Cyberangriff: Das Risiko hat stark zugenommen
Experte rätz zum Schutz von it-Systemen
Im Interview rät IT-Sicherheitsexperte Sebastian Schreiber den CCD-Unternehmen dringend zum Schutz ihrer Systeme.
Herr Schreiber, Ihr Unternehmen SySS ist spezialisiert auf Penetrationstests, das heißt, Sie testen IT-Systeme auf Sicherheitslücken. Wer sind Ihre Auftraggeber?
Sebastian Schreiber: Alle Unternehmen. Jedes Unternehmen ist heute stark IT-abhängig und damit potenziell bedroht. Egal, ob es sich um eine kleine Molkerei handelt oder einen weltweit operierenden Pharmakonzern, eine Großbank oder einen Automobilhersteller. Alle müssen sich testen lassen. Zunehmend kommen jetzt auch die kleineren Unternehmen auf uns zu. Das Bewusstsein dafür, dass man seine IT schützen muss, wächst. Es sind verstärkte Bemühungen der Unternehmen zu erkennen, aber das reicht noch nicht, viele werden dennoch gehackt. Oft ist es so, dass erst wenn der Schaden eingetreten ist, plötzlich ein Riesenbudget für Cybersicherheit bereitgestellt wird. Besser wäre es, vor einem Einbruch in die Cybersicherheit zu investieren.
Was ist Auslöser für dieses wachsende Bewusstsein? Schlagzeilen über Cyberangriffe mit Millionenschäden
Schreiber: Da haben Sie recht, die Meldungen sind es, aber die Meldungen sind nur ein Indikator für ein steigendes Risiko. Dieses steigende Risiko sorgt dafür, dass sich mehr Unternehmen, zunehmend auch kleinere, mit dem Thema Cyberangriffe beschäftigen müssen. Der perfekte Zugang ist da der Penetrationstest.
Lassen sich die Schäden beziffern, die jährlich in Deutschland durch Hacker-Angriffe entstehen?
Schreiber: In Deutschland sind es laut Bitkom etwa 200 Milliarden Euro pro Jahr, also etwa der halbe Bundeshaushalt.
Hat das Risiko, Opfer eines Cyberangriffs zu werden, seit dem Beginn des Ukraine-Kriegs zugenommen?
Schreiber: Das Risiko hat in der Tat stark zugenommen. Ob da ein kausaler Zusammenhang mit dem Ukraine-Krieg besteht, wage ich allerdings zu bezweifeln. Das Risiko hat sich deswegen erhöht, weil ein Cyber-Angriff für die Täter immer attraktiver wird. Aus Tätersicht wird der Profit bei einem Angriff immer höher. Es lohnt sich, es gibt Nachahmer dieses Geschäftsmodells. Deswegen erhöht sich das Risiko auf Seiten des deutschen Mittelständlers.
Worum geht es den Hackern? Vorrangig um Geld?
Schreiber: Ja. Es gibt sehr unterschiedliche Hacker. Die akademischen Hacker, die nur zeigen wollen, dass eine Angriffstechnik klappt. Es gibt Hacker, die aus Spaß hacken. Aber der breiten Masse der Hacker geht es ums Geld. Für Geld heißt heute: Arbeitsteiliges Vorgehen, hoher Grad an Organisation, Hierarchien wie im Unternehmen – und teilweise sogar Franchise-Modelle. Die Masche ist meist die gleiche: Der Täter greift die IT eines Unternehmens an, verschlüsselt sämtliche Daten und fordert ein Lösegeld, damit das Unternehmen anschließend wieder Zugriff auf sein System und seine Daten erhält. Der Täter nimmt also die IT des betroffenen Unternehmens in „Geiselhaft“, für das Freilassen der „Geisel“ will er ein Lösegeld sehen.
Wird die „Geisel“ nach der Lösegeldzahlung freigelassen oder nicht?
Schreiber: Ja, nach Zahlung des Lösegelds wird die „Geisel“ freigelassen. Denn das Geschäftsmodell des Täters setzt voraus, dass der Täter eine Reputation hat. Deshalb wird der Täter alles daransetzen, diese Reputation zu pflegen. Stellen Sie sich vor, Sie würden Menschen als Geisel nehmen und jeder weiß, dass sie jede Geisel erschießen. Dann werden Sie niemals Lösegeld erhalten.
Sind es eher die kleinen oder die großen Unternehmen, die Opfer eines Angriffs werden?
Schreiber: Beide! Die Deutsche Leasing wurde neulich als größeres Unternehmen gehackt, auch ABB hat es erwischt. Aber auf jedes größere Unternehmen kommen Dutzende von kleinen Unternehmen, die nicht so bekannt sind und dementsprechend in der Presse keine Erwähnung finden. Der Täter sucht sich meist kein konkretes Unternehmen als Ziel aus – sondern verschlüsselt einfach alle Unternehmen, in die er einbrechen kann.
Immer wieder werden auch Teile der öffentlichen Verwaltung angegriffen, Landratsämter beispielsweise. Da ist kein Geld zu holen, worum geht es den Tätern dann?
