Schrift:
Ansicht Home:
Wirtschaft

Cyberangriffe auf Unternehmen

Ein Hack, eine versetzte Schweißnaht - fatale Folgen

Spionage, Patentdiebstahl, Sabotage: Unternehmen geraten durch Cyberangriffe immer stärker in Bedrängnis. Viele wissen um die Gefahr - und doch tut kaum einer etwas dagegen.

Michael Walter / DER SPIEGEL
Von
Donnerstag, 30.11.2017   13:01 Uhr

IT-Experten beantworten die Frage, wie gut deutsche Unternehmen gegen einen Cyberangriff gesichert sind, gerne so: "Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht."

Der Ausspruch stammt eigentlich von dem früheren FBI-Direktor James Comey. Drei Jahre ist es her, dass er ihn äußerte. Seine Worte sind nach wie vor aktuell.

Denn zur ersten Art von Unternehmen gehören zum Beispiel schon all jene, die im Sommer Opfer der Massenangriffe mit WannaCry oder Petya/NotPetya wurden: mit Schadprogrammen also, die weltweit Computer befielen und Produktionsstraßen, Hafenanlagen, Bahnanzeigen oder ganze Krankenhäuser lahmlegten und erst gegen Zahlung von "Lösegeld" wieder freigaben. Solche Ransomware wird kontinuierlich weiterentwickelt. Mittlerweile sind mehr als zehn Millionen Varianten bekannt:

230.000 Unternehmen waren weltweit laut Europol von diesen Attacken betroffen. Allein im vergangenen Jahr verursachten Cyberangriffe weltweit Schäden in Höhe von bis zu 450 Milliarden Dollar - davon 65 Milliarden bei Unternehmen in Deutschland. Das ist die eine Art von Unternehmen, diejenigen, die von einem Angriff wissen, vielleicht daraus gelernt haben - und sich künftig besser schützen werden.

Gefährdet sind aber vor allem jene, die "noch nicht wissen, dass sie gehackt wurden", wie Comey sagte. In Deutschland gaben in einer Umfrage 56 Prozent der Firmenchefs an, in ihren Unternehmen gebe es keine konkreten Hinweise auf Cyberangriffe oder einen Datendiebstahl. Weil sie so sicher sind? Oder einfach unwissend?

Der digitale Kontrollverlust

Wer wissen will, in welcher Form Unternehmen schon angegriffen wurden, welche Schäden entstanden sind oder wie sie sich zu schützen versuchen, stößt auf Schwierigkeiten. Reden will darüber eigentlich niemand, schon gar nicht, wenn die eigene Firma betroffen ist, war oder sein könnte. Die vielen Gespräche, die der SPIEGEL mit Firmen, IT-Spezialisten und Sicherheitsbeauftragten geführt hat, fanden fast immer unter einer Bedingung statt: keine Namen.

Die Geheimnistuerei ist insofern einigermaßen unverständlich, als alle Beteiligten versichern, sie wünschten sich mehr öffentliche Aufmerksamkeit für das Thema. Der Leidensdruck steigt mit der Zahl der erfolgreichen Attacken gegen Unternehmen: Daten und Informationen werden gestohlen, Produktionen lahmgelegt, Betrügereien umgesetzt, Geld erpresst. Und die Behörden, Verbände und Firmen sind weitgehend hilflos: "Es gibt keine hundertprozentige Sicherheit", heißt es lakonisch. Es scheint wie bei Wohnungseinbrüchen oder Terroranschlägen, der Staat ist ziemlich ohnmächtig.

DPA

Cyberangriff mit der Ransomware Petya/Not Petya

Ein kleiner Maschinenbauer in Süddeutschland: ein unscheinbares Unternehmen mit einem unspektakulären und eher analogen Produkt. Allerdings ist die Firma auf ihrem Gebiet ein Hidden Champion, ein Weltmarktführer, ihr Wissen weltweit begehrt. "Wir würden einen Angriff oder Hack selbst gar nicht bemerken", sagt der IT-Sicherheitschef, denn die Firewall, den Schutz nach außen, hat er an die Telekom vergeben - und die informiert darüber nicht.

Aber "merkwürdige Vorkommnisse" gebe es immer wieder. So tauchten zuweilen neue Programme auf den Firmengeräten auf, gerade auf Mobilgeräten oder Laptops der Mitarbeiter im Außendienst. Immer wieder schlüpften auch E-Mails durch die Firewall, die im Anhang eine Schadsoftware transportierten. Bisher habe man wohl jede verdächtige Software entdeckt, hofft der IT-Chef. Sicher ist er nicht: "Den Daten sieht man ja nicht an, ob sie kopiert wurden." Als wirklich gefährdet sieht er seine Firma nicht an: "Wir sind nicht so wichtig, dass man uns gezielt angreifen würde."

Ist das so?

