Berlin Die Hacker hatten sich in den IT-Systemen von ThyssenKrupp längst ausgebreitet, als der Industriekonzern zwei Monate nach der Infektion auf den Angriff aufmerksam wurde. Es folgte eine wochenlange Abwehrschlacht, um die Informationstechnik von der Schad- und Spionagesoftware Winnti zu befreien. Der Fall ist nur ein Beispiel aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland, den Bundesinnenminister Thomas de Maizière (CDU) und der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm am Mittwoch in Berlin vorstellen.
Der Angriff auf den Industriekonzern zeigt eindrücklich wie Schadsoftwares vorgehen. Die Hacker hinter Winnti werden eigentlich im asiatischen Raum vermutet, weil mit der Software dort zuletzt Online-Spiele attackiert wurden. Im vergangenen Jahr registrierte das BSI dann plötzlich mehrere Angriffe auf deutsche Unternehmen. Dabei ist das Ausmaß des Spionage-Schadens bei ThyssenKrupp nicht überschaubar. „Betroffen waren Daten, die den Tätern oder ihren Auftraggebern einen technologischen Vorteil hätten verschaffen können“, heißt es im Bericht des BSI unter Bezug auf das Unternehmen. Es sei aber unklar, ob ein Schaden etwa am geistigen Eigentum entstanden sei.
Drei Arten von Cyberangriffen machen dem Bericht zufolge der deutschen Wirtschaft gegenwärtig besonders zu schaffen. Neben Spionagefällen wie bei ThyssenKrupp, drohen Unternehmen finanzielle Verluste in Millionenhöhe durch Angriffe mit Ransomware oder der Chef-Betrugs-Masche, einer Art digitalem Enkeltrick für Buchhalter.
Unter Ransomware versteht man Schadcode, der den Zugriff auf Daten oder Anwendungen von Geräten einschränkt, etwa durch Verschlüsselung eine Festplatte. Die Freigabe erfolgt dann erst nach Zahlung eines Lösegelds. Der Begriff ist eine Kombination aus den englischen Worten für „ransom“ (Lösegeld) und „malware“ (Schadprogramm). Cyber-Kriminelle haben so eine lukrative Möglichkeit gefunden, in großem Umfang Geld zu erpressen, warnt BSI-Präsident Schönbohm. Für Firmen kann das besonders teuer werden. Die Lösegelder werden oft in digitalen Währungen wie Bitcoins gefordert.
Im Berichtszeitraum von Juli 2016 bis Juni 2017, fallen auch die internationalen Ransomware-Wellen Petya und WannaCry, die viele Schlagzeilen gemacht haben. WannaCry ließ Anzeigetafeln der Deutschen Bahn ausfallen und zeigte Erpressermeldungen an. In Großbritannien waren 60 Krankenhäuser betroffen, was auch Auswirkungen auf die Behandlung von Patienten hatte. Besonders perfide war ein Ableger von Petya, der im Dezember an Personalabteilungen deutscher Unternehmen geschickt wurde. Es handelt sich um gefälschte und infizierte Email-Bewerbungen. Das Anschreiben als PDF-Datei sah völlig normal aus, doch beim Klick auf eine beigefügte Excel-Tabelle verschlüsselten die Personalmitarbeiter ungewollt und unumkehrbar ihre Festplatte. Die folgende Lösegeldforderung hat laut BSI 1000 Euro betragen.
Um größere Summen geht es, wenn Cyberkrimelle die Chef-Masche ansetzen. Das Vorgehen hat viele Namen, im englischen Raum hat sich „CEO-Fraud“ durchgesetzt. Das Prinzip basiert auf dem Enkeltrick. Nur werden nicht ältere Damen am Telefon beschwatzt, sondern Buchhalter mit manipulativen Emails zur Überweisung großer Summen bewegt. So unwahrscheinlich das klingt, die Masche ist ausgesprochen erfolgreich. Bei mehreren Unternehmen in Deutschland und Österreich kam es zu Abflüssen von rund 40 Millionen Euro. Die Zentral- und Ansprechstelle Cybercrime, kurz ZAC, bei der Staatsanwaltschaft Köln, ermittelt inzwischen in fast 160 Fällen. Der Schaden beträgt 56 Millionen Euro. Wäre es den Banken nicht gelungen einige Transfers in letzter Sekunde zu stoppen, wären sogar bis zu 150 Millionen verschwunden.
