Ein Laptop mit der Aufschrift
18.03.2021    Miriam Rönnau
Anzeige
Anzeige
Anzeige

Cybercrime

Bundeskriminalamt: „Nicht mit Erpressern verhandeln“

Was tun, wenn die Unternehmens-IT mit einem Trojaner infiziert wird und die Täter eine immens hohe Lösegeldsumme verlangen? Gemeinsam mit einem IT-Sicherheitsdienstleister berichtet ein Mittelständler von seinen Erfahrungen mit einem Cyberangriff. Und der Abteilungsleiter Cybercrime beim Bundeskriminalamt erklärt, warum sich gerade jetzt diese Angriffe häufen.

In Kürze:

Am DUB Digital Business Talk nahmen teil:

Moderatorin: Kathleen Goy, DUB UNTERNEHMER

  • Magnetbau Schramme wurde gehackt und holte sich den IT-Sicherheitsdienstleister G DATA Advanced Analytics zur Hilfe. Mit Incident Response, also Vorfallsbewältigung, analysierten sie den Angriff und konnten so gegen die Forderung der Angreifer vorgehen.
  • Einen hundertprozentigen Schutz gegen Cybercrime gibt es nicht. Doch wer präventiv einige Regeln beachtet und einen Notfallplan hat, kann sich gegen das Schlimmste schützen.
  • Die Coronapandemie hat nicht nur die Digitalisierung beschleunigt, sondern auch die Zahl der Cyberangriffe erhöht.

300.000 Euro Lösegeld – so lautete die Forderung der Cyberkriminellen, die sich in die Netzwerke von Magnetbau Schramme gehackt haben. Der Angriff fand gegen 22 Uhr statt. Ein beliebter Zeitpunkt bei Eindringlingen. So haben sie die ganze Nacht, um die Systeme zu befallen. Beim Hersteller für Elektromagnete war das nicht anders. Erst am nächsten Morgen wurde der Angriff bemerkt. Da waren schon rund 50 Prozent der Systeme infiziert. Die Täter gingen taktisch mithilfe von Ransomware vor. Heißt: Sie nutzten eine Schadsoftware, über die ein Trojaner in das Netzwerk versandt wurde, der dann die Daten verschlüsselt. Nur wer zahlt, erhält wieder Zugriff.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Fünf Tipps gegen Cybercrime

IT-Sicherheitsexperte Michael Zimmer empfiehlt Mittelständlern:

1) Netztrennung: Nicht alle Systeme über ein Netz laufen lassen, sondern mehrere Netze bauen. So kann die Produktion weiterlaufen, selbst wenn ein Netz befallen ist.

2) Vorhandene IT nutzen: Nicht alle Unternehmen nutzen ihre IT-Sicherheitstechnik vollständig aus. Das Bestehende sollte immer aktuell und vollumfänglich genutzt werden – dazu gehört etwa auch unter anderem die Authentifizierung über zwei Ebenen stattfinden zu lassen und keine einfachen Passwörter zu benutzen.

3) Awareness schaffen: Mitarbeiterinnen und Mitarbeiter sollten regelmäßig für das Thema IT-Sicherheit sensibilisiert werden. Wenn es gerade aktuelle Cybercrime-Fälle gibt, sollten diese auch intern kommuniziert und davor gewarnt werden.

4) Notfallplan einrichten: Für den Fall der Fälle sollten Unternehmen wissen, welche Rechner wo stehen, welche Server und welche Netze wie zu erreichen sind. Plus: Welche Systeme können für wie lange ausfallen? Gibt es einen Dienstleister, der sich sofort kontaktieren lässt?

5) Sich selbst auf die Probe stellen: Es ist wichtig, über einen IT-Sicherheitsdienstleister regelmäßig zu prüfen, ob und wo es Lücken im System geben könnte und diese präventiv zu schließen.

Angriff mit Ransomware auf Unternehmen

Wie die Angreifer ins Netzwerk kamen, lässt sich nicht sicher sagen. „Wahrscheinlich über einen E-Mail-Anhang“, sagt Marcello Ficht, Leiter der IT bei Magnetbau Schramme. Es spreche auch viel dafür, dass die Eindringlinge schon ein paar Monate vor dem Angriff unbemerkt in den Netzen unterwegs waren – „trotz aller Absicherung wie Künstliche Intelligenz im Netzwerk“.

Das liegt vor allem daran, dass Cyberkriminalität schon längst kein Kavaliersdelikt mehr ist. „Die Täter sind Profis“, erklärt Michael Zimmer. „Man kann ohne weiteres von organisierter Kriminalität sprechen. Mittlerweile werden die Angriffswerkzeuge so schnell entwickelt, dass die Updates der Antiviren-Programm kaum hinterherkommen“, so der Geschäftsführer von G DATA Advanced Analytics. Einen hundertprozentigen Schutz gibt es nicht.

Den IT-Sicherheitsdienst hatte Magnetbau Schramme beauftragt, nachdem der Angriff entdeckt wurde. Mithilfe von Incident Response, also Vorfallsbewältigung, haben Zimmer und sein Team den Fall schrittweise analysiert. Zunächst fand eine kurze Aufnahme statt: Worum geht es? Wie wurde der Angriff bemerkt? Welche Werkzeuge sind vorhanden? Dann wurde ein spezieller Incident-Response-Händler aktiviert, der die einzelnen Maßnahmen gesteuert hat. Am Ende wurde geprüft, ob die Back-ups standhaft sind – und das waren sie. Glücklicherweise.

So konnten die Systeme über die Back-ups wiederhergestellt werden. „Für uns kam es nicht infrage eine so hohe Lösegeldsumme zu bezahlen“, sagt Ficht. Dennoch: Alles in allem hat die Schadensanalyse und Wiederherstellung der Netze rund vier Tage gedauert – eine lange Zeit in Anbetracht des Arbeitsausfalls im Unternehmen sowie dem Arbeitsaufwand von G DATA Advanced Analytics und den IT-Forensikern. „Insgesamt beläuft sich der Schaden auf 100.000 Euro“, sagt Ficht. Neben der Schadensbewältigung hat er den Vorfall auch polizeilich gemeldet – bisher ohne Erfolg.

Cybercrime-Attacken polizeilich melden

Dennoch ist das laut Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt (BKA), genau der richtige Weg. „Wir führen im Augenblick einige Ermittlungsverfahren gegen Angriffe auf Unternehmen durch“, sagt er. Zudem werden auch Beratungsgespräche mit wesentlichen Tipps und Hinweisen gegeben. Von einem Alleingang und Dialog mit den Kriminellen rät er ab. „Mit Erpressern verhandelt man nicht“, sagt er.

Coronapandemie erhöht Cyberangriffe

Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt (BKA), warnt vor vermehrten Angriffen im Jahr 2021.



Es heißt, die Coronapandemie hat die Digitalisierung beschleunigt. Haben auch die Cyberangriffe zugenommen?

Carsten Meywirth: In den letzten Monaten haben die Angriffe sehr stark zugenommen. Wir gehen von einer hohen Dunkelziffer aus. Leider erreichen uns viele Fälle nicht, weil sie nicht polizeilich gemeldet werden. Aber wir beobachten eine hohe Bedrohung, besonders für Unternehmen. Denn die Täter agieren nach dem Motto „Big Game Hunting“, sprich: sie geben sich nicht mehr mit den kleinen Fischen zufrieden, sondern wollen die ganz Großen angreifen – und eine möglichst hohe Lösegeldsumme kassieren.

Wie gehen die Cyberkriminellen dabei vor?

Meywirth: Nach dem Prinzip „Double Extortion“. Sie erpressen quasi zweimal: einmal mit der Verschlüsselung der Daten und dann mit der Veröffentlichung eben dieser, nachdem die Unternehmen bereits gezahlt haben. Das ist also insgesamt eine sehr perfide Vorgehensweise der Täterinnen und Täter.

Nehmen die Angriffe mit Ransomware ebenfalls zu?

Meywirth: Die Cyberkriminellen sind durch die Pandemie zwar nicht mehr geworden, haben aber durch die Digitalisierung mehr Möglichkeiten erhalten, anzugreifen. Wir stellen fest, dass insbesondere Angriffe mit Ransomware auf Unternehmen stark zugenommen haben. Der Trend wird sich auch in diesem Jahr weiter fortsetzen. Zudem werden die DDoS-Attacken, also Angriffe auf Webpräsenzen wie Online-Shops, mehr. Dabei werden die Systeme der Webseiten durch gezielte Angriffe überlastet, so dass die Unternehmen diese nicht mehr aufrechterhalten können.

Gibt es auch gute Neuigkeiten aus Ihrer Abteilung Cybercrime beim BKA?

Meywirth: Was mir da sofort einfällt ist die Zerschlagung der Emotet-Software dank einer internationalen Kooperation – das war ein Novum. Emotet galt als die gefährlichste Schadsoftware weltweit und hat auch in Deutschland neben Computern zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert.

18.03.2021    Miriam Rönnau
Zur Startseite