Schreiber: Spannende Frage! Erst einmal hat ein Landkreis keine Konkurrenz, er kann nicht pleitegehen, die Mitarbeiter werden nicht entlassen. Man sollte also meinen, dass dort keine Lösegelder bezahlt werden. Aber es kommt durchaus vor, dass auch staatliche Instanzen Lösegeld zahlen. Wenn die Steuergelder der Bürger von den Behörden an Kriminelle weitergeleitet werden, ist dann eine schlimme Angelegenheit. Das darf eigentlich nicht sein.
Was ist teurer: Das Lösegeld zu bezahlen oder die Systeme durch Experten wieder herstellen zu lassen?
Schreiber: Tja. Das hängt von verschiedenen Dingen ab. Die Lösegeldzahlung sollte immer Ultima Ratio sein. Stattdessen sollte man vorher alles daransetzen, nicht gehackt zu werden. Aber im Falle eines Falles bleibt einem nichts anderes übrig, als das Lösegeld zu bezahlen.
Angenommen, der Angriff ist passiert …
Schreiber: So weit darf es nicht kommen. Dann steht Ihr Unternehmen auf der Kippe. Nichts geht mehr, die Kunden rufen an, Sie können die Gehälter nicht mehr bezahlen usw. Stellen Sie sich lieber vor, dass Sie proaktiv ansetzen, um den Angriff zu vermeiden. Sie beauftragen einen Penetrationstest. Der Test deckt Schwachstellen auf. Sie beheben die Schwachstellen und können so den Bestand Ihres Unternehmens sichern.
Dennoch: Angenommen, der Angriff ist passiert. Wie verhalte ich mich?
Schreiber: Die entscheidende Frage ist dann: Ist das Backup mitverschlüsselt oder nicht? Wenn Sie ein gutes Backup haben, bezahlen Sie das Lösegeld nicht. Wenn Sie aber kein Backup haben, werden Sie vermutlich geneigt sein, das Lösegeld zu bezahlen. Selbst meine sehr erfahrenen Experten können gut verschlüsselte Daten nicht wiederbringen.
Im geplanten KRITIS-Dachgesetz zum Schutz kritischer Infrastrukturen wird Cyberkriminalität auf eine Stufe mit Terror und Klimawandel gestellt. Schätzen sie die Bedrohungslage ähnlich ein?
Schreiber: Ja. Das sind die Themen unserer Zeit, mit denen wir uns beschäftigen müssen. Man könnte das Spektrum weiter öffnen. Künstliche Intelligenz ist ebenfalls ein Riesenthema, durch das wir in den nächsten zehn Jahren starke Veränderungen erfahren werden. Das sind die Dinge, bei denen wir hellwach sein und die weitere Entwicklung aufmerksam beobachten müssen. KI wird uns einerseits helfen, unsere Systeme zu verteidigen, andererseits aber auch ein Einfallstor für Angriffe sein. Bei der SySS GmbH experimentieren wir schon heute mit LK und Machine Learning.
Welche Rolle spielt der Fachkräftemangel für die IT-Sicherheit?
Schreiber: Das ist ein Riesenproblem. Um IT sauber zu betreiben, benötige ich die richtigen Köpfe. Von diesen haben wir in Deutschland tatsächlich viel zu wenige. Das beschleunigt die Flucht in die Cloud. Die Systeme werden extern betrieben, das provoziert Abhängigkeit – auch von anderen Staaten. Die deutsche Wirtschaft hat über Jahre vom billigen Gas aus Russland profitiert, aber sich so in eine schmerzhafte Anhängigkeitsposition gebracht. In diese Abhängigkeit begeben wir uns jetzt bei Microsoft und Amazon, lassen unsere Systeme also von Amerikanern betreiben. Wehe, wenn es da zu politischen Zerwürfnissen kommen sollte, z.B. durch einen Konflikt zwischen China und Taiwan, in dem die USA Taiwan beistehen. Vorstellbar wäre dann, dass die USA ihre Partner, also auch Deutschland, zum Boykott aufrufen, keine Geschäfte mehr mit China zu machen. Aufgrund der erheblichen Abhängigkeiten von China im Bereich Automotive oder Maschinenbau können wir Deutschen uns das nicht leisten, wir beliefern China weiter. Und Amerika schaltet daraufhin im Rahmen eines Embargo unsere Cloud aus. Dann steht Deutschland still. Dann bewegt sich kein Fließband mehr, alles läuft in amerikanischen Cloudsystemen. Das ist vital gefährlich. Wir machen uns abhängig von den USA und China zugleich – eine doppelte Abhängigkeit von zwei möglichen Konfliktparteien. Das ist vollkommen unverantwortlich.
Zur Person:
Diplom-Informatiker Sebastian Schreiber hat 1998 während seines Studiums in Tübingen das IT-Sicherheitsunternehmen SySS GmbH mit heute 170 Mitarbeitern gegründet. Die SySS GmbH ist nach eigenen Angaben Marktführer in Deutschland auf dem Gebiet des Penetrationstests. Schreiber tritt regelmäßig bei Messen und Kongressen im In- und Ausland als Live Hacker auf. Bekannt ist der IT-Sicherheitsexperte auch aus Printmedien, Rundfunk und durch zahlreiche TV-Auftritte, u. a. in der Tagesschau, ZDF heute, Plusminus oder bei Günther Jauch. Im Rahmen der CCD-Mitgliederversammlung 2023 demonstrierte Schreiber bei einem Live-Hacking eindrucksvoll, wie IT-Netze übernommen, Passwörter geknackt und Daten abgezogen werden können.