Angriffe aus dem Netz Wie Cyberwehren Hacker verjagen

Private Cyberwehren übernehmen das Kommando, wenn Geheimdienste Unternehmen angreifen – und spüren sie mit ungewöhnlichen Techniken auf. Ein Besuch bei den Eingreiftruppen.

Spürnasen im Cyberraum: Mit dem Donnergott Thor verjagen Stephan Kaiser (links) und Florian Roth Angreifer aus Fernost. Quelle: Christof Mattes für WirtschaftsWoche

Der Angriff bringt die Fabrik fast zum Stillstand. Und schlimmer noch: Nachdem eine Hackerbande einen vergessenen Server gekapert hat, schleust sie über diese Sicherheitslücke auch ein heimtückisches Spionageprogramm in die Produktionsanlage. Die Angreifer saugen sensible Daten des deutschen Autozulieferers ab und bieten sie im Darknet zum Verkauf. Ein paar Wochen ist der dramatische Fall her. Aufgeregt hat sich darüber kaum einer.

Anders als über die Cyberangriffe Petya oder WannaCry, bei denen Hacker kürzlich Computer quer über den Globus lahmlegten und Lösegeld für die Wiederherstellung der Daten forderten. So gerät aus dem Blick, wo die wirklichen Gefahren lauern. Während Cyberabwehrteams nach einem Streu-Angriff von Erpresserbanden den Unternehmensalltag meist binnen weniger Tage wieder herstellen können, müssen sie bei gezielten Spähattacken oft genug kapitulieren. Zu ausgeklügelt sind diese Angriffe. Hinzu kommt, dass es bei den Sabotage- und Spionageangriffen nicht nur um ein paar Hundert Euro Lösegeld geht. Sondern um die Existenz der Unternehmen. Auf 50 Milliarden Euro jährlich wird der so allein in Deutschland entstehende Schaden geschätzt.

Kein Wunder, dass bei besonders ausgefeilten Attacken Vorstände Hilferufe an private Spezialeinheiten absenden. Die Trupps sind eine Art Eliteeinheit für die digitale Brandbekämpfung, vergleichbar mit dem legendären Paul „Red“ Adair. Der berühmteste Feuerwehrmann der Welt erlangte bis in die Neunzigerjahre Heldenstatus. Er wurde immer dann gerufen, wenn sich eine Feuerkatastrophe kaum noch abwenden ließ. Tollkühn stürzte sich Adair etwa mit dem Flugzeug auf brennende Gasplattformen, um die Flammen durch den gezielten Abwurf von Sprengsätzen zu ersticken.

Angriffsziele von aufsehenerregenden Cyberangriffen

Die Helden, die in der digitalen Welt Katastrophen abwenden, arbeiten lieber im Verborgenen. Der WirtschaftsWoche haben die stillen Defensivkräfte erstmals einen Einblick in ihre Arbeit gewährt – und gezeigt, wie sie Angreifer aus IT-Systemen verjagen, wie sie deutschen Unternehmen bei der Rückgewinnung ihrer Datenhoheit helfen.

Die Büros von BFK EDV-Consulting liegen auf der dritten Etage des ehemaligen Postscheckamtes. Hier gehen die Notrufe von deutschen Banken und Industriekonzernen ein, wenn Geheimdienste oder kriminelle Hackerbanden in die IT-Systeme eindringen. Der Mann, der dann sofort mit seinem Rettungskoffer ausrückt, heißt Christoph Fischer. Der BFK-Gründer rast in einem Leihwagen zum Tatort. „Die Angreifer könnten Komplizen im Unternehmen haben“, sagt Fischer, da sei Unauffälligkeit erste Pflicht. Der Trupp verschafft sich einen ersten Überblick über die Bedrohungslage und baut ein Basiscamp auf. Spuren sichern und auswerten – mehr als einen speziell präparierten Laptop braucht Fischer für solch einen Erste-Hilfe-Einsatz nicht.

