In Kürze:
Am DUB Digital Business Talk nahmen teil:
- Michael Zimmer, Geschäftsführer, G DATA Advanced Analytics
- Marcello Ficht, Leiter IT / Leiter PMO, Magnetbau Schramme GmbH & Co. KG
- Carsten Meywirth, Leiter der Abteilung Cybercrime, Bundeskriminalamt
Moderatorin: Kathleen Goy, DUB UNTERNEHMER
- Magnetbau Schramme wurde gehackt und holte sich den IT-Sicherheitsdienstleister G DATA Advanced Analytics zur Hilfe. Mit Incident Response, also Vorfallsbewältigung, analysierten sie den Angriff und konnten so gegen die Forderung der Angreifer vorgehen.
- Einen hundertprozentigen Schutz gegen Cybercrime gibt es nicht. Doch wer präventiv einige Regeln beachtet und einen Notfallplan hat, kann sich gegen das Schlimmste schützen.
- Die Coronapandemie hat nicht nur die Digitalisierung beschleunigt, sondern auch die Zahl der Cyberangriffe erhöht.
300.000 Euro Lösegeld – so lautete die Forderung der Cyberkriminellen, die sich in die Netzwerke von Magnetbau Schramme gehackt haben. Der Angriff fand gegen 22 Uhr statt. Ein beliebter Zeitpunkt bei Eindringlingen. So haben sie die ganze Nacht, um die Systeme zu befallen. Beim Hersteller für Elektromagnete war das nicht anders. Erst am nächsten Morgen wurde der Angriff bemerkt. Da waren schon rund 50 Prozent der Systeme infiziert. Die Täter gingen taktisch mithilfe von Ransomware vor. Heißt: Sie nutzten eine Schadsoftware, über die ein Trojaner in das Netzwerk versandt wurde, der dann die Daten verschlüsselt. Nur wer zahlt, erhält wieder Zugriff.
Fünf Tipps gegen Cybercrime
IT-Sicherheitsexperte Michael Zimmer empfiehlt Mittelständlern:
1) Netztrennung: Nicht alle Systeme über ein Netz laufen lassen, sondern mehrere Netze bauen. So kann die Produktion weiterlaufen, selbst wenn ein Netz befallen ist.
2) Vorhandene IT nutzen: Nicht alle Unternehmen nutzen ihre IT-Sicherheitstechnik vollständig aus. Das Bestehende sollte immer aktuell und vollumfänglich genutzt werden – dazu gehört etwa auch unter anderem die Authentifizierung über zwei Ebenen stattfinden zu lassen und keine einfachen Passwörter zu benutzen.
3) Awareness schaffen: Mitarbeiterinnen und Mitarbeiter sollten regelmäßig für das Thema IT-Sicherheit sensibilisiert werden. Wenn es gerade aktuelle Cybercrime-Fälle gibt, sollten diese auch intern kommuniziert und davor gewarnt werden.
4) Notfallplan einrichten: Für den Fall der Fälle sollten Unternehmen wissen, welche Rechner wo stehen, welche Server und welche Netze wie zu erreichen sind. Plus: Welche Systeme können für wie lange ausfallen? Gibt es einen Dienstleister, der sich sofort kontaktieren lässt?
5) Sich selbst auf die Probe stellen: Es ist wichtig, über einen IT-Sicherheitsdienstleister regelmäßig zu prüfen, ob und wo es Lücken im System geben könnte und diese präventiv zu schließen.
Angriff mit Ransomware auf Unternehmen
Wie die Angreifer ins Netzwerk kamen, lässt sich nicht sicher sagen. „Wahrscheinlich über einen E-Mail-Anhang“, sagt Marcello Ficht, Leiter der IT bei Magnetbau Schramme. Es spreche auch viel dafür, dass die Eindringlinge schon ein paar Monate vor dem Angriff unbemerkt in den Netzen unterwegs waren – „trotz aller Absicherung wie Künstliche Intelligenz im Netzwerk“.
Das liegt vor allem daran, dass Cyberkriminalität schon längst kein Kavaliersdelikt mehr ist. „Die Täter sind Profis“, erklärt Michael Zimmer. „Man kann ohne weiteres von organisierter Kriminalität sprechen. Mittlerweile werden die Angriffswerkzeuge so schnell entwickelt, dass die Updates der Antiviren-Programm kaum hinterherkommen“, so der Geschäftsführer von G DATA Advanced Analytics. Einen hundertprozentigen Schutz gibt es nicht.
Den IT-Sicherheitsdienst hatte Magnetbau Schramme beauftragt, nachdem der Angriff entdeckt wurde. Mithilfe von Incident Response, also Vorfallsbewältigung, haben Zimmer und sein Team den Fall schrittweise analysiert. Zunächst fand eine kurze Aufnahme statt: Worum geht es? Wie wurde der Angriff bemerkt? Welche Werkzeuge sind vorhanden? Dann wurde ein spezieller Incident-Response-Händler aktiviert, der die einzelnen Maßnahmen gesteuert hat. Am Ende wurde geprüft, ob die Back-ups standhaft sind – und das waren sie. Glücklicherweise.
So konnten die Systeme über die Back-ups wiederhergestellt werden. „Für uns kam es nicht infrage eine so hohe Lösegeldsumme zu bezahlen“, sagt Ficht. Dennoch: Alles in allem hat die Schadensanalyse und Wiederherstellung der Netze rund vier Tage gedauert – eine lange Zeit in Anbetracht des Arbeitsausfalls im Unternehmen sowie dem Arbeitsaufwand von G DATA Advanced Analytics und den IT-Forensikern. „Insgesamt beläuft sich der Schaden auf 100.000 Euro“, sagt Ficht. Neben der Schadensbewältigung hat er den Vorfall auch polizeilich gemeldet – bisher ohne Erfolg.
Cybercrime-Attacken polizeilich melden
Dennoch ist das laut Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt (BKA), genau der richtige Weg. „Wir führen im Augenblick einige Ermittlungsverfahren gegen Angriffe auf Unternehmen durch“, sagt er. Zudem werden auch Beratungsgespräche mit wesentlichen Tipps und Hinweisen gegeben. Von einem Alleingang und Dialog mit den Kriminellen rät er ab. „Mit Erpressern verhandelt man nicht“, sagt er.