"Nehmen Sie diese Warnung bitte sehr ernst"
07:07 Minuten
Digitale Attacken auf Unternehmen nehmen zu. Auch die sogenannte kritische Infrastruktur - also Wasserwerke, Stromkonzerne, Speditionen oder Bahnunternehmen - ist davon betroffen. Wie gefährlich sind solche Cyberangriffe und was können wir dagegen tun?
"Nehmen Sie diese Warnung bitte ernst, sehr ernst."
Fast flehentlich klangen die Worte von Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik, als er Mitte März eine Sicherheitswarnung vor gleich mehreren Sicherheitslücken des Exchange‐Servers von Microsoft bekanntgab. Die IT‐Infrastruktur in Deutschland sei hochgradig gefährdet, hieß es. Das Bundesamt für Sicherheit in der Informationstechnik verhängte "Alarmstufe Rot", die höchste Gefährdungsstufe, die wir in Deutschland kennen.
Zehntausende Unternehmensnetzwerke waren infiziert und mussten mühselig bereinigt werden. In einigen Fällen dauern die Reparaturarbeiten noch immer an. In mehreren Betrieben stand für einige Zeit die Produktion still.
Unentdeckte Schadsoftware in Unternehmensnetzwerken
Manuel Atug, Sicherheitsexperte beim Security‐Unternehmen Hisolutions AG, mahnte: "Die betroffenen Systeme sollten also dringend gepatched und vor allem auch auf Kompromittierung untersucht werden. Updates schließen zwar die Lücke, aber beseitigen keine bereits erfolgte Infektion."
Bis heute sind aber immer noch sehr viele Systeme in Deutschland nicht abgesichert. Schadsoftware schlummert unentdeckt in tausenden von Unternehmensnetzwerken. Gut zwei Monate vor Arne Schönbohms dringlicher Sicherheitswarnung, im Januar dieses Jahres, hatten Kriminelle über eine System‐Managementsoftware 300.000 große Unternehmen und Organisationen weltweit angegriffen, darunter viele in Deutschland. Einige dieser Unternehmen waren und sind in der Pandemie‐Bekämpfung unentbehrlich. Von anderen Unternehmen hängt die alltägliche Versorgung der Bürger mit Wasser, Strom, Bargeld und Lebensmitteln ab.
Informatik-Professor: "Wir müssen mit Angriffen rechnen"
Der Informatik‐Professor Hartmut Pohl hat diesen Angriff genauer untersucht und urteilt: "Die Wasserwerke, die Telekommunikationsanbieter, die Pharmaunternehmen – wir müssen damit rechnen, dass alle diese Unternehmen, nicht nur eine Hintertür eingebaut bekommen haben, sondern wir müssen damit rechnen, dass diese Unternehmen angegriffen werden."
Im Juli dieses Jahres gab es einen weiteren Großangriff, erneut mit massiven Schäden. Die kriminelle R‐Evil‐Gruppe verbreitete im Juli über die Systemmanagement‐Software des amerikanischen IT‐Dienstleisters Kaseya Erpressungstrojaner. Mit neuen Software‐Versionen, die über die Kaseya‐Verwaltungssoftware ausgeliefert wurden, gelangte der Erpressungstrojaner in die Unternehmensnetzwerke, auch in Deutschland. Die Systemadministratoren mussten teilweise hilflos zuschauen, wie ihre Systeme verschlüsselt und damit unbrauchbar gemacht wurden.
Informatik‐Professor Pohl erläutert warum: "Ohne eine solche Verwaltungssoftware kommen sie ja nicht mehr aus. Sie haben riesige Netze, Sie haben lokale Netze, Sie haben Teilnetze in Unternehmen, die verknüpft sind. Ohne Verwaltungssoftware geht das nicht, ganz ohne Management‐Software geht das gar nicht mehr. Der Anknüpfungspunkt ist: Die Software muss sicherer sein! Und da muss ich sagen, das, was wir heute einsetzen, ist ja völlig unsicher."