Dabei gehen die Täter geschickt vor: Beim CEO-Betrug wird in besonderem Maße Zielaufklärung betrieben, heißt es im BSI-Bericht. Dazu gehöre „die Beschaffung von Informationen über Unternehmen und Mitarbeiter“ über öffentliche Quellen wie Unternehmenswebsites, Presse- und Börsenmitteilungen, Einträge in den sozialen Medien und im Handelsregister. Mit diesem Wissen gibt sich der Angreifer dann als CEO oder anderes Mitglied der Geschäftsführung aus, verwickelt die Buchhalter in einen Email-Dialog und bittet sie schließlich um Überweisungen. „Social Engineering“ nennen Experten das Vorgehen. Das BSI empfiehlt Buchhaltern zur Sicherheit immer den persönlichen Kontakt, bevor sie größere Summen anweisen.
Die Zahl der Spionage-Angriffe auf Unternehmen ist zwar seit Anfang 2016 etwas zurückgegangen, hat dann aber Mitte des Jahres wieder erheblich zugelegt. Bei der Cyberspionage fiel dem BSI auf, dass bekannte und berüchtigte Hackerformierungen wie APT28 nur selten bei Unternehmen eindringen. Die mutmaßlich russische Gruppierung, die auch als „Fancy Bear“ oder „Sofacy Group“ bezeichnet wird, hatte im Frühjahr 2015 die IT des Bundestags angegriffen und mehrere Gigabyte Daten erbeutet. „Abgesehen von Rüstungsunternehmen scheinen sich diese Gruppen vorrangig auf Regierungseinrichtungen und politische Organisationen zu konzentrieren“, schreibt die Behörde.
Hauptangriffsmethode vieler Hacker war im vergangenen Jahr aber wieder der Klassiker: Der infizierte Email-Anhang. Auch Dive-by-Angriffe mit Hilfe manipulierter Websites sind üblich. „Ransomware für Mobilplattformen wird überwiegend vom Nutzer selbst installiert oder als legitime App getarnt über alternative App-Stores verteilt“, warnt das BSI. Das alles ist schon länger bekannt. Ein neuer Angriffsweg sei hingegen die Ausnutzung von Software-Schwachstellen über das Internet und in lokalen Netzen zur initialen Infektion und Weiterverbreitung der Ransomware.
Sorgen macht der deutschen Cyberabwehr neuerdings auch das „Internet der Dinge“. Es entwickle sich immer mehr zu einer Gefahrenquelle, denn die IT-Sicherheit spiele derzeit weder bei Herstellung noch bei der Kaufentscheidung der Kunden eine ausreichende Rolle. Um es vereinfacht auszudrücken: Wenn Kühlschränke, Heizungen oder Lampen mit dem Internet verbunden sind, müssen sie auch mit Antivirensoftware ausgestattet sein. Sonst werden sie für Hacker zur leichten Beute.
Wie profane Alltagsdinge so manipuliert werden, dass es tödlich enden könnte, zeigt ein anderes Beispiel aus dem BSI-Jahresbericht. So erhielt die Behörde im August 2016 einen Hinweis auf eine Sicherheitslücke bei Baustellenampeln. Die Geräte waren aus dem Internet erreichbar und vergleichsweise einfach zu manipulieren. „Eine Übernahme und Steuerung der Ampeln war grundsätzlich denkbar“, schreibt das BSI. Immerhin kann die Behörde in diesem Fall entwarnen. Die Sicherheitslücke wurde geschlossen, bevor es zu einem Unfall kommen konnte.
