Was alle aus dem großen Hackerangriff auf die IHK lernen können
Am 3. August 2022 gehen die Industrie- und Handelskammern zurück in die Vergangenheit, in eine Zeit, in der es noch kein Internet gab. Am Knotenpunkt, über den die IT-Systeme aller 79 Kammern in Deutschland laufen, ist das Eindringen eines Hackers bemerkt worden. Deshalb entscheiden die Verantwortlichen, offline zu gehen.
Die IHK Düsseldorf ist ab diesem Tag wie die anderen Kammern nicht mehr kommunikations-, sondern nur noch intern handlungsfähig. Die Mitarbeitenden sind in der neuen alten Zeit sehr findig. Sie nutzen ihre private Mailadressen, um Mitteilungen zu verschicken, telefonieren wieder viel mehr und entdecken sogar das Faxgerät ihrer Abteilung als nützlich.
Acht Monate später ist in vielen Bereichen Normalität eingekehrt, die meisten Systeme laufen wieder. Aber es gibt auch Anwendungen, die bis heute noch nicht zurück ans Netz gegangen sind, etwa weil sie aus Sicherheitsgründen komplett neu aufgebaut werden müssen. Die IHK ist nun aber an einem Punkt, an dem sie die Lehren aus dieser Zeit mit anderen teilen kann. Über diese Lektionen der vergangenen Monate habe ich mich mit dem Düsseldorfer IHK-Hauptgeschäftsführer Gregor Berghausen und Sprecherin Nicola Roeb ausgetauscht:
Täter:innen sind hochprofessionelle Kriminelle
Bis heute ist nicht bekannt, wer die IHK angegriffen hat. Aber die Ermittelnden wissen, dass es sich nicht um Beifang eines virus-verschickenden Nerds handelt. Die Person, die den erwähnten Knoten attackiert hat, wusste genau, wo sie angreift, und hat dabei beachtliche Hindernisse überwunden.
Ein klares Täter:innen-Bild ist die erste wichtige Lektion dieses Hackerangriffs. Wer Kapuzenpullis und Zocker-Keller vor dem geistigen Auge hat, unterschätzt die Kriminellen maßlos. Früher wurden Leute entführt oder Banken überfallen, um an viel Geld zu kommen. Heute verdient man das viel entspannter durchs Hacken.
In diesem Punkt hat die IHK viel und seltenes Glück gehabt, denn auf den Angriff folgte kein typisches kriminelles Verhalten. Normalerweise verdienen Hacker:innen auf zwei Wegen ihr Geld:
1. Sie gelangen in die IT eines Unternehmens oder einer Institution und verschlüsseln das System. Die Betroffenen können ihre Computer nicht mehr benutzen, die Telefonanlage funktioniert nicht mehr – ich kenne einen Fall, in dem nicht mal mehr das Rolltor der Tiefgarage zu öffnen war. Auf die Verschlüsselung folgt die Erpressung. Die Hacker verlangen eine Summe (gerne in einer Kryptowährung), damit sie die Verschlüsselung wieder aufheben. Die meisten, die so erwischt werden, haben keine andere Wahl und müssen zahlen.
2. Sie gelangen in ein System und ziehen dann in Ruhe bergeweise Daten ab. Die kann man entweder weiterverkaufen oder man erpresst auch hier die Betroffenen. Dafür droht man, die Daten zu veröffentlichen und dem Unternehmen einen gewaltigen Image-Schaden zu verpassen. Je nachdem, in welcher Branche die Betroffenen arbeiten und wie sensibel die gestohlenen Daten sind, kann eine solche Veröffentlichung existenzgefährdend sein.
Es gibt eine positive Sache, die man über Cyber-Kriminelle sagen kann: Sie halten in den allermeisten Fällen Wort und erfüllen ihren Teil einer Abmachung.
