Ganze 223 Mrd Euro – so hoch ist der Schaden, der der deutschen Wirtschaft zwischen Mitte 2020 und Mitte 2021 durch IT-Diebstahl, -Spionage und -Sabotage entstanden ist, hat der Branchenverband Bitkom errechnet. Die Schadenssumme 2018/2019 lag noch bei 103 Mrd Euro. Innerhalb von drei Jahren hat sich die Summe mehr als verdoppelt. Auch die Anzahl der Angriffe hat massiv zugenommen: Waren 2018/2019 noch 75 Prozent aller Firmen Opfer eines Angriffs, waren es 2020/2021 bereits neun von zehn. 

Sebastian Schreiber ist Security-Hacker. Seine Firma SySS wird gerufen, wenn Cyber-Erpresser zuschlagen, versucht aber auch vorab IT-Angriffe zu verhindern – und bricht bei manchen Kunden ganz real ein.

Es ist ein wenig wie bei „Star Wars“: Die helle Seite der Macht repräsentiert die Guten; auf der dunklen Seite der Macht finden sich die Fieslinge und Bösen zusammen. Die hilfreichen White-Hat-Hacker also gegen die bösen Jungs, die Black-Hat-Hacker.

White-Hat-Hacker gehören zu den Verteidigern, sie wollen keinen wirtschaftlichen Schaden anrichten. Manchmal wollen sie sogar nicht mal Geld dafür, dass sie nach Schwachstellen suchen, Hersteller von Software auf Fehler hinweisen oder anderweitig den Finger in die Wunde legen. Diplom-Informatiker Sebastian Schreiber gehört zu dieser Gruppe und hat sich 1998 selbstständig gemacht. Hacken, herausfinden, wie man in ein System kommt; das hatte ihn schon früh fasziniert. Er habe sich dann überlegt, wie er legal seiner Leidenschaft frönen könne, sagt er im Gespräch. Genau genommen ist Schreiber ein professioneller Security-Hacker, ein Sneaker, ein Computer-Intruder. Wie die englischsprachigen Bezeichnungen es andeuten: So einer kommt auf leisen Sohlen, dringt unbemerkt ins System ein. Natürlich nicht allein. Inzwischen arbeiten bei der SySS GmbH in Tübingen zahlreiche weitere Spezialisten – 140 an der Zahl. Mehr als 90 von ihnen beschäftigen sich ausschließlich mit Sicherheitstests. Die Kunden kommen aus allen Branchen. Unter denen, die genannt werden möchten, finden sich Dickschiffe wie die Allianz, die MunichRe, die Lufthansa, SAP, Vodafone oder die Deutsche Bahn. Hinzu kommen zahlreiche Behörden, mehr als 40 Stadtwerke und über 50 Kliniken.

Einsatz als Panzerknacker …

Für Kunden erledigen die Tübinger auch den ein oder anderen echten Einbruch. So, wie ihn die Sneakers im gleichnamigen Film von 1992 bei einem ihrer Kunden begehen, einer Bank. „Mittlerweile brechen wir auch in Gebäude ein, schleichen über Zäune oder Ähnliches. Zwei Mitarbeiter wurden in den letzten Monaten dabei von der Polizei geschnappt“, erklärt Schreiber. Hinter Gitter müssen sie aber nicht. Es war ja ein Auftrag. Denn ein Penetrationstest – grob gesagt, die Suche nach bekannten, aber nicht behobenen Schwachstellen in der Software einer Firma – ist nur eines der Angebote bei SySS. Auch Red-Team-Attacken werden durchgeführt. Das Farbschema, wie früher bei Nato-Übungen: Die Angreifer sind rot gekennzeichnet, die Verteidiger in Blau. Diese Angriffssimulationen umfassen nicht nur das Eindringen in die IT einer Firma. Red-Team-Attacken berücksichtigen Firmenprozesse und Menschen; können also den Test von einbruchssichernden Systemen aller Art beinhalten, das Überrumpeln des Werkschutzes und andere Formen von Angriffen auf Unternehmen. Oft werden bei den Übungen auch die IT-Sicherheitsabteilungen der angegriffenen Firmen getestet, das sogenannte Blue Team: Wie schnell wurde reagiert, wurde nach Plan gehandelt, was muss verbessert werden? Für die Banken in der EU ist Red Teaming seit 2018 Vorschrift. Regelmäßig testet SySS deutsche Banken in deren Auftrag. Nach dem Motto: Was nützt der Bank die Firewall, wenn die Luftschächte zum abendlichen Besuch der schlecht gesicherten Schließfächer einladen. Nicht bei jedem Red Teaming wird vorab die Polizei informiert; das Szenario soll so realistisch sein, wie es nur geht.