Später, wenn sich ein Verdacht bestätigt hat, bringt ein Kleintransporter das gesamte Equipment zum Einsatzort: tragbare Großrechner, Drucker, Kopierer, Faxgeräte, Router für den Aufbau separater, verschlüsselter Datenleitungen – Fischer legt Wert darauf, völlig unabhängig von den Ressourcen des Opfers zu arbeiten. Und auf eine eigene Kaffeemaschine: „Viel Kaffee ist wichtig“, sagt Fischer, „und gut muss er sein.“

Der 59-Jährige ist der Veteran der kleinen deutschen IT-Sicherheitsszene. Bereits vor 32 Jahren gründete er „quasi über Nacht“ die erste private Cyberfeuerwehr. 46 Mal ist Fischer seither ausgerückt – und bis auf drei Fehlalarme brannte es jedes Mal lichterloh. Die Namen seiner Kunden darf er nicht nennen. Vor jedem Einsatz unterschreibt er Geheimhaltungsklauseln; zu viel steht auf dem Spiel.

Geheimdienste, wahrscheinlich aus China, haben bereits Ölbohrtürme ausspioniert, um an Erkenntnisse zu neuen Ölfeldern zu gelangen. Andere Hacker attackieren im Auftrag von Nachrichtendiensten Banken, um die Finanzierungsquellen von Nichtregierungsorganisationen (NGOs) anzuzapfen. Fischer hat viel erlebt, hält in der Datenwelt nichts mehr wirklich für sicher und gesteht, „paranoid“ zu sein. Sein Verfolgungswahn geht so weit, dass er sich gerade seine eigene Software fürs Heim baut: „Vernetzten Haushaltsgeräten traue ich überhaupt nicht.“

Jeder Einsatz ist ein Ritt auf der Rasierklinge

Sein spektakulärster Fall? Der BFK-Chef kann sich kaum entscheiden: Hacker haben Videokameras in einem Rechenzentrum gehackt, damit sie beobachten können, wer dort ein und aus geht. Ein chinesischer Praktikant schlich sich sogar ins Unternehmen ein. Er druckte nachts Tausende von Seiten mit vertraulichen Informationen aus, bis die Druckertrommel heiß lief und er sie austauschen musste – durch eine intakte aus der benachbarten Fachhochschule.

„Relativ schnell können wir feststellen, ob es ein Fehlalarm ist oder das Unternehmen tatsächlich Opfer eines Spionageangriffs ist“, sagt Fischer. Erst im Ernstfall rücken Spezialisten nach, bauen eine eigene, verschlüsselte Verbindung zum hermetisch abgeschirmten Rechenzentrum in Karlsruhe auf. In Echtzeit wird der gesamte Datenstrom dann im Unternehmen aufgezeichnet, jedes Bit auf ein gut getarntes Spionageprogramm hin durchleuchtet. Alle verdächtigen Schnipsel werden in der aufgebauten Datenbank mit Schadprogrammen abgeglichen. Seine Sammlung von teuflischer Software benötigt inzwischen den riesigen Speicherplatz von sechs Petabyte. Eine gigantische Menge. „Ich bin Sammler und Jäger“, sagt Fischer. 1,1 Milliarden Proben aus aller Welt führt seine Datenbank. In jeder Sekunde kommen drei weitere Schadprogramme hinzu.

Für Fischer und sein Team ist jeder Einsatz ein Ritt auf der Rasierklinge. So schnell wie möglich soll er den Angreifer einkreisen und eliminieren – am besten, ohne dass die Gegenseite von ihm dabei Notiz nimmt. Fischers Einsätze laufen daher ab wie eine militärische Undercover-Operation. Und Fischer versteht sich als General. Nicht jeder Topmanager kommt damit klar, dass er für sich beansprucht, alle wichtigen Entscheidungen zu treffen.

