge beiseite räumen, die Ihnen neben den klassischen Angriffsmethoden zum Nachteil gereichen, weil Sie das nicht selber gesehen haben, sondern der Angreifer vor Ihnen."

Vorbereitung auf eine Cyber-Attacke ist relevant

Rohr betont, dass diese Vorbereitung relevant ist. "Das gilt sowohl für die Vorbereitung hinsichtlich Schaden abwenden zu können als auch zumindest in bestimmten Fällen über Backups reagieren zu können. Aber auch im Bereich Detektion, ob Sie Dinge sehen und ob Sie auch die richtigen Dinge sehen", sagt Rohr.

Auch die Vorbereitung, wie zu reagieren ist, spricht Rohr an. "Das können Sie machen, indem Sie Verträge mit CERT Response Firmen abschließen. Dann haben Sie vermutlich eine bessere Ausgangsposition, als wenn Sie sagen, ich versuche mich mit Burgmauern komplett zu schützen und vernachlässige die anderen Dinge und gehe davon aus, dass keiner reinkommt."

Zu beachten ist laut Rohr auch, einen Incident Response (Vorfallreaktionsplan) zu haben, mit dem Firmen auf Attacken reagieren können. "Dabei müssen Sie nicht alles selbst haben, wenn Sie das nicht als Ihre Kernkompetenz empfinden und es lieber von Ihrem outgesourcten IT-Provider miterledigt haben wollen."

Es gebe aber auch hybride Modelle. "Dabei können Sie sich der Experten bedienen, die Sie bei sich in Ihre Prozesse implementieren. Etwa, weil die Talente nicht zu Ihnen ins Unternehmen kommen wollen, weil Sie vielleicht über keinen so tollen Standort verfügen. Das kann man heutzutage relativ gut paketieren", zeigt Rohr auf.

Tipps für Ihren Schutz

Zu diesen vorbereitenden Maßnahmen für den Schutz rät Andreas Rohr.

  • Basismaßnahmen für sich so sortieren, dass die Angriffsoberfläche reduziert ist
  • Den Teil ergänzen, der für die Verhinderung von Angriffen wichtig ist, damit die Sichtbarkeit und die Fähigkeit zu reagieren gestärkt wird, entweder alleine oder mit externer Hilfe.
  • Dinge nutzen, die bereits intern existieren
  • Nicht nur die Vorbereitung auf solche Fälle trainieren, sondern auch eine Krisenstabsübung zusammen mit dem IT-Personal und den Zulieferern abhalten.

Ausbreitungsphase eines Angriffs ist erkennbar

Angriffe sind laut Rohr nicht vollständig vorhersagbar. Sie variieren auch über die Zeit. "Es gibt aber Muster, Verhaltensmuster und Auffälligkeiten in Graphen. Anhand dieser Graphen lassen sich Begebenheiten finden, die sich nämlich während der Ausbreitungsphase eines Angriffs mit einem gewissen Verhalten bewegen, was nicht vollständig geräuschlos ist", erklärt Rohr.

Entdeckt man dies frühzeitig, dann könne man zumindest rechtzeitig reagieren und die Beobachtung und ihre Sichtbarkeit schärfen. "Oder den Stecker ziehen, falls die Angreifer zu nahe an Ihre Systeme kommen oder auf Ihre zentralen Infrastrukturkomponenten zugreifen - was sehr typisch und sehr beliebt bei Angreifern ist. So können Sie Notfall-Maßnahmen treffen, die verhindern, dass der Angreifer die Schadwirkung entfalten kann", rät Rohr.

Wenn dieses Verteidigungsteam vorbereitet ist, dann könne man Leute von außen als Angreifer draufschicken um dann zu testen, ob man entsprechend gewappnet sei.

Das IT-Sicherheitsgesetz

Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) leistet die Bundesregierung einen Beitrag dazu, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) - wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung. Aber auch in der Industrie.

Bereits registriert?