Nach Erkenntnissen des Bundesamts für Verfassungsschutz sind gerade jene kleinen und mittleren Unternehmen, die stark in Forschung und Entwicklung investieren, das bevorzugte Ziel von Spionageattacken fremder Nachrichtendienste und Ausspähungen durch Konkurrenten. 60 Prozent aller "Hidden Champions" haben ihren Sitz in Deutschland. Und sie stecken in einem Dilemma.

Einerseits werden sie dazu gedrängt, schneller und umfassender zu digitalisieren, Industrie 4.0 heißt das Trendwort. Bürocomputer, Produktionsanlagen, Logistikunternehmen, Roboter, Wartungsfirmen, Hersteller - alles soll künftig miteinander kommunizieren. Der IT-Branchenverband Bitkom veranstaltet "Roadshows", um dafür zu werben. Andererseits klagen viele Unternehmen darüber, dass sie mit den Problemen alleingelassen werden. Die Sicherheitsfrage, so heißt es auch bei Bitkom, sei der zweite Schritt.

Ob das so klug ist?

Digitalisiert sind die deutschen Unternehmen nämlich schon heute in einem erheblichen Maß. Das Internet ist für die Kommunikation mit Kunden, Auftragnehmer, Lieferanten oder Logistikunternehmen unverzichtbar. Die Produktionsanlagen werden von Computern gesteuert, vielfach kommunizieren sie miteinander und meist auch noch mit den Herstellerfirmen, die per Fernwartung nach Fehlern suchen oder Systemaktualisierungen aufspielen können.

DPA

Vernetzte Roboter in der Autoproduktion sind ein großes Risiko

Doch vernetzte Roboter sind ein großes Risiko: Werden sie angegriffen, steht die Produktion still. So stoppte die Ransomware WannaCry die Bänder des Autoherstellers Renault. Gerade bei den Zulieferern in der Autobranche laufen viele Systeme noch mit Windows XP, dessen Sicherheitslücke WannaCry nutzte. Das Betriebssystem kam 2001 auf den Markt, es läuft zuverlässig auch auf älteren Computern und Maschinen, auch auf vielen Geldautomaten. Allerdings unterstützt Microsoft das System seit Januar 2016 nicht mehr. Es gibt keinen Technik-Support und normalerweise auch keine Sicherheitsaktualisierungen. Ein Traum für Hacker. So verbreitete sich der Trojaner Petya/NotPetya auf besonders perfide Art und Weise: Er war im Update einer Buchhaltungssoftware enthalten.

Nicht einmal die Finanzbranche scheint gut gerüstet für die digitale Bedrohung: "Unsere IT-Prüfungen in Banken enden meist mit einem verheerenden Ergebnis - kein Institut schnitt bisher besser als mit der Schulnote vier ab", hieß es jüngst bei der Bankenaufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin). Auch die Banken nehmen die Bedrohung durch Cyberangriffe offenbar nicht ernst genug.

Gefahr für Leib und Leben

Aus einem IT-Sicherheitsproblem kann unter Umständen aber auch eine Gefahr für Menschen werden. Schon jetzt gibt es Industrieroboter, die mit Menschen zusammenarbeiten. Manipulationen an der Software der Maschinen könnte zu Verletzungen führen. Deutsche Maschinenbauer alarmiert diese Möglichkeit der "virtuellen Kriegsführung", zu der besonders ehrgeizige Konkurrenten in einem harten internationalen Wettbewerb greifen könnten. Vorstellbar und verheerend für das Renommee des Unternehmens, erzählt ein Sicherheitsexperte, wäre etwa die Manipulation eines Roboters in der Automobilproduktion: Eine um wenige Zehntel Millimeter versetzte Schweißnaht könnte zu schweren Unfällen führen.

Ein begabter Hacker mit entsprechender technischer Ausrüstung dürfte zwar in so gut wie jedes Firmennetzwerk eindringen können, wenn er genügend Zeit, Geld und Energie er darauf verwendet. Am einfachsten und schnellsten aber geht es über die Mitarbeiter. Das Ausnutzen menschlicher Schwachstellen im System läuft unter dem Begriff Social Engineering, frei übersetzt: Sozialmanipulation.

Bei einem weltbekannten deutschen Maschinenbauer rief beispielsweise ein angeblicher Headhunter einen Mitarbeiter an und bot ihm eine attraktive Stelle. Im Laufe des Gesprächs wurde der vermeintlich Umworbene so lange ausgefragt, bis er misstrauisch wurde. Mit solchem Wissen über Aufgabengebiete, Zuständigkeiten oder gar Zugriffsrechte lässt sich schon viel anfangen.