Christoph Fischer rückt im Cybernotfall aus. Quelle: Christof Mattes für WirtschaftsWoche

Fehler unterlaufen vor allem den Unternehmen, die auf den Ernstfall nicht vorbereitet sind. Da laufen dann die Chief Information Officer und Sicherheitschefs nervös umher, weil ihnen Sicherheitslücken nachgewiesen werden könnten. Da vergehen Tage, bis alle Hausjuristen die Verträge mit Geheimhaltungsklauseln aufgesetzt haben. Manchmal schicken sogar Großinvestoren ihre Anwälte vorbei. Selbst die Betreiber oft ausgelagerter Serverparks mischen mit: Sie wollen mögliche Schadensersatzforderungen ausschließen, bevor sie sich an der Abwehrschlacht beteiligen. „Die erste Woche verschwenden viele Unternehmen mit Dingen, die man vorher hätte planen und üben können“, sagt Fischer. Andererseits: Was ist schon eine Woche? Manche Abwehrschlachten dauern mehrere Monate, manchmal sogar ein oder zwei Jahre. Zum Schluss stellt Fischer, ganz wie die Feuerwehr, eine Brandwache auf. Sie achtet darauf, dass der Angreifer nicht über eine neue Hintertür ins Unternehmen zurückkehrt.

Im 18. Stock des Mundsburg Centers genießt Bert Weingarten die Aussicht über die Hansestadt. Der 47-Jährige hat vor 19 Jahren die Sicherheitsfirma Pan Amp gegründet und sich auf die Fahndung im Internet spezialisiert. Wer ihn besucht, muss zuerst sein Smartphone abgeben. „Vorsichtsmaßnahme“, sagt Weingarten: Was in seinem Büro besprochen wird, ist auch für Geheimdienste interessant. Und die könnten das kleine Mikrofon in jedem Smartphone als Wanze missbrauchen.

Erst kürzlich, berichtet Weingarten, wollten professionelle Hacker in ein Unternehmen eindringen, um es zum Ziel von Leerverkäufen eines aggressiven Investors zu machen: Interne Geschäftszahlen sollten helfen, den Aktienkurs zum Absturz zu bringen. Weingarten konnte den Plan vereiteln.

Jetzt will er mit einem neuen Produkt eines der größten Probleme lösen, das jedes Unternehmen während eines Cyberangriffs plagt: dass intern und extern hinzugezogene Experten bei ihrer Abwehrschlacht kaum kommunizieren können. Jedes Mal, wenn Hacker in die Firmennetze eindringen, besteht die Gefahr, dass der E-Mail-Server infiziert ist, dass die gesamte Kommunikation mitgelesen oder manipuliert wird.

Forensic Cloud informiert über den Stand der Rettungsarbeiten

Auf welch absurde Ideen Unternehmen dann kommen, hat Weingarten schon erlebt: Bei einem Einsatz druckten die Mitarbeiter 240.000 Seiten mit Protokollen und Zugangsdaten aus, stapelten sie auf einen Teewagen und schoben sie in den Raum der Task Force. „Mit so einem Papierberg kann ich gar nichts anfangen.“

Weingarten hat eine Forensic Cloud entwickelt, die viel Vorbereitungszeit spart. Über diese Plattform kann die Einsatztruppe – sicher und abgeschottet von den infizierten IT-Systemen – kommunizieren und jederzeit weitere Spezialisten hinzuziehen. Auch Juristen und Wirtschaftsprüfer bekommen einen genauen Überblick über den Stand der Rettungsarbeiten. „Die Unternehmen wollen sehen, wie die Arbeit vorangeht und was es kostet“, sagt Weingarten.

In der Forensic Cloud können auch die aufgespürten Schadprogramme hochgeladen und bearbeitet werden – ohne zu riskieren, dass weitere Computer infiziert werden. Die verseuchten Dateien werden automatisch mit Mustern aus anderen Angriffen verglichen. Im Hintergrund greift dieses Fahndungssystem auf eine riesige Asservatenkammer zu, um den Angriff zu analysieren. „Das Unternehmen ruft bei uns an, und wir stellen das Team zusammen“, sagt Weingarten. „Will der Vorstand noch Experten für Compliance oder Datenschutz hinzuziehen, schalten wir die dazu. Zum Unternehmen braucht dann keiner mehr rauszufahren.“

Bert Weingarten hat vor 19 Jahren die Sicherheitsfirma Pan Amp gegründet. Quelle: Christof Mattes für WirtschaftsWoche

