Gefahr aus dem Netz – Was Unternehmen gegen Hacker-Angriffe tun können

Erst Tegut, kurz danach Waschbär: Hackerangriffe treffen nicht nur große Konzerne. Jedes Unternehmen kann zum Ziel von Cyberkriminellen werden. Spätestens nach den Attacken auf den Lebensmittelhändler und den Online-Versender von Öko-Artikeln sollten sich auch alle Vertreter der Naturkost- und Naturwarenbranche fragen, wie gut sie vor solchen Attacken geschützt sind, ihre Systeme kontrollieren und gegebenenfalls nachbessern. Das kostet Geld, doch staatliche Stellen bieten neben technischer auch finanzielle Unterstützung im Kampf gegen Angriffe aus dem Netz.

Nichts tun kann dramatische Folgen haben. Tegut musste die Warenversorgung auf manuelle Prozesse umstellen, Firmeninterna landeten im Darknet. Sowohl in den traditionellen als auch in den vollautomatisierten Teo-Märkten kam es nach Angaben eines Sprechers zu Lücken in den Regalen. Bei Waschbär ging zeitweise gar nichts mehr. Der E-Mail-Verkehr funktionierte nicht, Bestellungen und Retouren konnten nicht bearbeitet werden.

Schlimmstenfalls kann eine digitale Attacke das wirtschaftliche Aus bedeuten. Der Verein „Deutschland sicher im Netz“ hat Unternehmen befragt. Demnach sind mehr als die Hälfte in ihrer Existenz gefährdet, wenn sensible Daten im Zuge eines Cyberangriffes verloren gehen. 46 Prozent der befragten Unternehmen gaben an, mindestens einmal Ziel einer Attacke geworden zu sein.

Das Bundeskriminalamt (BKA) zeigt im Cybercrime Bundeslagebild 2020 die aktuelle Situation auf. Demnach wurde vergangenes Jahr jedes vierte bis fünfte Unternehmen mit mehr als 500 Mitarbeitern Opfer eines Ransomware-Angriffs, bei dem die Hacker Daten ihres Opfers verschlüsseln und erst nach Zahlung eines Lösegelds wieder freigegeben. Jedes neunte kleine Unternehmen war ebenfalls betroffen.

Rund 108.000 Delikte hat das BKA 2020 registriert. Das ist ein Plus von 7,9 Prozent gegenüber 2019. Die Aufklärungsquote lag bei 32,6 Prozent. Allerdings geht das Amt von einer hohen Dunkelziffer aus.

Und es wird für Hacker immer einfacher. Kriminelle, die nicht das nötige technische Wissen für einen Angriff haben, kaufen es sich im Internet. Cybercrime-as-a-Service, Cyberstraftaten als Dienstleistung, heißt das. Der moderne Verbrecher macht das, was Beratungsunternehmen der Industrie seit Jahrzehnten empfehlen: Er sourct aus. Die Globalisierung erleichtert das Geschäft. Einzelne Experten machen, was sie am besten können, vom Anmieten von Servern über die Programmierung der Schadsoftware bis hin zur Geldwäsche.

Nach wie vor auf dem Spitzenplatz der Attacken ist Ransomware. „Von allen Modi Operandi im Phänomenbereich Cybercrime besitzt Ransomware das höchste Schadenspotenzial“, warnt das BKA. Zahlt das Opfer nicht, finden sich im Internet andere Interessenten, die die Daten gerne erwerben. Auch bei Tegut war der Hackerangriff nach Angaben eines Firmensprechers mit Forderungen verbunden. Aus ermittlungstaktischen Gründen macht das Unternehmen derzeit keine weiteren Angaben zu dem Fall. Ebenfalls beliebt sind DDoS-Angriffe, bei denen die IT des Opfers lahmgelegt wird, indem es Ziel vieler Anfragen und damit überlastet wird.

Hier gegenzuhalten ist Aufgabe von Profis. Wer versucht, sein Unternehmen nebenher oder mit Halbwissen zu schützen, wird scheitern. Das BKA verweist auf Angaben des IT-Sicherheitsdienstleisters AV. Der hat 2020 circa 314.000 neue Malware-Programme registriert – pro Tag.

Das Thema IT-Sicherheit ist heikel. Große Branchenvertreter wie Bodan, Rapunzel oder Alnatura äußern sich auf Anfrage nicht zu ihren Maßnahmen. Verständlich, schließlich will niemand einen potenziellen Angreifer auf die Idee bringen, bei ihm vorbeizuschauen.

Der Bio-Supermarkt und Online-Shop-Betreiber Paradieschen hat bislang Glück gehabt. „Bisher erreichen uns nur Phishing E-Mails“, sagt Geschäftsführer Mario Blandamura. Phishing-E-Mails sehen auf den ersten Blick seriös aus, enthalten jedoch Links oder Anhänge, über die Cyberkriminelle Schadsoftware auf einen Rechner aufspielen können. Blandamura sagt, er habe deswegen die Polizei eingeschaltet, allerdings „ohne Ergebnis“. Dennoch war das der richtige Schritt. Zuständig ist die örtliche Polizeidienststelle. Die nimmt die Anzeige auf und übergibt den Fall an eine spezialisierte Abteilung.

Bei einer Anzeige sollte der Unternehmer auch gleich die Daten des IT-Verantwortlichen mitliefern. „Dann können die Kollegen sofort Kontakt aufnehmen und erste Sicherheitsmaßnahmen besprechen, Zeitvorsprung ist wichtig“, erklärt Oliver Barnert, Sprecher beim Polizeipräsidium München.