Trojaner-Mail mit Betreff "Vorschläge zum Personalabbau"

Auch E-Mails sind ein beliebtes Mittel, um in einem zweiten Schritt dann Späh- oder Schadprogramme ins Unternehmensnetzwerk einzuschleusen. Diese sind in der Regel sorgfältig gestaltet. Die Absenderadresse stammt ganz offensichtlich aus dem Unternehmen, die Signaturen sind korrekt, die üblichen Anredeformeln stimmig. Und wer würde nicht - wie geschehen - eine vermeintlich fehlgeleitete E-Mail aus der Personalabteilung lesen, der eine Datei mit dem Titel "Vorschläge zum Personalabbau" anhängt? Dass darin ein Trojaner versteckt ist, kann man ja nicht wissen.

Ein anderer Weg: Der Angreifer speichert die Schadsoftware auf einem USB-Stick, den er auf dem Firmenparkplatz "verliert". Der Finder, so die Hoffnung, wird den Stick an seinen Rechner stecken um mal zu sehen, was darauf ist - ein erstaunlich erfolgreicher Weg. Auch hier installiert sich ein Schnüffel- oder Schadprogramm.

Gegen böswillige Sabotageakte aktueller oder ehemaliger Mitarbeiter ist kaum Schutz möglich. Noch ein Beispiel: Bei einem kleineren Unternehmen aus der Dienstleistungsbranche wurden große Datenmengen gelöscht, mitten in der Nacht, von jemandem, der die Administratorrechte für die gesamte Domäne hatte. Bald war klar: 15 Mitarbeiter hatten entsprechende Möglichkeiten, dazu kamen weitere Mitarbeiter von Dienstleistern - die Spurensuche verlief im Sande. Das ist kein Einzelfall, wie eine Befragung des Branchenverbandes Bitkom ergeben hat:

Schwerwiegende Schäden müssten diese Angriffe nicht verursachen - wenn die Unternehmen vorbereitet wären. Aber wie eine Untersuchung des Bundeswirtschaftsministeriums jüngst ergab, sichert ein Viertel der kleinen und mittleren Unternehmen in Deutschland seine Daten nicht oder nur sehr unregelmäßig. Welche Folgen das haben kann, zeigt WannaCry. Ein von dem Erpressungstrojaner betroffenes Unternehmen stellte aus der Datensicherung einfach eine frühere Systemversion wieder her und konnte fast umgehend weiterarbeiten. Ein anderes Unternehmen reagierte panisch und fuhr einfach alle Computer herunter. Weil nun niemand wusste, wo sich das Programm eingenistet und wie es sich verbreitet hatte und auch keinerlei Datensicherung existierte, dauerte es mehrere Tage, bis das Unternehmen überhaupt wieder arbeiten konnte.

Viele Unternehmen haben ihre IT mittlerweile an Dienstleister vergeben, die Programme laufen in der Cloud. Auf den eigenen Servern speichern die Firmen demnach nur noch die "Kronjuwelen", also Patente, Verfahrenstechniken oder andere Firmengeheimnisse. Der Vorteil: Die IT-Spezialisten können höhere Sicherheitsstandards bieten als kleine Betriebe. Der Nachteil: Angreifer müssen im Zweifel nur noch einen Dienstleister attackieren - und legen damit Tausende Unternehmen lahm. Eine Lösung dafür gibt es noch nicht, das Prinzip Hoffnung gilt auch hier. Wie sagte es Europol-Chef Rob Wainwright jüngst: "Solche Attacken nehmen zu - gewöhnen Sie sich daran."