Möglichst schnell und gut in ein System eindringen, das ist der Job für die Experten. Manchmal brauchen sie dazu nur ein paar Hardware-Geräte, die sie auf Amazon zusammenkaufen. Auf dem Get.In-Branchenkongress, den die Getränke Zeitung und unsere liebe Verlagsschwester INSIDE Getränke letzten November veranstaltet haben, hat Sebastian Schreiber das live demonstriert. Er musste lediglich zwei Mobiltelefonnummern wissen, um gefälschte SMS zwischen den Geräten zu verschicken. Genau wie beim CEO-Fraud. Auch den Live-Einbruch in eine IT über kabellos arbeitende Geräte wie Tastaturen, Mäuse oder Drucker gab‘s da zu bestaunen. Mancher im Saal war richtiggehend geschockt.

Und die Nachfrage hat zugenommen. „Das Sicherheitsniveau hat sich in den letzten Jahren verbessert. Aber durch die Digitalisierung ist das Thema bedeutender. Heute ist jeder Milchbauer davon abhängig, dass seine IT funktioniert, sonst kann der zumachen“, sagt Schreiber.

… und als IT-Feuerwehr

Schreibers Telefon klingelt auch, wenn ein realer Cyberangriff erfolgt. Dann kommt das Instant Response Team (IRT) zum Einsatz. Doch auch diese IT-Feuerwehr ersetzt oft nicht das Zahlen hoher Geldsummen an die Erpresser. „Der Betrag des real bezahlten Lösegelds hat sich laut einer US-Studie von 2020 bis 2021 vervierfacht. Zum Vergleich: Mein Unternehmen hat es geschafft, in diesem Zeitraum 25 Prozent mehr umzusetzen“, sagt Schreiber. „Oft werden die Täter nicht erwischt. Die Lösegeldübergabe findet nicht nachts an der Brücke statt, sondern im Cyberspace, von Bitcoin Wallet zu Bitcoin Wallet. Deswegen klicken nur selten die Handschellen. Wenn die Täter halbwegs vorsichtig sind, haben wir kaum eine Chance, sie zu erwischen.“ Natürlich habe sein Team auch schon den einen oder anderen Internetkriminellen dingfest machen können, sodass dieser später auch vor Gericht verurteilt worden sei. Aber das sei „der absolute Ausnahmefall“. Das beträfe Täter, die mit ihren Erfolgen prahlten oder Anfängerfehler begingen. „Manchmal hilft auch Kommissar Zufall, wenn ein Täter aus Versehen den falschen – nämlich den privaten – PC für seine kriminellen Aktivitäten wählt.“

Fragt man Schreiber, was er Firmen rät, mahnt er: „In IT investieren alle gerne, das wird als umsatzfördernd angesehen. Aber viele Firmen sind noch immer nicht bereit, auch in IT-Sicherheit zu investieren.“ Auch bei den IT-Security-Policen der Versicherungen, mit denen sich Mittelständler absichern wollen, rät er zur Vorsicht. „Aktuell kenne ich einen Fall, da hat der IT-Forensiker der Versicherung nicht nur den Angriff untersucht, sondern Beweise dafür gesucht, dass die Firma nicht die erforderlichen Maßnahmen getroffen hatte.“ Natürlich fand sich was und die Assekuranz zahlte nicht einen Cent. Aktuell kämpft der US-Pharmariese Merck & Co. (MSD) vor Gericht mit seiner Versicherung ACE American. Trotz der 1,7-Mrd-Dollar-Cyber-Police will die Assekuranz nicht die 1,4 Mrd US-Dollar zahlen, die MSD insgesamt als Schaden durch einen Cyberangriff entstanden waren. MSD wurde 2017 – wie alle in der Ukraine tätigen Firmen – von „NotPetya“ heimgesucht, einem Sabotage-Softwareprogramm, das sich als die reale Ransomware „Petya“ ausgab, aber keine Daten verschlüsseln und Geld erpressen wollte, sondern alle Daten komplett löschen. Die US-Versicherung argumentiert, es habe sich um Cyber-Kriegsführung seitens Russlands gehandelt. Im Kriegsfall zahle man nicht. Der Rechtsstreit, ob es sich um einen staatlichen Cyber-Angriff handelt oder nicht, hat gerade erst die erste Instanz passiert. Auch der britische Versicherungsmarkt Llyod‘s of London verschärfte schon im November 2021 seine Versicherungs-Ausschlussbestimmungen. Eine Investition in die eigene IT-Sicherheit rechnet sich also. Schreiber bringt es so auf die Formel: „0,03 Personentage pro Mitarbeiter und Jahr“ sollten Firmen jeder Größe in IT-Sicherheit investieren.

