Archetyp Links

Herrn Bensmann, in den vergangenen Jahren hat es einige Hacker-Angriffe auch auf Unternehmen aus der Region gegeben. Jüngst war der Ameos-Konzern betroffen. Wie bedroht ist die Wirtschaft aktuell? Die Angriffe werden wieder mehr. Wir hatten auch bei uns ruhige Zeiten, etwa von Mitte 2024 bis zu Beginn der Sommerferien in Niedersachsen in diesem Jahr. Mittelstandsorientierte Unternehmen haben investiert, sodass auch wir mehr in der Früherkennung im Einsatz waren. Das heißt, man konnte sehen, dass jemand versucht hat, ins Netzwerk zu kommen, aber der Schaden war nicht groß. Großereignisse wie Ameos sind eher ausgeblieben. Das hat sich gedreht. Woran liegt das? Es ist ein Katz-und-Maus-Spiel. Cyberkriminelle haben in den letzten Jahren einige Rückschläge erlitten. Unter anderem das Bundeskriminalamt hat viele Schläge gegen organisierte Kriminalität im Internet durchgeführt. Dabei ging es nicht nur um Hacker, aber eben auch. Einige Gruppierungen wurden dabei zerschlagen. Dann versickern die Aktivitäten etwas im Untergrund, bis sich die Hacker neu formieren. Das ist jetzt passiert. Eine Gruppe, mit der wir zu tun haben, hat in letzter Zeit wieder vermehrt Angriffe durchgeführt. Und leider gehen immer mal welche durch. Zuletzt auch ein Klinik-Konzern betroffen: Hackerangriff auf Ameos: Was sind die Folgen für den Osnabrücker Psychiatrie-Standort? Ist Cyber-Security denn mittlerweile zur Chefsache in Unternehmen geworden? Den Eindruck habe ich in jedem Fall. Gerade in den Unternehmen aus dem Mittelstand ist das Thema auf der Chefetage angekommen und wird auch nicht mehr nur als Kostenfaktor gesehen. Man muss aber auch sagen: Investitionen alleine helfen nicht. Auch, wenn viel Geld für Cyber-Security ausgegeben wird, kann es passieren, dass das Unternehmen verschlüsselt wird. Woran liegt das? Das liegt manchmal daran, dass die falschen Maßnahmen getroffen werden. Cyber-Crime ist sehr dynamisch. Auf die Entwicklungen gilt es, richtig zu reagieren. Schwachstellen in Software ein großes Problem Ist das Problem immer noch oft der Mitarbeiter vor dem Computer, der auf ein vermeintliches Gewinnspiel oder eine Paket-Meldung klickt? Auch, ja. Man muss aber unterscheiden, wo der Schaden entsteht: Die Maschen, dass vermeintlich der Paypal-Zugang oder Bankdaten aktualisiert werden müssen, betreffen vor allem Privatpersonen. Das wird mit jedem Daten-Leak mehr. Je öfter man seine Mail-Adresse angegeben hat und je öfter sie in geleakten Datenbanken steht, desto wahrscheinlicher ist es, solche Mails zu erhalten. Phishing bleibt auch eines der häufigsten Einfallstore, wenn Unternehmen gehackt werden. Dabei haben es Kriminelle auf die Login-Daten der Mitarbeiter abgesehen. Schwachstellen in Software sind laut Marcel Bensmann für Hacker ein noch größeres Einfallstor als Phishing. Foto: André Havergo Icon Maximize Icon Lightbox Maximize Schliessen X Zeichen Kleines Zeichen welches ein X symbolisiert Gibt es da auch neue Maschen? Relativ neu ist eine Masche über sogenannte Captcha, beispielsweise bei gefakten Booking.com-Seiten. Der User wird aufgefordert, ein Bilderrätsel zu lösen. Das kennen wir alle noch und sehen das als Validierung und Sicherheit. Auch deshalb war diese Masche in den ersten Wochen unglaublich erfolgreich. Mit seiner Eingabe hat der Nutzer dann unwissend Schadsoftware installiert. Es ist aber nicht mehr nur der Mitarbeiter im Fokus. Sondern? Wir nutzen heute so viel Software, die jeweils Schwachstellen hat, dass diese für potenzielle Angreifer das viel größere Einfallstor sind. Deshalb sind Updates so wichtig, die oft diese Lücken schließen. Lesen Sie auch: Erpressung per Mausklick: Hacker Marco Di Filippo zeigt Cyberangriff in Echtzeit Zu zahlen ist