G DATA / Cybersicherheit in Zahlen 2022

• Statt einer Taschenlampe benutzen sie eine Computertastatur. Statt durch ein aufgebrochenes Fenster zu klettern, nutzen sie einen offenen Port oder andere digitale Schwachstellen. Aber genau wie reguläre Einbrecher schlagen auch Cyberkriminelle bevorzugt in der Nacht zu. „Die Beschäftigten kommen morgens ins Büro und stellen fest, dass nichts mehr geht“, beschreibt Kira Groß-Bölting den Moment, wenn der Einbruch in die IT-Infrastruktur bemerkt wird. „Am häufigsten sehen wir mittlerweile Ransomware-Angriffe, bei denen das komplette System inklusive Back-ups verschlüsselt wurde und nur gegen eine Lösegeldzahlung wieder freigegeben wird.“

Kira Groß-Bölting, Undercut und den Rest der roten Haare zu einem Pferdeschwanz zusammengebunden, ist die Frau, bei der dann das Telefon klingelt. Sie ist Incident-Response-Koordinatorin bei G DATA Advanced Analytics. Sozusagen eine Mischung  aus Feuerwehrleitstelle, Seelsorge, Ersthelferin und Überdruckventil. Wie beschreibt sie ihren Beruf ihrer Familie gegenüber oder auf einer Party? „Ich sage dann so etwas wie: Ich habe die Verantwortung, Firmen in digitalen Notfallsituationen erstzubetreuen und im Team die direkte Planung für das weitere Vorgehen zu übernehmen.“ 

Groß-Bölting versucht, so schnell wie möglich ein Bild der Lage zu bekommen: Was genau ist passiert? Läuft der Angriff vielleicht noch? Welche Systeme sind betroffen, welche noch funktionsfähig? Wurden bereits Maßnahmen ergriffen – und wenn ja, haben sie vielleicht alles noch schlimmer gemacht? 

„Egal wie gut eine Firma auf einen Cyberangriff vorbereitet ist“, sagt Groß-Bölting: „Wenn der Ernstfall eintritt, herrscht fast immer erst mal Chaos und Überforderung. Meine Aufgabe ist es dann, die Übersicht zu behalten.“

Einer späht aus, einer räumt ab

Die Zahl der Cyberangriffe nimmt seit Jahren deutlich zu. Allein in Deutschland wurden im vergangenen Jahr 146 363 Delikte gemeldet, 12 Prozent mehr als im Vorjahr, so das Bundeskriminalamt. Je nach Art der Befragung klagen zwischen 46 und 88 Prozent der deutschen Unternehmen über Cyberattacken. Der Branchenverband Bitkom geht für das Jahr 2021 von einem Gesamtschaden in Höhe von 223 Milliarden Euro in der deutschen Wirtschaft aus. 

Vor allem Ransomware-Angriffe sind beliebt, also quasi die Geiselnahme eines fremden Rechners oder einer IT-Infrastruktur durch Verschlüsselung. Für solche Angriffe ist kein großes Informatik- oder Hacker-Latinum notwendig, sondern nur ein wenig kriminelle Energie: Ransomware-Bausätze finden sich online, inklusive Anleitung. 

Häufig erfolgt auch eine Art Arbeitsteilung: Der eine späht aus, der andere räumt ab. „Eine Person oder Gruppe scannt im Internet erreichbare Systeme nach bekannten Schwachstellen“, sagt Groß-Bölting. „Davon gibt es Hunderte. Im Idealfall werden die Schwachstellen durch Updates zügig geschlossen.“ Doch nicht alle Firmen sind immer komplett auf dem aktuellen Stand, was ihre Software betrifft. „Wenn Angreifer eine solche Sicherheitslücke gefunden haben, legen sie so etwas wie einen Türöffner auf dem System der Firma ab, der weiterhin Zugriff sicherstellt. Diesen Zugang verkaufen sie an die eigentlichen Ransomware-Angreifer, die dann manuell den Verschlüsselungsangriff starten.“

Nicht zahlen, sondern anzeigen

Ist es einmal so weit gekommen und der Angriff erfolgreich, wird es ungleich schwerer, den Betroffenen zu helfen. „Bei der klassischen Ransomware-Verschlüsselung muss man den Leuten leider die Illusion nehmen, dass man die Daten wiederherstellen kann“, sagt Groß-Bölting. 