Weiterer Anstieg befürchtet

Knacken von Handys, Fake-WLANs, Schwachstellen wie in der Java-Bibliothek log4j, für die das BSI im Dezember die höchste aller Warnstufen („Extrem kritisch“) aktivierte: Cyberkriminalität ist ein anpassungsfähiges, skalierbares Geschäftsfeld. Schreiber: „Bei den aktuellen Steigerungsraten der Lösegelder befürchte ich eine noch größere Welle an Ransomware-Angriffen.“ Abgenommen habe hingegen die Gefahr der klassischen Industriespionage. Hängt von den Verdienstmöglichkeiten ab, ist Schreiber überzeugt. Er kennt aus dem eigenen Berufsalltag Fälle, in denen 30 oder 50 Mio Euro erpresst wurden. In einem Fall musste sogar ein dreistelliger Mio-Euro-Betrag gezahlt werden. Im Jahr 2021 hat es zahlreiche Firmen in Deutschland getroffen: Media-Markt und Saturn wurden im November mit einer Ransomware erpresst, vor der das FBI seit August gewarnt hatte. Erst im Juni war „Hive“ aufgetaucht. Betroffen waren alle Kassen- und Warenwirtschaftssysteme in allen Landesgesellschaften. Die Schadsoftware, die die Black-Hat-Hacker der Gruppe REvil in Umlauf brachte, wurde über den IT-Dienstleister Kaseya an 1.500 Firmen weltweit weiterverteilt.

In Deutschland war unter anderem der Betriebs- und Lagerausstatter Berger aus Stuttgart betroffen. Hier fiel der Betrieb für knapp eine Woche aus – ein Lösegeld wurde nicht gefordert. Zwar will der russische Geheimdienst FSB den Hackern von REvil Anfang 2022 den Garaus gemacht haben, aber REvil galt schon einmal als ausgeschaltet. Über die Erfolgsaussichten, Angriffen auf die IT-Sicherheit per Anzeige und behördlichen Ermittlungen beizukommen, urteilen die Strafverfolger positiver als Dienstleister wie Sebastian Schreiber. Peter Vahrenhorst arbeitet als Kriminalhauptkommissar im Cybercrime-Kompetenzzentrum des Landeskriminalamtes NRW. „Natürlich fassen wir auch Täter“, sagt er. „Im Hellfeld haben wir bei Cybercrime-Straftaten eine Aufklärungsquote von 34,6 Prozent“. Kommt aber noch das Dunkelfeld hinzu, mit den nicht bekannten und natürlich auch nicht aufgedeckten Taten. Auch Vahrenhorst kann nur raten, IT-Notfallpläne aufzustellen, in Firmen jeder Größe. „Die Firmen sollen dabei ruhig auf Spezialisten von außen zugreifen. Wer einen Fuhrpark hat, bringt die Autos ja auch in die Werkstatt. Firmen oder Gemeinden mit 16 Mitarbeitern, von denen zwei für die IT verantwortlich sind, brauchen externe Dienstleister. Danach sollte man sich aber schon umsehen, bevor das Kind in den Brunnen gefallen ist“, rät er. Die Unternehmensgröße, rechtliche Gesellschaftsform oder Branchenzugehörigkeit sage auch nichts darüber aus, wie sicher Firmen ihre IT gestalten, sind sich Schreiber und Vahrenhorst einig. „Bei einigen inhabergeführten Firmen wird bei Investitionen weniger nach Quartalsergebnissen geschielt“, so Schreiber. „Dort ist IT-Sicherheit deshalb manchmal etwas besser verankert.“

Einige Opfer von Cyber-Angriffen, wie die Aerzener Maschinenfabrik, wurden 2021 vergeblich erpresst: Die Firma zahlte nicht. Dafür mussten allerdings alle 1.100 Mitarbeiter für einen Monat in Kurzarbeit. Der Spezial-Maschinenbauer stampfte in dieser Zeit aus dem Nichts ein ganz neues IT-Netzwerk aus dem Boden. Viele betroffene Firmen scheuen diesen Aufwand, entscheiden sich, zu zahlen. Und das wissen die Täter sehr genau, so Schreiber, und weiter: „Damit ist deutlich mehr zu holen, als bei purem Verkauf des Unternehmens-Wissens. So wertvoll sind keine gestohlenen Daten. Also erpresst man diese Beträge. Das war schon 1911 so, als die Mona Lisa gestohlen wurde. So etwas wird man nicht mal eben auf dem Kunstmarkt los. Das Attraktivste ist, das gestohlene Bild wieder an den Besitzer zurückzuverkaufen.“