Von Sabine Reifenberger, Frankfurt

Wer die Industrie- und Handelskammern in Deutschland erreichen wollte, musste in den letzten Wochen zum Telefon greifen oder das Faxgerät entstauben. Grund war eine „mögliche Cyberattacke“, viele IT-Systeme waren vorsorglich heruntergefahren. Auch Ista musste die Services einschränken: Der Energiedienstleister bestätigte Ende Juli, er sei „Opfer eines externen Cyberangriffes“. Eine Hackergruppe hat inzwischen ein Datenpaket veröffentlicht, das im Zusammenhang mit dem Angriff steht.

Die französische Tochter des Rüstungskonzerns Hensoldt, Nexeya France, meldete Donnerstag einen „ernsthaften“ Cyberangriff auf die IT-Infrastruktur: Beide Nexeya-Datencenter in Frankreich seien betroffen, voraussichtlich seien „in erheblichem Umfang Daten abgegriffen und Systeme verschlüsselt worden“. Der operative Betrieb von Nexeya ist beeinträchtigt, die IT-Infrastruktur und Daten anderer Gesellschaften sollen nach derzeitigen Erkenntnissen nicht betroffen sein. Die Aufarbeitung in allen diesen Fällen läuft.

Der US-Anbieter Cisco ist da nach einer Attacke aus dem Mai schon weiter und hat analysiert, wie es zu dem Angriff kam. Hinweise, dass dabei Zugriff auf kritische interne Systeme erlangt wurde, gibt es Cisco zufolge nicht. Die Angreifer schafften es, ein Multi-Faktor-Verfahren auszuhebeln. Über den persönlichen Google-Account eines Mitarbeiters gelangten sie an im Browser gespeicherte Zugangsdaten. Über fingierte Anrufe brachten sie den Mitarbeiter dazu, eine Push-Nachricht zu akzeptieren, die ihnen Zugang zum Unternehmensnetzwerk verschaffte.

„Die Angreifer spähen in solchen Fällen von ‚targeted attacks‘ gezielt Mitarbeiter eines Unternehmens aus, etwa über Social Engineering, und rekonstruieren beispielsweise private E-Mail-Adressen“, sagt Kathrin Odette Meuthen, die bei Grant Thornton als Partner das Cyber Security and New Technology Team leitet. Experten sprechen von einem „Insider Threat“: dem Mitarbeiter als Risiko.

Besonders im Fokus der Cyberkriminellen stehen Zulieferer. Die Idee: Über Schnittstellen zu den Systemen der Kunden lassen sich gleich mehrere Unternehmen attackieren. Im Herbst wurde die Eberspächer Gruppe Ziel eines Hackerangriffs. Die Täter griffen mit Hilfe einer Ransomware weltweit Server an und verschlüsselten einen Teil der Daten. Hinweise darauf, dass sich die Attacke über Kommunikationsverbindungen auf Partnerunternehmen ausbreitete, gab es laut Eberspächer aber nicht. Den entstandenen Schaden bezifferte der geschäftsführende Gesellschafter Martin Peters gegenüber Medien kürzlich auf einen mittleren zweistelligen Millionenbetrag.

Angriffe mit einer Schadsoftware, etwa einer Ransomware, die Daten verschlüsselt, streuen Angreifer oft breit. Attacken im Darknet zu beauftragen kostet manchmal weniger als ein Restaurantbesuch. Die Forderungssummen der Erpresser variieren stark. „Manchmal können angegriffene Unternehmen oder Behörden sogar via Live-Chat mit den Erpressern über Summen, Zahlungsart und Zahlungsweise verhandeln“, berichtet Meuthen.

Die Infektion mit Schadsoftware passiert schnell: Mitunter reicht ein voreilig geöffneter Anhang aus einer Phishing-Mail. Deren Betreffzeilen zielen oft auf Dringlichkeit oder Neugier ab, um zum Klick zu verleiten.

Der Bericht zur Lage der IT-Sicherheit in Deutschland 2021 des Bundesamts für Sicherheit in der Informationstechnik zeigt, wie schnell neue Varianten von Schadprogrammen entstehen. Schutzprogramme können diese mitunter schlechter erkennen, das macht sie gefährlich. Von Juni 2020 bis Ende Mai 2021 nahm die Zahl neuer Schadprogramm-Varianten täglich im Schnitt um gut 394000 zu.

Die Aufarbeitung einer Cyberattacke kann ein Unternehmen monatelang belasten. „In einem bekannten Fall war eine produzierende Firma über ein Jahr nicht mit dem Internet verbunden – bis auf einen ‚Stand-alone-Rechner‘, der sowohl vom Office-IT-Netzwerk als auch dem Produktionsnetzwerk getrennt war“, berichtet Meuthen. Um Schäden einzugrenzen, sei die erste Reaktion entscheidend. Ein ausgearbeiteter Notfallplan sollte immer griffbereit sein.