Erbeutung sensibler Firmendaten
Die Kriminellen hinter dieser Attacke waren diesmal schnell identifiziert. Die R‐Evil‐Gruppe ist in drei Geschäftsbereichen tätig: Sie spioniert Unternehmensnetzwerke aus und erbeutet dabei sensible Firmendaten. Von den betroffenen Unternehmen fordert sie ein Schweigegeld. Sie drohen damit, die sensiblen Firmendaten zu veröffentlichen, wenn nicht gezahlt wird.
Zum zweiten schleusen sie in die gut ausgekundschafteten Computernetzwerke Erpressungssoftware, verschlüsseln die Daten auf den Festplatten und fordern für die Entschlüsselung ein Lösegeld.
Der dritte Geschäftsbereich ist in der Vergangenheit rasant gewachsen und hat der Gruppe satte Gewinne eingebracht: Das Geschäft mit Lizenzen für Schadsoftware, um Unternehmen zu erpressen. Einer, der die Gruppe gut kennt und auch die Kaseya‐Attacke sehr intensiv analysiert hat, ist der Sicherheitsforscher Assaf Dahan, der beim Security‐Unternehmen Cybereason arbeitet. Zuvor war Dahan bei der IT‐Einheit 8200 der israelischen Armee tätig. Assaf Dahan.
"Sie bieten Ransomware als Service, das heißt sie betreiben eine Plattform für Verschlüsselungstrojaner. Wenn jemand in dieses Erpressergeschäft einsteigen will, muss er die Schadsoftware nicht selbst programmieren und eigene Server aufsetzen, sondern er schließt einen Lizenzvertrag und wird Partner."
Veröffentlichung von Sicherheitslücken gefordert
Die R‐Evil Gruppe ist einer der bedeutendsten Konzerne der organisierten Kriminalität. R‐Evil betreibt seine kriminellen Geschäfte weltweit, operiert hauptsächlich von Russland aus. Egal ob Partner der R‐Evil‐Gruppe oder Mitglied einer anderen Gruppe der Organisierten Kriminalität: Alle diese digitalen Angriffe sind nur möglich, weil es Sicherheitslücken gibt, die sie ausnutzen können.
Sicherheitslücken entstehen, weil Programmierer Fehler machen, wie alle Menschen. Diese Fehler, diese Sicherheitslücken müssen dann schnell erkannt und geschlossen werden. Das werden sie aber nicht.
Deshalb fordert IT‐Experte Pohl: "Die Sicherheitslücken müssen veröffentlicht werden. Das ist unverzichtbar. Wir bleiben sonst sitzen und sitzen auf einem Pulverfass, ja."
Und wir sitzen weiterhin auf einem Pulverfass, weil Regierungen Gesetze und internationale Absprachen über die Veröffentlichung von Sicherheitslücken verweigern. Denn auch deren Militärs und deren Geheimdienste brauchen Sicherheitslücken, um Spionage und digitale Angriffe vornehmen zu können. Sie verhindern, dass Sicherheitslücken veröffentlicht und geschlossen werden.
Gesamtstrategie für IT-Sicherheit fehlt
Solange die effektive Bekämpfung von Sicherheitslücken nicht Bestandteil einer Cyber‐Sicherheitsstrategie ist, ist es für Kriminelle ein lukratives und wenig riskantes Geschäft, Unternehmen anzugreifen. Eine Meldepflicht für Sicherheitslücken wurde trotz mehrfacher Forderung fast aller Sicherheitsexperten aus dem IT‐Sicherheitsgesetz einfach wieder herausgestrichen.
In Sachen IT‐Sicherheit fehlt, wie in der gesamten Digitalisierungspolitik, einfach eine Gesamtstrategie, meint Dr. Johannes Ludewig, Mitglied des Normenkontrollrates, eines Beratungsgremiums der Bundesregierung. "Wir haben ja bis heute kein Gesamtkonzept, wie eigentlich in fünf oder zehn Jahren diese Landschaft eigentlich aussehen soll. Wer denkt eigentlich über Strategien nach?"