Hackerangriffe auf Unternehmen und Kommunen
Obwohl die Angriffe auf IT-Systeme zunehmen, sind Kommunen und Unternehmen oft immer noch zu wenig darauf vorbereitet. © IMAGO/YAY Images
„Hier funktioniert nichts mehr“
29:27 Minuten
Von Andre Zantow · 20.06.2022
Immer häufiger sind Kommunen und Unternehmen das Ziel von Cyber-Kriminellen. 146.000 Delikte verzeichnete das BKA im vergangenen Jahr. Der Schaden geht in die Milliarden. Es geht um Datenklau, Lösegelderpressung und Wirtschaftsspionage.
Die Zahl der Cyber-Straftaten hat einen neuen Höchstwert erreicht. 146.000 Delikte verzeichnete das BKA im vergangenen Jahr. Das sind im Schnitt 400 Anzeigen pro Tag. Der Schaden ist enorm. Der Branchenverband Bitkom spricht von 230 Milliarden Euro im vergangenen Jahr. Allein durch Angriffe mit sogenannter Ransomware habe sich der Schaden verfünffacht auf 24 Milliarden Euro.
Im Landkreis kippt die Stimmung
Im Oktober 2021 trifft es auch den Landkreis Ludwiglust-Parchim in Mecklenburg-Vorpommern. Über Nacht werden alle Daten verschlüsselt, kein Rechner funktioniert mehr im Landratsamt Ludwigslust, erinnert sich Mitarbeiter Stefan Frisch: „Wir waren ja zu Anfang immer noch in guter Hoffnung, wird schon wieder gehen, bis dann mal einer sagte: So schnell wird das hier nichts mehr.“
Das Landratsamt ist zurückgeworfen auf Stift und Zettel. Nach einigen Wochen kippte die Stimmung in dem Landkreis mit mehr als 200.000-Einwohnern, erzählt Frisch:
„Weil sie dann gesagt haben: Ihr habt da jetzt so einen Computervirus. Das kann jetzt nicht so wild sein, jetzt kommt mal so langsam aus dem Knick und versucht es wieder hinzukriegen. Wo wir dann immer gesagt haben, wir haben ein gutes IT-Unternehmen, dass uns betreut und wenn es so einfach wäre, wäre das Unternehmen sicherlich auf die Idee gekommen, da irgendwo einen Knopf zu drücken, damit es schneller geht.“
Das IT-Unternehmen des Landkreises heißt Kommunalservice Mecklenburg – kurz KSM. Schnell merken die Informatiker, dass nicht die Rechner des Landratsamtes das Problem sind, sondern die eigenen zentralen Server. Dort hat sich die Ransomware eingenistet. Gut ein halbes Jahr ist der IT-Dienstleister damit beschäftigt alle verbundenen Rechner zu prüfen und das System neu aufzusetzen, damit der Landkreis wieder alle Dienste anbieten kann wie zuvor.
Angreifer sind im Vorteil
Das Kräfteverhältnis habe sich in den vergangenen Jahren extrem ungünstig entwickelt für die Defensive, meint Matthias Schulze, Cyber-Experte von der Stiftung Wissenschaft und Politik:
„Für die Offensive – also für die Kriminellen und die Nachrichtendienste – ist das Kräfteverhältnis weitaus günstiger. Es gibt einerseits eine technische Asymmetrie. Das der Angriff leichter ist als die Verteidigung. Andererseits stecken diese Gruppen auch sehr viel ihres Geldes, das sie verdienen mit Ransomware-Kampagnen in neue Tools, in neue Angriffsfähigkeiten.
Und wenn man das rein nummerisch vergleicht, was die zum Teil in die Offensive stecken und was ein kleines und mittelständiges Unternehmen für die IT-Sicherheit ausgibt, dann ist das sehr oft ein krasses Missverhältnis.“
Das musste Alexander Nelke im Juni 2019 erfahren. Seine damalige Logistikfirma in Sachsen-Anhalt wurde Opfer eines Ransomware-Angriffs. Auch seine Back-ups waren verschlüsselt.
„Das hatte dann zur Folge, wenn Du keine Rechnungen schreibst, hast Du keine Geldeingänge. Diese 14 Tage ohne Geldeingänge haben dann letztlich auch dazu beigetragen, dass eine Insolvenz folgte. Wobei ich versucht habe, mit allen wichtigen Partnern – Krankenkassen, Finanzamt, dem Mautanbieter – zu verhandeln. Habe den unsere Situation geschildert. Habe um Zahlungsaufschub gebeten, was auch gewährt wurde, von dem Finanzamt und den Krankenkassen. Wer nicht mitgespielt hat, war der damalige Mautbetreiber.“
Seine Firma Blitz Logistik musste Insolvenz anmelden. 34 Arbeitsplätze standen auf dem Spiel, die nach einigen Monaten letztlich gerettet werden konnten und von einer neuen Firma übernommen wurden. Auslöser war die größte Sicherheitslücke: der Mensch. Erzählt auch Alexander Nelke: „Der Trojaner, der uns seinerzeit erwischt hatte, war mit Sicherheit an einer Mail dran, die ein Mitarbeiter, vielleicht war es auch ich, geöffnet hat und damit diese Verschlüsselung in Gang gesetzt hat.“
Hackergruppe aus Russland
Kein menschlicher Fehler, sondern eine bisher unbekannte Sicherheitslücke nutzten die Hacker aus, die im Februar 2022 den Insolvenzverwalter „Schultze & Braun“ aus Baden-Württemberg mit einer Ransomware-Attacke angriffen. Alle Daten des Mittelständlers mit 600 Mitarbeitern waren verschlüsselt, erzählt Achim Frank, Geschäftsführender Partner, bis auf eine Datei:
„Auf einem der Server war dann eine Textdatei in englischer Sprache verfasst. Darin hat man sich zum Angriff bekannt und eine Entschlüsselung unserer Daten angeboten. Und dazu hatte man uns eine Kontaktadresse hinterlegt, die sich im Darknet befindet. Und dorthin sollten wir uns wenden.“
Der Insolvenzverwalter nimmt keinen Kontakt zu den Erpressern auf, er ist gut vorbereitet, hat funktionierende Back-ups und kann die eigenen Systeme innerhalb weniger Wochen wieder neu aufsetzen. Die Spuren der Ermittler deuten auf die Hackergruppe "Conti" hin. Die käme aus Russland, sagt Wissenschaftler Matthias Schulze:
„Bei denen wissen wir es. Weil deren interne Chatprotokolle geleakt wurden vor einiger Zeit. Und daraus konnte man rekonstruieren, dass die mit dem russischen Geheimdienst FSB in Verbindung standen und scheinbar auch gezielt Aufträge angenommen haben.