insgesamt 19 Beiträge
Freidenker10 30.11.2017
1.
Verstehe in diesem Zusammenhang nicht warum jede Maschine oder Fabrik Zugang zum Internet braucht? Warum kann man die Maschinen nicht intern steuern, dann muss man auch keine Attacken von außen fürchten. Beim Patentschutz, [...]
Verstehe in diesem Zusammenhang nicht warum jede Maschine oder Fabrik Zugang zum Internet braucht? Warum kann man die Maschinen nicht intern steuern, dann muss man auch keine Attacken von außen fürchten. Beim Patentschutz, Verwaltung, Marketing usw. ist das was anderes, aber die Maschinen?
Referendumm 30.11.2017
2. Tja, ...
solange "IT-Sicherheit by Sekretärin" gemacht wird, solange werden Unternehmen offen wie ein Scheunentor sein. Davon abgesehen ist es extrem erschreckend, wie schon Privatpersonen völlig sorglos mit der IT-Sicherheit [...]
solange "IT-Sicherheit by Sekretärin" gemacht wird, solange werden Unternehmen offen wie ein Scheunentor sein. Davon abgesehen ist es extrem erschreckend, wie schon Privatpersonen völlig sorglos mit der IT-Sicherheit umgehen. Oft die selben, welche dann in ihren Unternehmen die Meinung vertreten, alles halb so wild, solange es immer funzt. Zugriffsrechte für jeden? Jawoll, juckt doch eh keinen. Offene Ports? Prima, je mehr, umso besser funktionierts - leider auch für Eindrinlinge. Usw. pp. ff. In Anbetracht der Sorglosigkeit der meisten Menschen ist es viel verwunderlicher, dass nicht noch mehr sabotiert, Geld abgezockt und noch drastischer kompromitiert wird. Und der dt. Staat geht mit gutem Beispiel voran. Wie lange war der Bundestag offen wie ein Scheunentor? Wie lange war der Bundestag mit Softwareschädlingen verwanzt? Na also, geht doch alles, ist ja eh alles Neuland.
SeAiTieGuru 30.11.2017
3. @Freidenker10
Na ja, weil die Maschinen eben durch Applikationen gesteuert werden, die, im Rahmen der Kkostensenkung, teilweise ferngewartet werden (z.B. aus Indien im Rahmen eines Outsourcing). Auch die Abkapselung des internen Netzwerkes von [...]
Na ja, weil die Maschinen eben durch Applikationen gesteuert werden, die, im Rahmen der Kkostensenkung, teilweise ferngewartet werden (z.B. aus Indien im Rahmen eines Outsourcing). Auch die Abkapselung des internen Netzwerkes von der Außenwelt macht das nicht Netz nicht sicher. Die größte Bedrohung kommt von Innen. 100%-ige Sicherheit gibt es nicht.
Referendumm 30.11.2017
4.
Die Frage ist einfach zu beantworten: Weil sich in den meisten Unternehmen gar keiner oder maximal die unwissende Sekretärin des Chefs um IT-Sicherheit kümmert. Die lassen einfach alles so laufen, Hauptsache man kann [...]
Zitat von Freidenker10Verstehe in diesem Zusammenhang nicht warum jede Maschine oder Fabrik Zugang zum Internet braucht? Warum kann man die Maschinen nicht intern steuern, dann muss man auch keine Attacken von außen fürchten. Beim Patentschutz, Verwaltung, Marketing usw. ist das was anderes, aber die Maschinen?
Die Frage ist einfach zu beantworten: Weil sich in den meisten Unternehmen gar keiner oder maximal die unwissende Sekretärin des Chefs um IT-Sicherheit kümmert. Die lassen einfach alles so laufen, Hauptsache man kann arbeiten. Tja, meist nur solange, bis man angegriffen wurde - dann ist es allerdings oft zu spät. Denn die Frage, welche Maschinen müssen unbedingt im Internet hängen und damit absolut gesichert sein und welche nicht, erfordert ja bereits einen Experten. Die Automobilindustrie z.B. fordert von ihren Zulieferern u.a. einen Datenaustausch der CAD/CAM-Daten. Wie soll der ohne Internet funktionieren? Klar, es gibt getunnelte Übertragungswege etc. aber macht das wirklich jeder Zulieferer? Und falls ja, wo sind dann dort die Schwachstellen? Wieder müssen richtige Experten her. Stichwort Industrieroboter: Gerne wird auf eine Fernwartung hingewiesen. dann braucht kein Monteur für teures Geld vorbeikommen, nur weil eine Zahl beim Programmieren "krumm" war. Auch das nimmt man gerne und dankbar an und schon gibts wieder die Frage: Wie ist das mit der Sicherheit? Wie ist diese gewährleistet? Tja, um all das müssen sich IT-Sicherheitsexperten kümmern. Und auch bei denen gibt es gute und weniger gute; Motto: Viele sind berufen, aber nur wenige auserwählt. Beim SPON-Betrag vermisse ich übrigens die Anzahl der Unternehmen, welche nach einem Angriff bankrott gingen. Ja, auch das ist bekannt, auch darüber gibt es bereits Statistiken.
GoaSkin 30.11.2017
5. einfach offline setzen, was nicht online sein muss
Es hängt heute fast jedes Gerät an einem Daten-Netzwerk, dass über mehrere Router prinzipiell auch mit dem Internet verbunden ist. Um die Technik abzusichern, denkt man heutzutage lediglich noch darüber nach, besonders [...]
Es hängt heute fast jedes Gerät an einem Daten-Netzwerk, dass über mehrere Router prinzipiell auch mit dem Internet verbunden ist. Um die Technik abzusichern, denkt man heutzutage lediglich noch darüber nach, besonders ausgeklügelte Firewalls einzusetzen, um jeglichen unerwünschten Datenverkehr zu sperren. Doch darüber, Systeme physikalisch erst garnicht an das Netz zu bringen, denkt heute niemand mehr nach. Doch manchmal kann es auch sinnvoll sein, Systeme offline zu betreiben, vor Ort zu bedienen und ggf. mit Wechseldatenträgern auszuwerten und zu programmieren. Aber Bequemlichkeit geht leider vor.

Verwandte Artikel

Artikel

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP