Cybersecurity-Krise Sind deutsche Firmen gegen Angriffe geschützt?
Hackerangriffe auf deutsche Krankenhäuser, Fabriken, Flugzeuge und andere kritische Infrastrukturen nehmen stetig zu. Unternehmen fragen sich besorgt: Was kommt als Nächstes?
"Scheiße!", entfährt es einem Teilnehmer, während Sönke Rasmussen von der zentralen Ansprechstelle Cybercrime der Hamburger Polizei eine Sicherheitsschulung moderiert. Er reagiert so auf die Erkenntnis, wie sehr sich die Tricks der Hacker im Laufe der Jahre verfeinert haben - und wie kreativ sie mittlerweile vorgehen.
Die Zahl der Cyberbedrohungen in Deutschland steigt. Unternehmen schlagen Alarm: Für zwei Drittel von ihnen könnte ein erfolgreicher Cyberangriff existenzbedrohend sein. Allein im Jahr 2023 wurden mehr als 140.000 Fälle registriert.
Betroffen sind sowohl kleine Unternehmen als auch große Konzerne - ebenso wie kritische Infrastrukturen, darunter Krankenhäuser und staatliche Einrichtungen. Jeder, der einen Computer oder ein Smartphone besitzt, ist potenziell gefährdet.
In den vergangenen Jahren wurde Deutschland von vielen hochkarätigen Cyber-Skandalen erschüttert. Bei einem Angriff im Januar des vergangenen Jahres wurden die E-Mail-Konten etwa des SPD-Parteivorstands kompromittiert. Im Mai 2024 bestätigte die deutsche Regierung offiziell, dass eine Einheit des russischen Militärgeheimdienstes GRU für diesen Angriff verantwortlich war.
Cyberangriffe nehmen zu
Am 13. Oktober 2024 gab es einen Cyberangriff auf das Johannesstift Diakonie, einen überregionalen Krankenhausbetreiber. Alle zentralen Server der Organisation wurden durch einen sogenannten Crypto-Überfall verschlüsselt, was zum Ausfall eines Großteils der IT-Systeme in den Einrichtungen führte. Dies führte zu Unterbrechungen bei der Arbeit mit Geräten wie Röntgen, CT und MRT.
Die Rettungsdienste von vier Berliner Krankenhäusern konnten nicht erreicht werden. Die Identität des Angreifers ist nicht sicher bekannt. Es wird jedoch berichtet, dass der Angriff von einer "bekannten internationalen Hackergruppe durchgeführt wurde, die seit vielen Jahren aktiv ist".
Sicherheitsschulungen im Trend
Bei der Sicherheitsschulung bei der Hamburger Polizei ist volles Haus. Etwa 25 Teilnehmer werden an diesem Tag in einem hellen, großen Raum geschult, hinzu kommen mehrere Online-Teilnehmer. Zweimal pro Woche finden die Schulungen inzwischen statt.
Gerade weil Cybersicherheit für Unternehmen von so großer Bedeutung ist, ziehen es viele vor, anonym zu bleiben, um mögliche Angriffe von Kriminellen nicht zu provozieren. Viele von ihnen haben das bereits am eigenen Leib erfahren.
Rolle von KI und Deepfakes
Künstliche Intelligenz hilft in vielerlei Hinsicht, die Arbeit von Unternehmen zu optimieren, Schwachstellen zu erkennen und die Cybersicherheit des Unternehmens zu stärken.
Gleichzeitig wird die KI aber auch zu einem Werkzeug für Cyberkriminelle. Die Zeiten, in denen Hacker kurze E-Mails in schlechtem Deutsch verschickten und unter dem Vorwand, ein neuer Buchhalter zu sein, nach den Bankkartendaten des Unternehmens fragten, sind vorbei. Mit Hilfe von Chat-GPT sind selbst solche E-Mails inzwischen raffinierter geworden.
Darüber hinaus kommt es vor, dass Angreifer generative KI nutzten, um Phishing-Mails oder Deepfake-Videos für verschiedene Betrugsdelikte zu erstellen. Als Beispiel zitiert Rasmussen die Geschichte eines Finanzmitarbeiters in Hongkong, der zu einer Videokonferenz eingeladen wurde. Sein Chef und andere Kollegen forderten ihn dabei auf, 25 Millionen Dollar für ein geheimes Projekt zu überweisen. Später stellte sich heraus, dass der Mitarbeiter die einzige reale Person in dem Call war. Alle anderen, einschließlich der Stimme und Gestik des Chefs, waren KI-generiert.
