Sind Ihnen Ihre Daten 100.000,00€ wert?

Das ist die Frage, die sich Detlef Warburg, Gesellschafter Geschäftsführer der ATS Air Truck Service GmbH, einem auf luftfrachtnahe Güter spezialisierten Logistiker mit 50 Mitarbeiter*innen aus Ratingen, mitten im Weihnachtsgeschäft des letzten Jahres stellen musste – bzw. die ihm gestellt wurde. Und zwar von den Hackern, die zuvor auch die Funke Mediengruppe, die Düsseldorfer Uni Klinik und viele weitere Unternehmen mit Hilfe eines Erpressungstrojaners völlig lahmgelegt hatten. Sofern er die zweiwöchige Frist zur Bezahlung des Lösegelds verstreichen ließe (was er tat), verdopple sich die Summe ab dem 1.1.2021 auf US$ 240.000,00. Doch das war nur die Spitze des Eisbergs…

40% Umsatzeinbruch durch Vertrauensverlust

Wie Detlef Warburg in den nächsten Tagen und Wochen lernen musste, ging es bei leibe nicht nur um den Wert seiner Daten:

Neben der stark eingeschränkten Arbeitsfähigkeit und der erheblichen Zusatzbelastung durch die Wiederherstellung der Systeme und temporäre Neuordnung der Arbeitsprozesse, ging es plötzlich vor allem um ein absolut zentrales Gut seines Unternehmens:

Das Image und das Vertrauen, das sich die ATS in den vergangenen knapp 20 Jahren durch ihre hohe Termintreue, ihre Professionalität und Qualität mit viel harter Arbeit aufgebaut hatte. Trotz des erhöhten Transportaufkommens infolge der aktuellen Corona Krise hat er infolge des Hackerangriffs derzeit 40% Umsatzeinbruch zu verzeichnen.

Sogar langjährige Bestandskunden hatten plötzlich Angst, dass ATS nicht pünktlich liefern könne oder dass eine Zusammenarbeit auch ihre Systeme infizieren würde. Die Kunden hatten so große Angst, dass sie in der Wahrnehmung von Warburg fast schon als 'Panik' bezeichnet werden konnte.

"Es tut nicht nur wirtschaftlich, sondern vor allem persönlich und emotional weh zu erleben, wie selbst langjährige Bestandskunden auf dich eintreten, wenn du ohnehin schon am Boden liegst."

Detlef Wartburg
Gesellschafter, Geschäftsführer, ATS Air Truck Service GmbH

Wenn du gut versichert bist…

Doch bei all dem Ärger und Verlust gab es einen Hoffnungsschimmer: Denn Warburg hatte das Thema CyberRisiken – die im 2020er Allianz Risiko Barometer als das wichtigste Unternehmensrisiko weltweit aufgeführt wurden – schon früh auf der Agenda. 2017 hatte er als einer der ersten in Deutschland eine umfangreiche CyberRisk Police abgeschlossen, die ihn genau vor solchen Fällen schützen sollte.

Und jetzt? Nach der Schadenanzeige berief sich der Versicherer plötzlich darauf, dass die ATS keine standortferne offline Sicherung ihrer Daten hatte – in der Police als "separate Datensicherung" bezeichnet. Und das, obwohl die ATS einen eigenen Backup-Server in einem getrennten Brandabschnitt betrieb. Allerdings bezeichnet der Ausdruck "standortfern und offline" eine Datensicherung, die nicht ans produktive Netzwerk angeschlossen ist und auf die Hacker, die Zugriff auf das Produktivnetzwerk erlangen, keinen Zugriff haben, weil sie bspw. im Tresor liegt. Genau das war bei der ATS aber nicht der Fall.

Während diese Regelungen für iT-Experten leicht nachvollziehbar sind, sind sie es für all diejenigen, die ihre Kernkompetenz in anderen Bereichen haben, eben gar nicht. Wie Warburg wähnen sie sich in Sicherheit, weil sie ein Backup haben.

80.000,00 € zahlt die Versicherung nun, aber scheinbar vor allem, um sich vor langwierigen Rechtsstreitigkeiten und schlechter Publicity zu schützen. Nicht mehr als eine kleine Aufwandsentschädigung, die vermutlich nicht viel mehr als die Wiederherstellungskosten der iT und die Rechtsanwaltskosten deckt. Obwohl sich für nicht IT-ler alles rund um das Thema iT-Sicherheit kompliziert und schwer nachvollziehbar anhört, ist so ein Hackerangriff mit einem Erpressungstrojaner im Grunde recht simpel:

Schritt 1: Eindringen in das Netzwerk

Der erste Schritt besteht darin, dass die Hacker auf verschiedenen Wegen versuchen, ins Unternehmen einzudringen, d.h. sich Zugriff auf das Unternehmensnetzwerk (also Server und PCs, Notebooks, etc.) zu verschaffen. Dazu nutzen sie bspw. Sicherheitslücken bzw. Fehlkonfigurationen in vorhandener Software oder der Firewall aus; der häufigste Weg besteht jedoch darin, den Mitarbeiter*innen in den Unternehmen eMails mit einem verseuchten Anhang zuzusenden und darauf zu hoffen, dass diese ihn öffnen.