Eine Anzeige hat – anders als in Filmen häufig dargestellt – nicht zur Folge, dass eine Heerschar von Polizisten in die Unternehmensräume strömt und die IT sicherstellt. „In der Regel kommen ein oder zwei Kollegen vorbei, ziehen eine Sicherungskopie und arbeiten dann von ihrem Büro aus“, sagt Barnert. Die Polizei leitet nicht nur die Strafverfolgung ein, sie begleitet das Unternehmen auch durch den Prozess und berät, wie die IT sicherer gestaltet werden kann.

Erschwerend kommt für Ermittler und Unternehmer hinzu, dass die globale Vernetzung es Kriminellen leicht macht. Der traditionelle Ladendieb hat immer nur eine Zugangsmöglichkeit: die Ladentür. Im Internet kann es auch der Online-Shop sein, muss es aber nicht. Es existieren viele Umwege. „Oftmals nutzen Cyberkriminelle die Lieferkette des Unternehmens oder die IT-Systeme des Partners oder IT-Dienstleisters aus, um das eigentliche Ziel zu kompromittieren“, warnt das BKA. Oder ein gekündigter Mitarbeiter installiert an seinem letzten Arbeitstag eine Schadsoftware.

IT-Sicherheitsdienstleister wie Secunet Security Networks bieten unter anderem an, IT-Infrastrukturen auf Schwachstellen zu prüfen. Die Experten versuchen dann, von außen ins System zu gelangen. Oder sie verkleiden sich als Elektriker und kommen bei mangelhaften Sicherheitsvorkehrungen auf diese Art ins Unternehmen und an die IT.

Patrick Franitza, Pressesprecher bei Secunet, erinnert sich an einen Fall, bei dem ein Team eigentlich im Gebäude einer Firma die IT-Sicherheit kontrollieren sollte. Als sie auf den Firmenparkplatz fuhren, bemerkten sie Überwachungskameras, die über Netzwerkkabel angeschlossen waren. „Also holten sie eine Leiter, klemmten die Kamera ab und schlossen ihren Laptop an und gelangten so bis ins Innerste der Firmen-IT“, erinnert sich Franitza. Das sei zwar sicherlich ein Ausnahmefall, der aber sehr gut die Folgen falscher Konfigurationen zeige. IT-Sicherheit müsse immer ganzheitlich betrachtet werden, um sich umfassend zu schützen.

Hilfe bekommen Unternehmer nicht nur bei privaten Unternehmen. Die Kriminalprävention der Polizei berät ebenfalls. Der Handelsverband Deutschland (HDE) ist Mitglied in der Allianz für Cyber-Sicherheit (ACS), einer Initiative des Bundesamts für Sicherheit in der Informationstechnik. „Handelsunternehmen können unkompliziert und kostenfrei der ACS beitreten und von deren Netzwerk- und Fortbildungsmöglichkeiten profitieren“, heißt es beim HDE.

Auch die Industrie- und Handelskammern (IHK) sind eine Anlaufstelle. Betriebe benötigen IT-Kenntnisse um ein Mindestniveau an technischer IT-Sicherheit zu erreichen, erläutert Bernhard Kux, IT-Sicherheitsexperte bei der IHK für München und Oberbayern. „Wenn dieses Kenntnisse, wie es gerade bei kleineren Firmen ohne eigene IT-Abteilung häufig der Fall ist, nicht vorhanden sind, benötigt man einen Dienstleister für Firewalls, Updates, Backups.“ Für eine erste Analyse empfiehlt er den Sec-o-mat. Dort erhalten Unternehmer nach Eingabe einiger Daten einen Plan für erforderliche Sicherheitsmaßnahmen.

Sec-o-mat wird vom Bundesministerium für Wirtschaft und Energie (BMWI) gefördert und ist Bestandteil der Transferstelle IT-Sicherheit im Mittelstand für kleine und mittlere Unternehmen, Handwerker und Freiberufler. Das Ministerium verweist zudem auf 26 sogenannte „Mittelstand 4.0-Kompetenzzentren“ für Hilfesuchende.

Klar ist, Sicherheit kostet Geld. Auch im IT-Bereich. Der Staat unterstützt Unternehmer bei der Verbesserung der Datensicherheit auch finanziell. „Interessant ist hier, dass es neben den zwei Bundesprogrammen auch Fördermittel der Länder geben kann, wie in Bayern den Digitalbonus – diese Programme schauen aber in jedem Bundesland verschieden aus“, weiß Kux.

Auf Bundesebene hilft unter anderem das vergleichsweise neue Investitionszuschussprogramm „Digital Jetzt“. Das BMWI fördert unter anderem „Investitionen in IT-Sicherheit sowie damit häufig verbundene Aspekte des Datenschutzes mit insgesamt bis zu 50.000 Euro für Einzelunternehmen beziehungsweise bis zu 100.000 Euro in Wertschöpfungsketten und -netzwerken“, heißt es dazu in Berlin.

Wer auf Nummer sicher gehen will, kann sich gegen Hackerangriffe auch versichern. Das verhindert zwar nicht die Attacken. Im Falle eines erfolgreichen Angriffs ersetzt der Versicherer aber zumindest einen Teil des finanziellen Schadens. „Was eine Cyber-Versicherung kostet, ist vom Umsatz des Unternehmens abhängig“, erläutert Jürgen Haux vom Konzern Versicherungskammer. Voraussetzung sind allerdings Mindestanforderungen an die IT-Sicherheit. Und das heißt, wer sich nicht damit beschäftigt, steht im schlimmsten Fall vor dem Ruin.