Es beginnt meist mit einer beunruhigenden Botschaft auf dem Bildschirm: "Ihr Computer ist gesperrt." Oder: "Ihre Daten wurden verschlüsselt." Dahinter verbirgt sich eine oft fatale Nachricht für Unternehmen: Hacker sind ins firmeneigene IT-Netz eingedrungen und haben dieses lahmgelegt. Für das angegriffene Unternehmen bedeutet das: Ohne Schaden kommt es da nur schwer wieder raus. Cyberkriminalität ist längst zu einer Bedrohung für die gesamte Wirtschaft geworden.
Nach einer Befragung des IT-Branchenverbandes Bitkom im Oktober wurde gut die Hälfte aller Unternehmen in Deutschland binnen eines Jahres von Erpressern mit Schadsoftware angegriffen. In fast der Hälfte der Fälle entstand dabei ein Schaden – sei es durch Zahlung eines Lösegelds für die geklauten Daten, sei es durch den Verlust dieser Daten oder den Ausfall der IT. "Man kann davon ausgehen, dass jedes Unternehmen jeden Tag von kriminellen Hackern getestet wird", sagt Norbert Heuermann, Referatsleiter für Cybercrime bei der Kriminalpolizei Bremen. "Die Frage ist nicht ob, sondern wann Sie angegriffen werden." Die Selbstgewissheit mancher Firmenchefs, im eigenen Unternehmen gebe es für Kriminelle doch nichts zu holen, ist trügerisch, warnt der Ermittler. "Jeder hat etwas, das sich lohnt – und sei es nur die Personalliste." Auch mit gehackten Mitarbeiterdaten lassen sich Geschäfte machen.
Gezielte Attacken
Die Zahlen in der Kriminalstatistik zum Thema Cybercrime sind trügerisch, räumt Heuermann ein. Wurden Unternehmen in der Vergangenheit massenhaft und eher zufällig nach dem Phishing-Prinzip angegriffen, erfolgten die Attacken mittlerweile oft gezielt. "Spear Phishing" nennen die IT-Experten die neue Jagdmethode der Datenräuber – wie die Speerfischer haben sie es auf eine ganz bestimmte Beute abgesehen. "Die Fallzahlen können dadurch sogar runtergehen, aber die Schäden gehen in die Höhe", beobachtet Heuermann.
Die Täter, die meist im Ausland sitzen, gehen dabei professionell und arbeitsteilig vor: Einer besorgt den Zugang, der nächste sammelt Informationen über das Unternehmen, ein anderer stellt das Verschlüsselungsprogramm her. Sogar für einen Telefonservice mit dem erpressten Unternehmen wird gesorgt. "Die Tätergruppen kennen sich häufig gar nicht und trennen sich nach der Tat wieder", beschreibt Heuermann das Vorgehen.
Zugang finden die versierten Hacker mitunter über Sicherheitslücken in der Firmen-IT. Doch das größte Einfallstor für erfolgreiche Angriffe sind die Mitarbeiter eines Unternehmens. "Wir nennen das den ,Error 40'", sagt der Kripo-Mann, "der größte Fehler sitzt 40 Zentimeter vor dem Bildschirm." Ein angeklickter Link in einer Mail oder eine freundlich aufgehaltene Eingangstür für den unbekannten Besucher – und schon hat der Angreifer ein Schlupfloch gefunden.
Ermittler raten von Lösegeldzahlungen ab
Nach der Bitkom-Untersuchung sieht jedes neunte Unternehmen, das Opfer eines Hackerangriffs geworden ist, keinen anderen Ausweg, als das geforderte Lösegeld zu zahlen. Das ist aber keine Garantie, dass die Daten wieder freigegeben werden: Die Schadsoftware ist oft fehlerhaft programmiert – "die Daten sind schneller verschlüsselt als entschlüsselt", warnt der Krimimalpolizist Heuermann. Sowohl der Branchenverband als auch die Kripo raten grundsätzlich davon ab, zu zahlen.
Bei OHB Digital Services kennt man sich aus mit den Gefahren, die aus dem Cyber Space drohen. Bekannt ist das Bremer Familienunternehmen für seine Satelliten, die aus dem All die Erde erkunden, das Wetter verfolgen oder Navis mit Daten füttern. Diese Daten vor Störungen und Spionage zu schützen, ist in der Raumfahrt längst geübte Praxis. Mit seinem Tochterunternehmen Digital Services will OHB die Sicherheitsstandards aus dem All auf die Erde importieren.
"Die Angriffe haben dramatisch zugenommen", bestätigt Firmenchef Arne Gausepohl. Mit einem Informationstag für Unternehmen wollte das Tochterunternehmen der Bremer Raumfahrtgruppe kürzlich die Aufmerksamkeit auf die Gefahr aus dem Netz lenken. Doch die Anfragen kommen mittlerweile von ganz allein – auf Kundenfang muss das Unternehmen gar nicht gehen.
Warnung vor den Folgen
"Natürlich verursacht IT-Sicherheit für ein Unternehmen erst mal nur Kosten", räumt Gausepohl ein. Manch kleines Familienunternehmen schreckt davor zurück – "am Ende macht es dann doch der Neffe", beschreibt er die vielfach übliche Praxis. "Aber ein erfolgreicher Angriff auf die IT kann ein kleines mittelständisches Unternehmen bis in die Insolvenz führen", warnt Gausepohl. Wenn alle Kundendaten auf einmal weg sind und die Produktion still steht, geht es um die Existenz.
IT-Sicherheitsfirmen wie OHB Digital Services bieten eine ganze Palette von Dienstleistungen an: von der einfachen Beratung bis zum simulierten Großangriff auf die Server eines Unternehmens. Wer das Wettrüsten am Ende gewinnen wird? "Es ist wie mit dem Feuer", sagt Nikolas Rösener, Cybersicherheitsexperte bei OHB. "Eine Brandgefahr wird es immer geben. Aber man kann sie eindämmen und in den Griff bekommen – indem man sein Haus so baut, dass es nicht so leicht brennt."