Trotzdem rät sie allen betroffenen Firmen davon ab, mit den Erpressern in Verhandlung zu gehen. „Zuallererst sollte man zur Polizei gehen und Anzeige erstatten“, sagt sie. Jedes Bundesland verfügt über eine eigene Anlaufstelle speziell für Cybercrime, die mit dem Thema vertraut ist. Eine Strafanzeige ist wichtig, damit die Behörden Ermittlungen einleiten können. „Wenn alle Angegriffenen brav das geforderte Lösegeld bezahlen, bleibt Ransomware ein lukratives Geschäft und wird als Problem eher noch wachsen.“ 

Kira Groß-Bölting – intern nur liebe- und respektvoll KGB genannt – ist keine studierte Informatikerin. Die gelernte Bürokauffrau stieg 2016 als Teamassistenz bei G DATA Advanced Analytics ein. Damals war die Ausgründung der G DATA Gruppe gerade ein halbes Jahr alt. „Ich habe also viele Prozesse und Strukturen von Anfang an mit begleitet und mit aufgebaut“, sagt sie. „IT hat mir schon immer Spaß gemacht und mich interessiert. Aber ich habe keine formale Ausbildung in diesem Bereich.“ 

Als die ersten Notfallanrufe bei G DATA eingingen, landeten sie zunächst bei ihr, der Teamassistenz. „Mein persönlicher Ehrgeiz hat dann dafür gesorgt, dass ich das möglichst gut machen und das Team möglichst gut vorbereiten wollte für den Einsatz.“ 

KGB bildete sich fachlich fort, gleichzeitig wuchs G DATA und das Problem mit Schadsoftware-Attacken wurde von Jahr zu Jahr größer. Groß-Bölting arbeitet neben ihrer Tätigkeit als Incident-Response-Koordinatorin auch noch im Service-Management – doch die Tage, an denen das Notfall-Telefon nicht klingelt, sind mittlerweile selten.

Wichtiger als die Zahl der Programmiersprachen, die man beherrscht, sind in ihrem Job Eigenschaften wie Empathie und Kommunikationsgeschick. „Die Leute, die anrufen, sind in den allermeisten Fällen deutlich überfordert“, sagt KGB. „Alle Prozesse, die sie vorher für einen solchen Notfall ausgetüftelt haben, stehen auf dem Prüfstand.“ Je nach Typ reagieren die Anruferinnen oder Anrufer dabei sehr unterschiedlich. Manche sind wütend, andere ängstlich. Das Gefühl, das jedoch alle eint, ist Hilflosigkeit. „Ehrlichkeit ist dann für mich das beste Mittel. Damit kann ich auch die Lauten und Ärgerlichen einfangen. Außerdem gebe ich allen möglichst schnell kleinere Aufgaben zu erledigen, damit sie wieder ins Handeln kommen und aus diesem Gefühl der Ohnmacht herausfinden.“

Viele Unternehmen, die Opfer eines Hackerangriffs geworden sind, stellen schnell die Schuldfrage. Wie konnte es dazu kommen? Wer hat geschlampt, war leichtsinnig, vielleicht sogar verantwortungslos? Groß-Bölting warnt davor, unter den Mitarbeitenden nach einer Person zu suchen, der man die Schuld zuschieben kann. Letztlich helfe es niemandem weiter, Zeit und Ressourcen auf die Ermittlung zu verwenden, wer denn nun zum Beispiel auf einen Phishing-Link in einer E-Mail geklickt hat. „Solche Dinge passieren. Es ist wichtiger, sich darauf zu konzentrieren, den Schaden schnell und bestmöglich zu beheben, anstatt jemanden aus der Belegschaft an den Pranger zu stellen“, sagt Groß-Bölting. „Noch dazu, weil dadurch schlimmstenfalls ein Klima der Angst entsteht, in dem niemand mehr den kleinsten Fehler zugibt. Dabei kann genau das wichtig sein, um einen Angriff frühzeitig zu erkennen und Schlimmeres zu verhindern.“ 

Tatsächlich werden auch die Tricks der Angreifer immer raffinierter: Anfragen, die den echten Namen eines tatsächlichen Teammitglieds enthalten. Webseiten, die genauso aussehen wie das interne System. Von den guten alten Spam-Mails, in denen ein nigerianischer Prinz ein Milliardenerbe in Aussicht stellt, sind diese modernen Phishing- und Social-Engineering-Taktiken so weit entfernt wie ein raffinierter Trickbetrüger von einem Einbrecher, der am helllichten Tag versucht die Tür einzutreten. „Letztlich kann es allen passieren, dass sie oder er in der Eile des Tagesgeschäftes mal auf einen falschen Link klickt“, sagt Kira Groß-Bölting. 

Bloß nicht ausschalten! 

Trotzdem sind Unternehmen nicht völlig machtlos, und es ist durchaus sinnvoll, sich vorzubereiten und mit dem Thema Cyberangriff auseinanderzusetzen. „Viele Firmen denken, sie seien zu klein und unwichtig, um für Cyberkriminelle interessant zu sein“, sagt Groß-Bölting. „Doch das stimmt nicht. Jede Firma hat Daten, die ihr wichtig sind, und wenn es eine Sicherheitslücke gibt, findet sich irgendwann jemand, der sie ausnutzt. Und sei es nur, um ein paar Dollar zu erpressen.“ 

