Es wird gehackt, bestohlen, erpresst

Nichts geht mehr, hiess es monatelang in der Verwaltung des Landkreises Anhalt-Bitterfeld. Anfang Juli letzten Jahres schlugen Cyberkriminelle zu und infizierten die Server der Kreisverwaltung mit Ransomware. Zahlreiche Daten wurden verschlüsselt. Gegen ein Lösegeld boten die Ransomware-Angreifer, wie in solchen Fällen üblich, die Datenentschlüsselung an. Der Landrat entschied sich gegen eine Zahlung – man wolle sich nicht erpressen lassen. Die Folge: Die Verwaltung des Landkreises arbeitete viele Wochen im Notmodus. Laut Medien­berichten soll die Wiederherstellung der IT-Infrastruktur einen hohen sechsstelligen Betrag verschlungen haben.

Im vergangenen Jahr sind rund um den Globus unzählige Unternehmen und Behörden Opfer von Ransomware geworden – und auch in Deutschland blieb man nicht verschont: Zahlen des Antivirenspezialisten Bitdefender zufolge belegte die Bundesrepublik 2021 bei den von Ransomware am meisten betroffenen Ländern Platz fünf.

Ob Ransomware oder andere Angriffsarten – eines steht fest: Es besteht in vielen Unternehmen dringender Handlungsbedarf beim Thema IT-Sicherheit. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, 20 Prozent des IT-Etats in Sicherheit zu investieren. «Nach offiziellen Schätzungen geben Unternehmen aktuell weniger als 10 Prozent ihres IT-Budgets für technologische Sicherheitsmassnahmen aus», berichtet Thorsten Urbanski, Sicherheitsexperte beim Antivirenspezialisten Eset. In Sachen IT-Sicherheit ist also noch viel Luft nach oben.

Ransomware ist für Hacker eine überaus erfolgreiche Angriffsmethode. Die Zahl an Ransomware-Angriffen dürfte daher in diesem Jahr weiter steigen. Dabei ist damit zu rechnen, dass die Kriminellen ihre Methoden verfeinern und zunehmend zweigleisig fahren: Sie verschlüsseln nicht nur die Daten eines Unternehmens, sondern erpressen es zusätzlich damit, zum Beispiel Kundendaten zu veröffentlichen oder Firmen­interna an andere Unternehmen zu verkaufen.

Vor allem der Trend zu immer stärker vernetzten Industrieumgebungen, Stichwort IoT, vergrössert die Gefahr entsprechender Angriffe. Industrieumgebungen bestehen prinzipiell aus zwei unterschiedlichen Bereichen: IT und Operation Technology (OT). Letztere wird, so die Erfahrung von Christian Milde, oft übersehen, wenn es um Schutzkonzepte geht. Milde ist General Manager Central Europe beim Antivirenspezialisten Kaspersky.

«Im IoT bleibt es nicht bei der Folge, dass ein Unternehmen im Zweifel pleitegeht», sagt Andreas Nolte. Angriffe könnten sogar Menschenleben bedrohen, etwa wenn eine Gastherme explodiere, gibt der Head of Cyber Security beim IT-Dienstleister Arvato Systems zu bedenken. Als Beispiel nennt er ein Wasserwerk, auf dessen Systeme Angreifer Zugriff hatten. Sie hätten das Wasser vergiften können. Als Schlupfloch nutzten sie eine RDP-Schwachstelle (Remote Desktop Protocol) auf einem Windows-Gerät. Auch auf solche Bedrohungen müsse man zukünftig vorbereitet sein. Das gelinge jedoch nur, wenn sich die Unternehmenskultur ändere. In vielen Firmen gebe es immer noch tiefe Gräben zwischen den Abteilungen. «Da wollen die ‹Blue Collar Worker› nicht mit den IT-Experten sprechen – und umgekehrt. Doch um das Schutzniveau zu erhöhen, müssen sie zusammen­arbeiten.»

Für die Cybersicherheit industrieller Systeme gibt es allerdings keine schlüsselfertige Lösung, sondern sie besteht aus mehreren Komponenten, die auf das jeweilige Unternehmen zugeschnitten sind. «Um sich vor Ransomware und weiteren Bedrohungen zu schützen, benötigen Unternehmen einen dedizierten Schutz für industrielle Umgebungen», erklärt Christian Milde von Kaspersky.

Doch wie sieht der Schutz von Industrieumgebungen in der Praxis aus? Hier liegt laut Maninder Singh der Schwerpunkt eher auf Verfügbarkeit und Sicherheit als auf Vertraulichkeit wie bei den IT-Systemen. Fertigungsunternehmen sollten, so der Corporate Vice President Cybersecurity & GRC beim weltweit arbeitenden IT-Dienstleister HCL, eine Sicherheitsstrategie definieren und regelmässig eine Risikobewertung durchführen. Hierzu gehörten unter anderem eine Schwachstellen- und Bedrohungsmodellierung der Industrieumgebung und ein Industrial-Security-Monitoring mit ausgereiften Reaktionsplänen für Vorfälle.