Täter agieren unternehmerisch
Die Angriffe sind immer professioneller geworden, besonders im Bereich Ransomware. Tätergruppen sind heute wie kleine Unternehmen organisiert. Es gibt ein regelrechtes Geschäftsmodell, sagt Rasmussen. Mit einem Baukastenprinzip können Cyberkriminelle Malware-Pakete zusammenstellen, ohne selbst programmieren zu müssen. Sogenannte "Cybercrime-as-a-Service" Angebote ermöglichen es, "einzelne Aspekte einer Cyber-Attacke, wie den Zugang zu kompromittierten Systemen, als Service einzukaufen".
Bei einem Ransomware-Angriff infiltriert das Schadprogramm einen Computer im Unternehmensnetzwerk und lädt heimlich andere Schadprogramme von den Servern der Täter nach. Ziel dieser Programme ist es, sich unentdeckt im Netzwerk des Unternehmens auszubreiten und die Kontrolle zu übernehmen.
Das Schadprogramm kann dann über Wochen und Monate im System "schlafen", ohne dass das Unternehmen davon erfährt. Anschließend warten die Täter auf eine günstige Gelegenheit, oft auf die Nacht, das Wochenende oder Feiertage - Zeiten, in denen lange niemand im Büro ist.
Lösegeld für Daten
Dann werden alle wertvollen Daten des Unternehmens, oft auch Bilanzen oder Kundendaten, auf die Server der Täter kopiert und die Originaldaten in verschlüsselter Form zurückgelassen.
Sobald die Verschlüsselung der Dateien abgeschlossen ist, hinterlässt der Täter einen Erpresserbrief und fordert die Unternehmen auf, sich über eigens dafür eingerichtete Kommunikationskanäle mit den Tätern in Verbindung zu setzen. "Wenn die Unternehmen dem zustimmen, wird ein Lösegeld gefordert, damit die gestohlenen Daten entschlüsselt und nicht weitergegeben werden."
So hacken Angreifer
Wie aber gelangen Angreifer an die Daten? Häufig folgen Nutzer unvorsichtigerweise Links oder geben persönliche Daten auf verdächtigen Websites ein.
Neben individuellen Schwachstellen nutzen Hacker auch das Vertrauen der Menschen in offizielle Websites - indem sie ihre Opfer durch E-Mails auf täuschend echte Website-Kopien locken, um dort sensible Daten zu stehlen. Das nennt man Phishing.
Für bessere Erfolge kombinieren die Täter oft mehrere Täuschungsmethoden. So werden bei sogenannten Homoglyphen-Attacken einzelne Zeichen von E-Mail- oder Website-Adressen durch optisch ähnliche Buchstaben ersetzt.
Sie nutzen Zeichen, die einander ähneln. Zum Beispiel, das große I und das kleine l oder durch Sonderzeichen: den Buchstaben O und die Null 0, den lateinischen Buchstaben H und den kyrillischen Buchstaben H. Für die Opfer wird es kompliziert, die E-Mail- oder Website-Adressen als Fälschungen zu erkennen.
Verbesserung der Cybersicherheit in Kriegszeiten
Nach Angaben des IT-Sicherheitsexperten Felix Kuhlenkamp von der Organisation Bitkom konnten im Jahr 2024 etwa 70 Prozent der betroffenen Unternehmen mindestens einen Angriff mit organisierter Kriminalität in Verbindung bringen.
Die Grenzen zwischen organisierter Kriminalität und staatlich gelenkten Akteuren verschwimmen aber, sagt Kuhlenkamp: "Cyberattacken sind heute Teil einer hybriden Kriegsführung".
Wie schützt man sich vor Cyberangriffen?
Cybersicherheit ist kein einmaliges Ereignis, sondern ein fortlaufender Prozess. Die Technologie verändert sich rasant. Selbst die Systeme des Pentagons werden manchmal gehackt.
Um sich zu schützen, sollte jedes Unternehmen und jede staatliche Organisation einen klaren Plan für den Fall eines potenziellen Hackerangriffs haben. Davon ist Felix Kuhlenkamp überzeugt. In diesem Plan sollte eindeutig festgelegt sein, wer im Falle eines Angriffs welche Aufgaben übernimmt.
Das Unternehmen muss wissen, welche Art von IT-Infrastruktur es schützt. In einem Krankenhaus sind es zum Beispiel die persönlichen Daten von Patienten und Ärzten. In einem Transportunternehmen sind es Logistikdaten.
Auch regelmäßige Backups sind essenziell, um sich vor dem Verlust wichtiger Daten zu schützen.
Unternehmen und staatliche Einrichtungen sollten außerdem alles daran setzen, erfolgreiche Angriffe zu verhindern und Bedrohungen frühzeitig zu erkennen. Dazu gehört Mitarbeiter regelmäßig zu schulen und für Gefahren zu sensibilisieren. Nur, wer die Risiken kennt, kann effektiv reagieren und sich schützen.