auch eine moralische Frage Wenn es zu spät ist, und Systeme verschlüsselt sind, hieß es immer: Bloß nicht zahlen! Gilt das noch? Das heißt es immer noch. Heute stellt sich mehr denn je die Frage: Wo fließen die Gelder hin? Wenn wir wissen, dass die Angreifer-Gruppen mit Russland in Verbindung stehen, schwingen schnell sanktionelle und moralische Fragen mit. Es gibt aber auch Angreifer, die eher amateurhaft unterwegs und beispielsweise in Thailand oder Vietnam angesiedelt sind. Das Dilemma für Unternehmen ist immer: Muss ich bezahlen, um meine Daten wiederzubekommen? Oder gibt es auch andere Möglichkeiten? Wie lautet hier meist die Antwort? Oft gibt es kreative Wege, um Daten wiederzubekommen. Auch wenn es scheint, dass Backups gelöscht wurden. Das hat aber auch seinen Preis. Welchen Schutz bieten Cyber-Versicherungen? Wer eine solche Versicherung abschließt, sollte sehr genau prüfen, dass er die Anforderungen einhält. Sonst sieht das Unternehmen am Ende keinen Cent. Und Schadensfälle liegen schnell zwischen einer Million und einem dreistelligen Millionenbetrag. Versicherungen prüfen sehr bedacht. Lösegeldzahlungen werden übrigens heute kaum noch übernommen. Ein Fall aus dem Archiv: Hacker legen Osnabrücker Kupferverarbeiter KME lahm Wenn ein Unternehmen gehackt wird, mit wem arbeiten Unternehmen zusammen? In jedem Bundesland gibt es eine zentrale Anlaufstelle Cyber-Crime. Die warnen auch proaktiv einzelne Unternehmen, wenn gerade eine Operation beispielsweise mit dem Bundeskriminalamt gegen eine Gruppe Hacker läuft und diese Firma möglicherweise ein Ziel ist. Wer eine solche Warnung bekommt, sollte sie in jedem Fall ernst nehmen. Ich habe schon erlebt, dass das nicht der Fall gewesen ist und dann die Verschlüsselung folgte. Was ist bei so einer Warnung die Lösung? So schwer es manchmal fällt: den Netzwerkstecker ziehen und sich von außen komplett abkapseln. Dann besteht die Gewissheit, dass es keine Interaktion mehr gibt und man kann sich darum kümmern, herauszufinden, wie es dazu gekommen ist, wie weit die Angreifer sind und wie man wieder in einen sicheren Betrieb kommt. Zahlen in Bitcoin? „Risikoaufschlag“ bitte! Hatten Sie selbst schon Kontakt zu Hacker-Gruppen? Ja, das hatte ich. Manchmal ist es nur eine einzelne Person, gar keine Gruppe. Wenn das Kind in den Brunnen gefallen ist und Daten im Unternehmen verschlüsselt wurden, hinterlässt der Angreifer meist eine Kontaktmöglichkeit. Oft führt diese in Darknet-Foren, manchmal ist es aber auch ein Messenger wie Telegram oder Signal. Man weiß oft erst einmal gar nicht, mit wem man da spricht. Mit wem hatten Sie zu tun und wie läuft sowas ab? Wir hatten beispielsweise zuletzt mit jemandem in Thailand über Telegram zu tun. Diese Leute sind nicht groß organisiert. Wir hatten von einem anderen Schadensfall den Tipp bekommen, dass der Hacker eine irrsinnig niedrige Lösegeldforderung gestellt hatte. Manchmal muss man sich das erst einmal anhören, um entscheiden zu können: Zahlt man einem Kriminellen Geld, um schnell wieder ans Arbeiten zu kommen? Oder nicht. Ein Fall aus diesem Jahr: Cyberangriff auf das Rathaus Ostercappeln: Wurden Daten von Bürgern abgegriffen? Wie war das in diesem Fall? Die Person hat uns vorgeschlagen, ein Angebot zu machen. Wir wussten, dass das andere Unternehmen rund 20.000 Euro für den Schlüssel zu den Daten gezahlt hatte. Ein Backup hatte unser Kunde nicht mehr. Also haben wir, nachdem wir etwas hin und her geschrieben hatten, 12.000 US-Dollar ausgehandelt. Das Geld wurde dann in Bitcoin überwiesen. Ist Bitcoin immer noch die Währung der Wahl für solche Lösegelder? Häufig ist das so, ja. Sie ist eine der gängigsten Kryptowährungen, mit Blockchain-Forensik kann aber auch nachvollzogen werden, wohin