Ein Notfallplan ist also unerlässlich. Dabei ist es vor allem wichtig, eine Informationskette und Ansprechpersonen festzulegen. Wem sollen Mitarbeitende Bescheid sagen, wenn sie den Verdacht haben, dass etwas falsch läuft? „Dabei muss auch feststehen, wer im Notfall etwas entscheiden darf“, sagt Groß-Bölting. „Das müssen manchmal sehr schnelle und radikale Entscheidungen sein, die am besten eine Person trifft, die sich technisch genug auskennt, um nicht alles noch schlimmer zu machen.“ 

Denn Letzteres kann schnell passieren. Einer der größten Fehler, den betroffene Unternehmen leider häufig machen, ist, alle Systeme auszuschalten. Dabei gehen oft wichtige forensische Spuren verloren: „Moderne Schadsoftware legt sich oftmals im Arbeitsspeicher ab“, sagt Groß-Bölting. „Dadurch verschwindet sie beim Ausschalten des Systems, und wir wissen nicht mehr, womit wir es zu tun haben.“ 

Das Problem selbst – also zum Beispiel die Verschlüsselung aller Daten – bleibt natürlich auch nach dem Ausschalten erhalten. Die Devise „Einfach mal ausschalten und wieder einschalten“, die sich sonst bei so manchem Tech-Schluckauf bewährt, ist in diesem Fall also nicht nur nutzlos, sondern erschwert auch die Detektivarbeit von Kira Groß-Böltings Kolleginnen und Kollegen. 

Was deren Arbeit wiederum erleichtert: wenn Unternehmen den Zeitraum erhöhen, für den die Logdaten ihrer Server gespeichert werden. „Je mehr Daten da sind und je besser wir nachvollziehen können, was auf den Systemen passiert ist, desto besser können wir helfen“, sagt Groß-Bölting. Die Grundeinstellung zum Beispiel bei den gängigen Windows-Servern sei da ein eher kurzer Zeitraum, und nicht für alle Features sei Logging überhaupt standardmäßig aktiviert – „aber das kann und sollte man umstellen.“

Sicherheit ist ein Vollzeitjob

Grundsätzlich empfiehlt sie Unternehmen, das Thema IT-Sicherheit ernster zu nehmen. Das bedeutet unter anderem, in hauptberufliches IT-Personal zu investieren. „Wenn ein Unternehmen mehr als hundert Mitarbeiter und Mitarbeiterinnen hat, kann es nicht sein, dass irgendjemand halbtags neben dem eigentlichen Job noch IT-Administration macht“, sagt Groß-Bölting. 

Weitere essenzielle Tipps: Unbedingt für Back-ups sorgen, die offline, also nicht permanent mit dem Netzwerk verbunden sind, aber regelmäßig geprüft werden. Und an die Zeit nach einem Angriff denken und einen Plan für die Priorisierung beim Wiederaufbau erstellen. Welche Teile des Systems müssen zuerst wieder laufen? „Natürlich denkt jede Abteilung, sie sei die wichtigste“, sagt Groß-Bölting. „Aber wenn dann 20 Leute vor den IT-Verantwortlichen stehen und verlangen, dass ihr System als erstes wieder läuft, hilft das niemandem.“

Oft verfallen Unternehmen, die Ziel eines Cyberangriffs geworden sind, in eine Art Schockstarre aus Angst und Scham – wie Opfer gewöhnlicher Kriminalität auch. Viele Unternehmen halten den Angriff geheim, sei es aus Angst, unprofessionell zu wirken oder weil man sich einfach keine Blöße geben möchte. Weder vor der Konkurrenz noch vor der Kundschaft. Kira Groß-Bölting rät jedoch strikt davon ab, einen solchen Angriff unter den Teppich kehren zu wollen und gar nicht oder auch nur zögerlich zu kommunizieren. 

„Bei Kundinnen oder Auftraggebern ist die Akzeptanz erfahrungsgemäß größer, wenn eine Firma in den offenen Austausch geht“, sagt sie. „Wenn man ganz klar sagt: Wir sind gehackt worden. Bei uns geht gerade gar nichts mehr, aber wir haben uns ein professionelles Team geholt, dass uns unterstützt, den Schaden zu beheben.“ Niemand müsse dabei inhaltlich und technisch in die Tiefe gehen. Aber sowohl die Beschäftigten als auch das Kunden- oder Partnernetzwerk zeitnah zu informieren und auf dem Laufenden zu halten sei wichtig, um allen Beteiligten die Gewissheit zu geben, dass man nicht machtlos und überfordert ist, sondern dass es vorangeht.

Sich schämen, Opfer eines Cyberangriffs geworden zu sein, sei ohnehin der falsche Ansatz: „Schuld sind nicht die Opfer, sondern die Täter“, sagt Groß-Bölting. „Und eine Welt, in der es eine hundertprozentig sichere IT gibt und niemand mehr einem Hacker-Angriff zum Opfer fällt, wird es wohl leider nie geben.“ --

---

Dieser Text stammt aus unserer Redaktion Corporate Publishing.