Wie so häufig begann es mit einer vermeintlich harmlosen Mail, die der Buchhalter einer mittelständischen Firma im Ruhrgebiet eines Tages in seinem Postfach vorfand. Die mit dem Microsoft-Logo geschmückte Nachricht enthielt die freundlich vorgetragene Bitte, sich zur Sicherheit doch mal auf dem Portal einzuloggen. Der enthaltene Link schien tatsächlich auf eine Microsoft-Seite zu führen – nur dass sich die angegebene Adresse von der echten URL des Softwareanbieters in einem winzigen Detail unterschied. So führte er auch nicht zur Originalseite, sondern zu einem täuschend echt wirkenden Fake-Portal. Der Buchhalter gab trotzdem seine Zugangsdaten ein, und das Schicksal nahm seinen Lauf. Kurz darauf waren sämtliche Dateien des Unternehmens verschlüsselt. Die berüchtigte Ransomware hatte zugeschlagen und Kriminelle forderten Lösegeld gegen die Freigabe der Daten.

Die meisten Angriffe starten mit Phishing

Solche Geschichten aus der Praxis können IT-Sicherheitsexperten wie Markus Hertlein, Geschäftsführer der XignSys GmbH in Gelsenkirchen, am laufenden Band erzählen. Die alarmierenden Erkenntnisse, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jüngst erschienenen Jahresbericht zur IT Sicherheit in Deutschland zusammengestellt hat, kann er aus der Praxis bestätigen. Besonders auffällig dabei: „Es erfolgen immer breitere Angriffe, um Mittelständler zu erwischen“, wie Hertlein feststellt. „Und fast immer beginnt es mit einem Phishing-Angriff“ – also mit einer getarnten Mail, die versucht, Log-in-Daten abzugreifen.

Hertleins wichtigster Rat: „IT-Sicherheit ist Geschäftsführer- und Vorstandsaufgabe“, sie müsse alltäglich im Unternehmen gelebt werden. „Wir schließen ja auch die Türen, wenn wir das Haus oder das Büro verlassen.“ Und schon einen Großteil der Angriffe könne man mit einfachen Mitteln abwehren – etwa ein ausreichendes Verständnis für Passwortsicherheit in der Belegschaft; oder noch besser: Passwörter durch eine flächendeckende Zwei-Faktor-Authentifizierung ergänzen. Wie das beim Online-Banking inzwischen Standard ist – das zentrale Geschäftsmodell von Hertleins Unternehmen.

Die Kronjuwelen schützen

Zu drastischen Worten greift auch Norbert Pohlmann, der am Institut für Internet-Sicherheit an der Westfälischen Hochschule forscht: „Allen Unternehmen muss klar sein: Was sie gerade tun, reicht nicht aus, um nicht angegriffen zu werden“, denn „kriminelle Organisationen werden immer professioneller“. Der Institutsleiter und Professor für Cybersicherheit rät zu einem strategischen Vorgehen: „Als Unternehmer muss ich wissen, was meine Werte sind, und diese muss ich besonders schützen.“ Etwa fünf Prozent der Daten eines Unternehmens zählten einer Studie zufolge zu den „Kronjuwelen“, aber die meisten Geschäftsführer machten sich gar keine Gedanken, welche elektronischen Werte besonders wichtig sind.

Pohlmann, Autor des Standardwerks „Cybersicherheit“, wundert sich: „Technologien wie die Multifaktorauthentifizierung sind schon lange verfügbar, die nutzt nur keiner, wir hängen bei vielen IT-Sicherheitsmechanismen hinterher, investieren nicht.“ Die Ausgaben für IT-Sicherheit in Deutschland liegen bei sieben Prozent der IT-Ausgabeninsgesamt, bei den Amerikanern seien es bis zu 20 Prozent. Ein Aspekt ist Pohlmann besonders wichtig: „Die Angreifer werden immer erfolgreicher, schlagen immer intelligenter zu – wenn sie Erfolg haben und Lösegeld frei pressen, finanzieren wir die kriminellen Strukturen mit. Wenn wir mehr entgegensetzen, gibt es weniger erfolgreiche Angriffe. Es fließt weniger Geld in das kriminelle System, und wir machen alle zusammen einen Schritt nach vorne.“

