Durch Hacker: Erpressung von Firmen nimmt zu
Am Ende war es ein glücklicher Zufall: Als der Systemadministrator am späten Abend noch Ausfälle auf Servern überprüfte, bemerkte er eine Aktivität, die dort nicht hingehörte, und zog kurzerhand den Stecker. Gerade noch rechtzeitig. Hacker hatten bereits begonnen, Daten zu verschlüsseln – vermutlich, um Lösegeld zu fordern. Die Tübinger Buchhandlung Osiander war im Mai Opfer dieses Hacker-Angriffs geworden.
Der Buchhändler in Familienhand war Ziel einer Attacke mit sogenannter Ransomware. Software, mit deren Hilfe Hacker Daten verschlüsseln, um dann Lösegeld zu erpressen. Beim Landeskriminalamt in Stuttgart stellt man fest, dass solche Täter verstärkt Unternehmen als Ziel ihrer Erpressung ins Visier nehmen. Symantec, der weltweit größte Anbieter von Sicherheitssoftware, meldet in seinem Sicherheitsreport, dass die Erpressungsfälle weltweit zurückgingen. Die Zahl der Angriffe auf Firmen stieg allerdings um zwölf Prozent. „Angriffe auf Firmen sind lukrativer“, erklärt Symantec-Sicherheitsexperte Dick O’Brian.
Dabei geht es nicht immer nur um große Konzerne: Auch kleinere Firmen, Anwaltskanzleien, Arztpraxen mit sensiblen Daten, oder aber Handwerksbetriebe sind Ziele solcher Attacken. Das Stuttgarter Innenministerium hat deswegen vor einem Jahr die sogenannte Cyberwehr ins Leben gerufen, die kleineren Unternehmen helfen soll, sich gegen Hackerangriffe zu wehren.
Das Pilotprojekt startete in Karlsruhe und wurde inzwischen auf die Landkreise Rastatt und Baden-Baden ausgeweitet. „Ende 2019 wollen wir technisch und organisatorisch soweit sein, dass wir die Hotline und Hilfe vor Ort 2020 sukzessive im gesamten Land anbieten können“, sagt Projektleiter Dirk Achenbach. Bislang suchten Firmen in 63 Fällen Hilfe bei der Cyberwehr. Sieben feste Mitarbeiter hat das Projekt – die Unterstützung vor Ort leisten IT-Dienstleister, die mit der Cyberwehr zusammenarbeiten.
„Wir helfen zunächst mit einer telefonischen Ferndiagnose“, sagt Achenbach. „Dann schalten wir bei Bedarf Experten in der Nähe ein.“ Meist gehen die Täter ähnlich vor. Mithilfe von Software in E-Mail-Anhängen oder Links verschaffen sie sich Zugang. Dann breiten sie sich auf den Rechnern im System aus und suchen nach relevanten Daten. „Dabei werden gezielt Backups gelöscht und Daten verschlüsselt – bevorzugt am Wochenende, wenn es niemand merkt“, sagt Achenbach. In der Regel werde versucht, die gesamte IT außer Kraft zu setzen. Das treffe häufig auch das Telefon, weil die meisten Firmen Voice-over-IP-Telefone haben, sagt Achenbach: „Ziel ist, möglichst großes Chaos zu verursachen, möglichst viel Schaden anzurichten.“
Webshop über Tage lahmgelegt
Bei Osiander hatten die Täter genau so begonnen. „Es wurden Gehaltsdaten verschlüsselt“, erzählt Aufsichtsratschef Herrmann-Arndt Riethmüller. Dabei handelte es sich glücklicherweise nur um eine Sicherheitskopie. „Aktuelle Daten waren nicht betroffen – ebenso wenig wie Kundendaten.“ Am Ende meldeten sich die Hacker nie mit einer Lösegeldforderung, sagt Riethmüller. „Nach vier, fünf Tagen haben wir die Kunden informiert.“ Dann ging die Arbeit richtig los. Denn die IT der Buchhandlung mit mehr als 60 Filialen und 700 Mitarbeitern verwaltet etwa 1.000 Geräte. Es wurde ein komplett neues System aufgesetzt.
Über Tage war der Webshop von Osiander nicht zu erreichen, Kundenbestellungen mussten die Buchhändler telefonisch an den Lieferanten durchgeben. Via Facebook hielt die Geschäftsführung die Kunden über die nervenaufreibenden Aufräumarbeiten auf dem Laufenden. Das ist unüblich. Die meisten Firmen schweigen lieber, wenn sie Ziel eines Hackerangriffs geworden sind.
Osiander hatte noch Glück im Unglück, denn auch die Helfer der Cyberwehr können nicht immer alles retten. „Wenn es keine Datensicherung gibt, wird es bei einem Angriff mit Ransomware sehr schwierig“, sagt Achenbach. Er rät ausdrücklich davon ab, den Forderungen der Erpresser nachzugeben.
Im Falle von Osiander ist unklar, woher der Angriff stammte. „Vermutlich war es ein E-Mail-Anhang“, sagt Riethmüller. Erfolg hätten die Hacker aber ohnehin nicht gehabt. „Ich würde nicht bezahlen, wenn wir erpresst würden“, sagt der Osiander-Aufsichtsratschef. „Und ich würde immer mit der Polizei zusammenarbeiten.“