Das lässt sich nicht nachweisen auf einer Bezahlbasis oder Vertragsbasis, sondern man sagt ein Ziel, es wäre in unserem Interesse, wenn ihr westliche Unternehmen angreift und dann sagen die, okay, machen wir, aber welche wir dann machen und wie viel wir verdienen, ist unsere Sache.“
Deutschland durch den Krieg im Fokus
Mit russischen Hackergruppen befasst sich Thomas Uhlemann jede Woche. Er arbeitet bei der europäischen Cyber-Security-Firma Eset in Jena, die auch der ukrainischen Regierung hilft:
„Wir schützen immer noch einen Großteil der Infrastruktur der Ukraine. Und sehen da natürlich durch unsere eigene Telemetrie, was passiert. Und andererseits haben wir auch eine sehr gute Zusammenarbeit mit den CERTS – also den Computer Emergency Response Teams der ukrainischen, staatlichen Behörden.“
Auch Deutschland sei zunehmend im Fokus pro-russischer Hacker. Erst im Mai bekannte sich die Gruppe „Killnet“ dazu, die Internetseiten von Bundeskanzler Olaf Scholz, des Bundestages, der Bundespolizei und des Verteidigungsministeriums lahmgelegt zu haben. Durch sogenannte DDOS-Angriffe. Das sei aber wenige dramatisch, meint Uhlemann:
„DDOS-Attacken sind eher etwas für den Durchschnittskriminellen. Da vermuten wir eher den Bereich Hacktivismus dahinter. Das also pro-russische Organisationen, die gar nicht staatlich gelenkt sein müssen, ihre Mittel nutzen, um die Systeme anzugreifen. Aber in dem Bereich Cyberspionage, wo also Netzwerke langfristig ausgespäht werden und man auch versucht, sich lange unentdeckt in den Netzwerken zu bewegen, da haben wir eine ganze Reihe an Angriffen mittlerweile jetzt gesehen.
Das ist ein großes Thema für Behörden und Unternehmen. Gerade wenn sich Deutschland engagiert in der Verteidigung der Ukraine, finden das eben nicht alle gut auf der Welt und gerade pro-russische Akteure, haben dann natürlich Ziele, die sie versuchen anzugreifen bei uns.“
Ermittler rät Opfern: Bei der Polizei melden
Der Krieg hat auch Nachteile für die Strafverfolgung, erzählt Maik Schröder, Dezernatsleiter Cybercrime im Landeskriminalamt Mecklenburg-Vorpommern:
„Es erschwert natürlich die Ermittlungen, wenn wir keine Antworten bekommen und es wäre auch falsch, nicht darauf abzustellen, dass gerade der Ukraine-Russland-Konflikt immense Auswirkungen auf die eine oder andere Ermittlungshandlung hat. Weil nicht wenige Täter aus dem osteuropäischen Raum kommen. Und dort gerade andere Problemlagen vorherrschen, als Ermittlungsverfahren zu betreuen.“
Das LKA Mecklenburg-Vorpommern kümmert sich auch den Angriff auf den Landkreis Ludwigslust-Parchim. In einigen Bereichen wie deutsche Fake-Shops im Internet habe es zuletzt Ermittlungserfolge gegeben, aber im Bereich Ransomware, sei das schwierig: "Dort ist man ohne internationale Unterstützung eigentlich nur auf sich allein gestellt und es ist schwer möglich, Täter zu ermitteln."
Trotzdem rät der LKA-Ermittler immer dazu, sich nach einem Angriff bei der Polizei zu melden, was laut Umfragen 80 bis 90 Prozent nicht tun:
„Die Firma selber oder der Geschädigte hat einen großen Vorteil, indem er auf unseren Erkenntnisgewinn zurückgreifen kann. Sei es Entschlüsselungshinweise, die wir aus vergangenen Verfahren wissen, um einen schnelleren Betrieb wiederherstellen zu können. Andersherum erfahren wir durch die Daten, die bei dem Angriff erfolgt sind, wieder Hinweise auf die Täter und auf mögliche weitere Opfer.
Aktuell haben wir über 100 Firmen im Bundesgebiet warnen können, weil ihre IP-Adressen bei Täterkommunikation aufgetaucht sind und einige Firmen waren schon betroffen und anderen noch nicht und konnten Sicherheitsvorkehrungen treffen.“
Maik Schröder leistet inzwischen auch viel Präventionsarbeit für Firmen, damit die möglichen Schäden nach einem Angriff gering halten und schnell wieder an den Start gehen können. Das koste Geld, lohne sich aber im Schadensfall.