Während solche Schad-eMails früher aufgrund der vielen Rechtschreibfehler, einer generischen Anrede, fehlendem Bezug zum Unternehmen und englischer Sprache extrem leicht zu erkennen waren, hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) schon 2019 festgestellt, dass "die [Schad-eMails] für die Empfänger künftig kaum noch als solche zu identifizieren sind." Es besteht also eine sehr große Chance, dass die Mitarbeiter*innen diese eMails und den Anhang öffnen – und um Missverständnisse zu vermeiden:

Ihnen ist hier keinesfalls fahrlässiges Handeln vorzuwerfen.

Schritt 2: Die Infektion

Wird der Anhang geöffnet, versucht dieser durch unterschiedliche Mechanismen wie bspw. Makros, unerkannt Schadsoftware auf dem lokalen Arbeitsplatz zu installieren. War das erfolgreich, ist der Rest ein Kinderspiel: Denn die installierte Schadsoftware dient den Hackern als Fernsteuerung, mit deren Hilfe sie im zweiten Schritt unbemerkt weitere Module nachladen und lokal installieren können, um sich im Netzwerk umzusehen, die wichtigsten Datenablageorte (inkl. der Backups!) zu identifizieren, Finanzinformationen abzugreifen und damit insgesamt das 'Erpressungspotential' möglichst individuell abschätzen zu können.

Schritt 3: Die interne und externe Verbreitung

In einem dritten Schritt gehen aktuelle Versionen solcher Schadsoftware dabei sogar soweit, das Outlook-Adressbuch auszulesen und die vorhandene eMail Korrespondenz zu durchsuchen, um anschließend täuschend echt aussehende Anfragen zu echten Geschäftsvorfällen an die im Adressbuch vorhandenen Kontakte zu versenden, jedoch mit verseuchten Anhängen – die Chance, dass das Gegenüber (also der Geschäftspartner des bereits infizierten Opfers) diese SchadeMails samt Anhang öffnet, ist extrem hoch und damit auch die Wahrscheinlichkeit, dass die Hacker Zugriff auf viele weitere Systeme erhalten und dort der Kreislauf erneut beginnen kann.

Schritt 4: Daten als Gefangene

Doch zurück zum ursprünglichen Opfer: Sobald die Hacker genug Informationen über das Unternehmen ausgespäht und die Schadsoftware intern auf so vielen Arbeitsplatz-PCs, Servern und Notebooks wie möglich installiert haben, beginnt die vierte und fatale Runde: Die Verschlüsselung der Daten und Backups. Aufgrund der Rechenleistung heutiger Hardware geht dies so schnell von statten, dass man kaum eine Chance hat, dazwischenzugehen, v.a. wenn diese Routinen nach Feierabend gestartet werden.

Und wer glaubt, hier seien 'nur ein paar Word und Excel-Dateien' betroffen, der irrt gewaltig: Neben allen gängigen Office Dateien (inkl. Visio und Project), werden auch CAD Dateien, Multimedia-Dateien wie Fotos, Videos und Musik, PhotoShop- Dateien, Archivdateien und SQL-Datenbanken, SharePoint Archive sowie bspw. Bitcoin Daten oder (Sicherheits-)Zertifikate verschlüsselt – also alles, was richtig weh tut. Und als ob das nicht schon reicht, verschlüsseln die Hacker natürlich 'Sicherungskopien' wie bspw. die Schattenkopien unter Windows und auch Backup-Dateien gleich mit.

Aufgrund der Macht heutiger Verschlüsselungsalgorithmen ist die Wiederherstellung dieser Daten auf den betroffenen Systemen technisch ausgeschlossen – jedenfalls ohne den Entschlüsselungsschlüssel, für den die Hacker das Lösegeld fordern. Falls Sie also keine standortferne Sicherung haben und Sie nicht zahlen wollen oder können, sind Ihre Daten unwiderruflich verloren. Und Ihre iT-Systeme verseucht.

Als kleine Zusatzbemerkung sei erwähnt, dass Sie sich ggf. selbst strafbar machen, wenn Sie Lösegeld für Ihre Daten zahlen – jedenfalls haben die amerikanischen Behörden angekündigt, dass sie eine solche Handlung als "Unterstützung terroristischer Aktivitäten" werten und entsprechend strafrechtlich verfolgen würden, so jedenfalls die Warnung von Herrn Oberstaatsanwalt Markus Hartmann, dem Leiter der Zentral- und Ansprechstelle Cybercrime (ZAC) NRW, der auf diese Gefahr im Rahmen seiner Keynote auf dem 2020er iT-Sicherheitstag NRW hinwies. Unternehmen mit geschäftlichen Verflechtungen oder Verbindungen in die USA sollten dies bei ihren Reaktionen auf CyberCrime-Erpressungsversuche also berücksichtigen.