Es gibt keinen 100-prozentigen Schutz, aber viel, das man tun kann
Hacker:innen sind leider richtig gut in ihrem Job und sie haben immer einen natürlichen Vorsprung vor der Cyber-Security. Dennoch gibt es viele Möglichkeiten, die Angriffe schwierig und damit unattraktiver zu machen. Zum Beispiel Schulungen, in denen man lernt, wie man ein starkes Passwort erzeugt – und sich merken kann. Oder regelmäßig Tests mit E-Mails, auf die man leicht hereinfallen kann und soll, um zu lernen, woran man gefährliche Post erkennt.
Die IHK Düsseldorf hat Lektionen wie diese inzwischen zum Standard in der Onboarding-Phase neuer Mitarbeitender gemacht.
Es ist gut, gute Forensiker:innen zu kennen
Wenn man trotz aller Sicherheitsmaßnahmen Opfer eines Hackerangriffs wird, zählt erst einmal jede Minute und dann das größtmögliche Wissen. Mit Hilfe von IT-Forensiker:innen finden die Betroffenen heraus, welche Systeme vom Angriff betroffen sind, welcher Schaden angerichtet wurde, ob Daten abgezogen wurden, ob Viren oder Trojaner eingeschleust wurden. Die Expert:innen für diese Fälle gehen genauso auf Spurensuche wie Kriminalist:innen in ihrem Labor.
Sie sind auch diejenigen, die mit den Erpressenden verhandeln, weil sie sagen können, ob die Drohungen wahr sind, ob die Person tatsächlich die genannten Daten hat und ob sie nach einer Zahlung halten kann, was sie verspricht.
In der Regel bieten Unternehmen, die einem die erwähnten Vorsichtsmaßnahmen beibringen, auch Kontakt zu Forensiker:innen an. Die IHK Düsseldorf empfiehlt nach ihren Erfahrungen zudem den Austausch mit der Zentral- und Ansprechstelle Cybercrime NRW in Köln und mit dem Bundesamt für Sicherheit in der Informationstechnik in Berlin.
Rückkehr braucht Vorsicht und Härte
Das Scannen der Systeme dient neben der Spurensuche dem späteren Wieder-Hochfahren. Die Erkenntnisse aus der Forensik zeigen auch, wo Schwächen waren und wo die IT „gehärtet“ werden muss. Die Düsseldorfer IHK hat dabei vor allem zwei Dinge gelernt:
1. Was man nicht tun sollte: das Prinzip Versuch und Irrtum pflegen. Die Gefahr, dass die angreifende Person noch im System ist und dort noch mehr Schaden anrichtet, ist hoch. Manchmal ist die erste Attacke nur die Vorbereitung einer größeren zweiten. Deshalb müssen die IT-Fachleute so sicher wie möglich sein, bevor man irgendetwas wieder startet. Betroffene werden unfreiwillig zu Restrisiko-Expert:innen.
2. Was man tun sollte: standhaft bleiben. Der Druck auf die Verantwortlichen wächst, weil immer mehr Menschen im gehackten Unternehmen darauf drängen, wieder normal arbeiten zu können oder wenigstens für sich schon mal eine Ausnahme zu bekommen. Die Angst vor solchem Druck ist genauso gefährlich wie die Angst vor dem Abschalten des Systems.
Unternehmen brauchen mehr Bewusstsein für die Gefahr
Da die IHK den Angriff öffentlich bekannt gemacht hat, haben ihre Vertreterinnen und Vertreter viele Gespräche zu dem Thema geführt. Der Eindruck: Das Bewusstsein für die Gefahr ist grundsätzlich da. Die meisten kennen auch einen, dem so etwas passiert ist, oder einen, der einen kennt, dem so etwas passiert ist. Aber aus diesem Bewusstsein folgen nicht immer die notwendigen Schritte. Das merkt die IHK zum Beispiel, wenn in ihren Workshops zum Thema Cyber-Security noch Plätze freibleiben. Vielleicht hilft es ab sofort, dass man Menschen im Haus hat, die das Thema unfreiwillig noch viel anschaulicher erklären als zuvor.