Ein Einfamilienhaus mit großem Garten und überdachter Terrasse mit Holzkohlegrill: Hier kämpft Stephan Kaiser, Geschäftsführer von BSK Consulting, manchmal bis tief in die Nacht. Das Erdgeschoss, insbesondere das Wohnzimmer, ist Kaisers Kommandozentrale; der Raum ist vollgestopft mit Rechnern und Monitoren. In der Mitte steht ein riesiger ovaler Tisch, an dem seine gesamte, inzwischen zehn Mitarbeiter umfassende Mannschaft Platz findet.

„Angreifer aus Fernost stehlen Daten und schädigen die deutsche Industrie“, sagt Kaiser: „Wir konnten da nicht länger wegschauen und haben eine eigene Lösung entwickelt.“ So entstand vor fünf Jahren die Idee, den nahezu unbesiegbaren Cyberhelden Thor zu bauen – einen „germanischen Gott“, der mit Blitz und Donner gegen die hinterhältigsten Angreifer austeilt. Seit 2016 ist Thor im Einsatz. Und seine Spürnase ist so gut, dass er aus einem Wust mit 20 Milliarden Fragmenten fünf herauspickt, die für ein Unternehmen gefährlich werden können: Thor ist auch eine Art Argus und durchleuchtet wie ein Scanner den gesamten Haufen. Gemeinsam mit dem IT-Spezialisten Florian Roth gründet Kaiser die Nextron Systems, die ab September den Einsatz von Thor steuert.

So wehren Sie sich gegen Erpressungssoftware
Ransomware Quelle: dpa
Wie-funktioniert-Ransomware? Quelle: dpa
Wie-verbreitet-ist-Ransomware? Quelle: dpa
Bestimmendes-Thema-in-Hilfe-Foren-und-Hotlines Quelle: dpa
Wie-kann-man-sich-davor-schützen? Quelle: dpa
Vorsicht-bei-Download-Portalen Quelle: dpa
Regelmäßige-Backups Quelle: dpa
Was-tun, wenn-es-doch-passiert-ist? Quelle: dpa
Betroffene-Festplatten-nicht-mehr-verwenden Quelle: dpa
Ransomware-identifizieren Quelle: dpa
Es-gibt-kein-Gegenmittel – und-nun? Quelle: REUTERS
Bezahlen-ist-keine-Lösung Quelle: dpa

„Stellen Sie sich einen Weihnachtsbaum mit 8000 Glöckchen vor“, erläutert Kaiser. Einige Glöckchen markieren Schwachstellen in den IT-Systemen. Die nächsten markieren Hintertüren, über die sich Angreifer einen zweiten Zugang verschaffen, falls die anfangs genutzte Schwachstelle mal geschlossen wird. Weitere Glöckchen markieren Werkzeuge, mit deren Hilfe sich die meist überaus vorsichtigen Angreifer in den Netzen und IT-Systemen bewegen und schließlich Daten stehlen oder manipulieren. „Die Wahrscheinlichkeit, dass der Angreifer bei jedem einzelnen Schritt Werkzeuge oder Methoden einsetzt, für die wir noch kein Glöckchen haben, ist nahe null“, sagt Kaiser.

Zuerst durchleuchtet Thor nur den ganz konkreten Verdacht. Bestätigen sich die Befürchtungen, wird die Fahndung ausgeweitet. Und damit fangen die Probleme erst an: Statt der erwarteten 1500 findet Thor plötzlich 3000 IT-Systeme im Netz eines global verzweigten Konzerns: „Wir bekommen selten vollständige Inventarlisten“, so Kaiser, „die meisten Kunden haben doppelt so viele IT-Systeme im Einsatz, wie sie glauben.“ Der Frust ist dann groß: Viele Cyberangriffe ließen sich verhindern oder schneller abwehren, wenn Unternehmen einen vollständigen Überblick über ihre IT-Systeme hätten. Solch eine Generalinventur liefert Donnergott Thor in Zukunft automatisch mit.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%