Ene, mene, muh und raus bist Du – oder ich?

Das Wichtigste zuerst: Die Chance, dass wir alle Opfer eines Hacking-Angriffs werden, ist für alle (!) Unternehmen absolut real. Nicht zuletzt waren Cyber Risiken ja in 2020 das Top Unternehmensrisiko weltweilt (s.o.). Auch gut geschützte Unternehmen können jederzeit Opfer eines solchen Angriffs werden, obwohl natürlich das Risiko im Vergleich zu anderen erheblich geringer ist – aber noch einmal:

Es ist nach wie vor vorhanden und nicht unwahrscheinlich.

So demoralisierend das auf den ersten Blick klingen mag, so schlimm und vor allem so ungewöhnlich ist es gar nicht: Banken und Sparkassen sind bereits seit 1798 Ziel von Raubüberfällen, die sich auch heute noch nicht vermeiden lassen. Dennoch haben sie Jahr für Jahr alles dafür unternommen, schrittweise ihre Sicherheit weiter zu steigern – und das mit großem Erfolg. Denn wirklich spektakuläre Banküberfälle sind längst Geschichte…

Was können Sie tun?

iT im Allgemeinen und iT Sicherheit im Besonderen sind hochkomplex. Aufgrund des technischen Fortschritts im Be-reich der Digitalen Transformation steigt der Anteil von iT in unseren Unternehmensprozessen, unseren Produkten und Dienstleistungen und damit natürlich die damit verbundene Komplexität der iT-Systeme kontinuierlich an.

Um ein hochkomplexes Thema sinnvoll und zielgerichtet bearbeiten zu können, ist kein Aktionismus gefragt, sondern ein strukturiertes und v.a. priorisiertes Vorgehen – gerade in klein und mittelständischen Unternehmen, die eben nicht alles auf einmal machen können. Und genau dasselbe gilt auch für die iT-Sicherheit: Verfallen Sie nicht in Aktionismus und hören Sie nicht auf diejenige Werbung, die am lautesten an Ihr Ohr dringt – sondern prüfen Sie zunächst den Status Quo in Ihrem Unternehmen (bzw. lassen Sie ihn prüfen), damit Sie einen ganzheitlichen Überblick zum aktuellen Zustand der iT-Sicherheit in Ihrem Netzwerk erhalten.

Auf dieser Basis lassen sich anschließend problemlos und ohne großen Aufwand die zentralen Risiken und die Maßnahmen mit dem größten Hebel zur Risikominimierung ableiten und priorisieren. Diese können Sie dann Schritt für Schritt in Übereinstimmung mit den Ihnen zur Verfügung stehenden Ressourcen (Geld, Zeit, Manpower) umsetzen.

Wiederholen Sie diesen Zyklus jedes Jahr – und Sie werden trotz begrenzter Ressourcen und Budgets Ihren iT-Sicherheitsstatus ganz im Sinne von Pareto erheblich und v.a. nachhaltig verbessert und damit das Risiko, Opfer eines Cyber-Angriffs zu werden, erheblich verringert haben.

Wer jetzt glaubt, solche Status Quo Analysen mit priorisierten Handlungsempfehlungen (wir nennen sie 'iT-Risk Assessments') wären unbezahlbar, der irrt gewaltig. Natürlich abhängig von der Unternehmensgröße und der Komplexität der genutzten iT-Infrastruktur.

Hierbei ist es von großem Vorteil, diese (jährlichen) Überprüfungen oder Audits von Außenstehenden (d.h. nicht der eigenen iT-Abteilung oder dem eigenen iT-Dienstleister) durchführen zu lassen, weil eine große Chance besteht, dass diese betriebsblind sein könnten und damit (ungewollt) Risiken übersehen. Zudem können die Ergebnisberichte und der Handlungsplan auch bei der Versicherung einge-reicht werden, bei der Sie eine Cyber-Risk Police abgeschlossen haben, damit diese ggf. notwendigen Handlungsbedarf direkt anmeldet und stets proaktiv gut informiert ist.

Unternehmen wie ATS und Menschen wie Detlef Warburg sollten wir allen danken: Denn ihre schonungslose Offenheit im Umgang mit einem solchen Vorfall und den daraus entstandenen Konsequenzen ermöglicht uns anderen, dass wir durch diese greifbare, reale und für uns alle gut nachvollziehbare Schilderung eines iT-Sicherheitsvorfalls "aus der Nachbarschaft" diese sonst so hoch abstrakte Thematik besser verstehen können und nun dazu in der Lage sind, für das eigene Unternehmen sinnvolle Konsequenzen abzuleiten. Wir wünschen der ATS jedenfalls ein erfolgreiches und spannendes 2021!