Mit Honigtöpfen gegen Angreifer

Die Kreativität der Cyberkriminellen erreicht verblüffende Ausmaße: So können sogar Stromverbrauch oder elektromagnetische Abstrahlung der Geräte Geheimnisse verraten und kryptografische Verfahren aushebeln – von der Fachwelt als Seitenkanalangriffe bezeichnet. Aber auch das Arsenal der Abwehrmöglichkeiten ist inzwischen beeindruckend. Moritz Samrock, Mitgesellschafter des IT-Sicherheitsunternehmens Laokoon Security in Bonn, beobachtet das Internet im Auftrag seiner Kunden auf verdächtige Aktivitäten: „Durch unser Monitoring haben wir kürzlich eine von Hackern nachgebaute Website eines Kunden gefunden, inklusive Log-in.“ Durch die rechtzeitige Entdeckung sei es möglich gewesen, den Betrieb vorzuwarnen und den Angriff abzuwehren.

Neben dem Monitoring setzt der IT-Experte, der berufliche Erfahrungen in der Cyberabwehr der Bundeswehr gesammelt hat, auf eine weitere besonders effiziente Abwehrwaffe: „Wir haben bei verschiedenen Kunden Honeypots, Honigtöpfe, eingesetzt. Das sind kleine Server ohne Funktion im internen Firmennetzwerk, auf die niemand zugreift – außer eben Hacker, die nach einem Einfallstor suchen.“ Schon einige Späher sind im Honigtopf gelandet und wurden dann von Samrocks Team hinausgeworfen. Oft seien Hacker monatelang im Netzwerk unterwegs und spähten den Betrieb erst einmal aus, ohne erkannt zu werden – das können auch 200 Tage sein.

Schwachstellen aufdecken und schließen

Eine der besten Methoden sieht Samrock im Einsatz seines „Red Teams“, das selbst in die Rolle des Angreifers schlüpft und nach Schwachstellen sucht. Denn, so die Erfahrung des Sicherheitsexperten: „Selbst bei teuer eingekauften Konzepten finden sich Schwachstellen.“ So habe einer seiner Kunden mit vermeintlich gut aufgestellter IT einen Teil seiner Unternehmensaktivitäten nach Indien ausgelagert – aber ein Angreifer ging den ausgeklügelten Sicherheitsstrukturen durch die Maschen. Das Ergebnis: Hundert indische Mitarbeiter hatten keinen Zugriff mehr auf das Firmennetzwerk und mussten nach Deutschland eingeflogen werden, um den Schaden zu begrenzen. Um weitere theoretische und konzeptionelle Schwachpunkte in den IT-Sicherheitskonzepten aufzudecken, wurde im Anschluss an diesen Vorfall das sogenannte Red Team beauftragt.

Den Gesamtschaden durch Internetkriminalität beziffert der Digitalverband Bitkom auf über 200 Milliarden Euro im vergangenen Berichtsjahr. Neben der technischen Abwehr besteht auch die Möglichkeit, das Risiko, das mit Cyberattacken einhergeht, zu versichern. Das sei jedoch, so beobachtet Samrock, „schwer versicherbar – einfach, weil das Risiko so hoch ist.“ Allerdings würden die Chancen steigen, wenn man seine „Hausaufgaben“ gemacht habe. Häufig benötigen Unternehmen zertifizierte IT Sicherheitskonzepte, die durch einen Penetrationstest geprüft wurden. „Hierkommen wir dann ins Spiel“, sagt Samrock. „Wir führen häufig solche Tests bei Unternehmen durch, die sich für eine Cyberversicherung qualifizieren wollen. Je mehr ein Unternehmen also bereits in das Thema IT-Sicherheit investiert, desto realistischer ist eine – bezahlbare – Versicherungspolice.“