die Gelder am Ende fließen. Manche Gruppierungen nutzen daher andere Kryptowährungen wie Monero. Da ist die Nachverfolgung schwieriger. Manche bieten auch beides an und verlangen eine Art Sicherheits- oder Gebühren-Aufschlag, wenn in Bitcoin gezahlt wird. Auch das FBI kann schon mal involviert sein Was war der spannendste Fall, den Sie bislang hatten? Alle Fälle sind auf ihre Art spannend. Wir hatten aber vor einiger Zeit einen Fall, bei dem ein Unternehmen gewarnt und der Stecker gezogen wurde. Dann gilt es, Ruhe zu bewahren. Ein Fall wie dieser bringt Menschen an ihre Grenzen. Durch die Warnung gab es noch keine Verschlüsselung, es wurden aber sehr brisante Daten geklaut. Wir konnten feststellen, dass sie auf einen amerikanischen Server abgeflossen sind. Zusammen mit der Polizei in Deutschland und dem FBI konnten wir dann den Provider informieren. Lesen Sie auch: Mehr Cyberangriffe 2024: Das sind die Tricks der Kriminellen Und dann? Der Provider hat die Daten erst einmal eingefroren, damit sie nicht weiter verbreitet werden. Also auch nicht ins Darknet kopiert werden können. Das passiert, anders als mancher meint, nicht immer direkt. So wurden übrigens auch andere gewarnt, bei denen sich herausstellte, dass ihre Daten dort ebenfalls lagen. Da das Unternehmen noch nicht verschlüsselt war, und die Angreifer keinen Zugriff mehr auf die Daten hatten, hatten sie auch keinen Druckpunkt mehr. Das heißt, der Fall war abgeschlossen? Nicht ganz. Wir haben darauf spekuliert, dass das Unternehmen auf sogenannten „Blaming-Pages“ im Darknet auftaucht. Das ist oft der Fall, inklusive Screenshots vermeintlicher Daten und meist einem Countdown. Auch dieses Unternehmen ist dort aufgetaucht, allerdings ohne Countdown und Möglichkeit, mit den Hackern in Kontakt zu treten. Die Hacker haben zum guten alten Telefonhörer gegriffen und angerufen. Ganz wichtig ist: nicht drangehen. Letztlich haben sie auf die Mailbox gesprochen, ein Ultimatum gestellt und auch eine Mail-Adresse zur Kontaktaufnahme hinterlassen. Wie hat das Unternehmen reagiert? Man ist natürlich nervös. Es waren brisante Daten und ganz ausschließen, dass nicht doch etwas weiterkopiert wurde, bevor der Server eingefroren wurde, kann man nie. In dem Fall war es aber so, dass bis heute nichts passiert ist. Die Hacker haben irgendwann aufgegeben, das Unternehmen zu kontaktieren. Diese Gruppe ist zurzeit sehr aktiv. Täglich werden 15 bis 20 Unternehmen aus aller Welt auf der Blaming-Page veröffentlicht. Da lautet für die das Motto: Aufstehen, Krönchen richten, weitermachen. Hacker müssen ihre Menschen auch bezahlen. Das zu erleben, war sehr skurril. Lesen Sie auch: Jede vierte Gemeinde schon Opfer eines Cyberangriffs geworden Ein Hack kann auch eine Lernchance sein Sind kleine Unternehmen weniger gefährdet als große? Das kann man so nicht sagen. Organisierte Gruppen wissen, wohin sie wollen und greifen gezielt an. Viel wahrscheinlicher ist jedoch, dass ein Hacker seine Software anschmeißt, IP-Adressen durchprobiert und Standard-Checks macht. Das kann man sich vorstellen wie beim TüV. 800 Mal scheitern sie, beim 801. gibt es einen Treffer – und das kann der kleine Mittelständler mit 30 Mitarbeitern sein. Erst, wenn der Treffer angezeigt wird, beginnt die händische Arbeit und Angreifer finden heraus, wo sie eigentlich gelandet sind. Was bedeutet ein Hack für ein Unternehmen? Jeder Hack ist auch eine Lernchance. Für die Betroffenen, aber auch für andere. Ich würde mir wünschen, dass noch mehr Betroffene darüber reden. Die Erfahrung zeigt, dass Unternehmen aus so einer Situation gestärkt hervorgehen können. Sowohl, was die eigene IT-Sicherheit angeht, als auch mit Blick auf den Zusammenhalt im Team. Es kann jeden treffen.