Datenschutz:Angriff in aller Stille

Datenschutz: Auch der Server-Raum ist nicht sicher.

Auch der Server-Raum ist nicht sicher.

(Foto: Mauritius Images)

Daten werden für Firmen immer wichtiger - und damit auch ein Ziel von Hackern. Doch viele Unternehmen wollen davon noch nichts wissen.

Von Christoph Giesen, Katharina Kutsche und Helmut Martin-Jung

Der Fund war nicht allzu überraschend für die IT-Sicherheitsleute der US-Handelskette Target. Trojaner in Kassencomputern - so was kommt heutzutage schon mal vor. Doch hätten sie gewusst, was zur selben Zeit, im Herbst 2013, andere IT-Experten in ihrer Firma entdeckt hatten, wären sie nicht so gelassen gewesen. Denn Mitarbeitern der Abteilung für Server war aufgefallen, dass größere Mengen an Daten an eine Internetadresse in Russland gegangen waren. Ausgetauscht haben sich beide Abteilungen nicht über ihre Erkenntnisse.

So kam es, dass sich einige Zeit später das FBI bei Target meldete, mit einer äußerst unangenehmen Botschaft: 40 Millionen Datensätze mit Kreditkarten-Informationen von Target-Kunden seien auf dem Schwarzmarkt aufgetaucht. Dem Unternehmen entstand dadurch ein Milliardenschaden. Mehr als 90 Gerichtsverfahren wurden im folgenden Jahr gegen die Kette angestrengt.

Richard Werner ist Berater für Unternehmenskunden bei Trend Micro, einer Firma für IT-Sicherheit. Er erzählt das Target-Beispiel, weil es zwei Dinge illustriert. "Da gab es zwei Gruppen im Unternehmen, die nicht miteinander geredet haben", sagt er. Kommunikation und Zusammenarbeit aber sei unerlässlich. Zweiter Punkt: Malware, also Software, die bösartigen Absichten dient, "kann auch an Stellen sitzen, die man für unkritisch hält."

Das Problem an der Sache: Viele Cyber-Attacken verursachen keinen großen Wirbel, bringen keine Systeme zum Absturz. "Das sind nur kleine Spuren", sagt Werner, "ein Server hat plötzlich Datenverkehr mit China." Für ihre zielorientierten Angriffe suchen sich die Hacker irgendwo im Netz des Unternehmens einen "Brückenkopf", wie Werner das nennt. Das kann zum Beispiel ein Computer in der Personalabteilung sein, dem man eine gefälschte Bewerbung schickt.

Der Mitarbeiter dort öffnet die Datei, stellt fest, dass der Bewerber ungeeignet ist und schickt eine Absage. Was er nicht bemerkt: Die PDF-Datei mit der Bewerbung war mit schädlicher Software verseucht - ein digitaler Schädling ist ins Netz eingedrungen. Über ihn versuchen die Angreifer nun, langsam und vorsichtig, weiter vorzudringen, bis zu ihrem eigentlichen Ziel. "So erreicht man Systeme, die eigentlich von außen nicht erreichbar sind."

Ist der Angriff erfolgreich, kann der Schaden für die betroffene Firma immens sein. Für Deutschland kursieren Schätzungen, die bis zu 50 Milliarden Euro pro Jahr reichen. Das mag übertrieben sein, aber im Einzelfall ist es durchaus existenzbedrohend, wenn einer Firma ihre wichtigsten Geheimnisse entwendet werden.

Vor Kurzem erst schreckte der Fall Thyssen-Krupp die deutsche Industrie auf. Erstmals sprach ein deutscher Konzern offen darüber, dass er gehackt worden war und wie schwierig es war, die befallenen Systeme wieder zu säubern. Natürlich aber ist das Essener Unternehmen kein Einzelfall - viele andere reden nur lieber nicht darüber. Schlimmer noch, sie wollen es oft auch gar nicht so genau wissen, sagt Udo Schneider von der Sicherheitsfirma Trend Micro. Aussagen wie "wer sollte uns schon angreifen" hört er immer noch - sie stammt übrigens von einer deutschen Landespolizei-Behörde.

Aussagen wie diese hört auch Uwe Claaßen oft. Er Claaßen ist Kriminalhauptkommissar, er leitet den Wirtschaftsschutz, eine Unterabteilung beim niedersächsischen Verfassungsschutz. "Leider ist es immer noch eine heterogene Landschaft, die wir da vorfinden", sagt Claaßen. Es gebe viele Unternehmen, die sich ganz gezielt vorbereiten und umfangreiche Maßnahmen für ihre IT-Sicherheit träfen - und genau so viele, die das nicht tun.

Manche Unternehmer seien zudem eher old school, würden sich mit den technischen Anforderungen und Gefahren ihrer IT-Systeme nicht ausreichend beschäftigen. "Die meisten schwenken erst um, wenn das Kind schon in den Brunnen gefallen ist. Und dann wird es hektisch, weil die Dinge dann nicht vorbereitet sind", sagt Claaßen. Nicht nur ein Mitarbeiter, der sich privat gut mit Computern auskennt, sollte dazu auserkoren werden, die Netzwerke des Unternehmens zu pflegen. Sondern ein Mitarbeiter müsse konkret für die IT-Sicherheit benannt werden.

Billig ist das natürlich nicht. Auch bei Trend Micro, das vor allem Firmen mit mehr als 2000 Computernutzern als Kunden hat, stößt man daher öfter auf eine Haltung, die das Problem eher zu verdrängen sucht. Wenn man es richtig angeht, reichen auch die besten technischen Abwehrbollwerke alleine nicht aus. "Man kann damit nur einen Minenteppich legen", sagt der Sicherheitsexperte Werner, "keiner kann einen Angriff gleich beim ersten Schritt stoppen. Man muss eben so viele Minen legen, dass der Angreifer irgendwann eine Spur hinterlässt."

Das dann zu erkennen, dazu braucht es aber auch die Menschen, die in der Lage sind, die von den Systemen entdeckten möglichen Bedrohungen einzuordnen. Und die auch im Falle eines Falles die Spuren eines Angriffs zurückverfolgen können. Dass man damit den Urheber einer Attacke identifizieren kann, ist aber unwahrscheinlich. Allein aus den Daten lässt sich in der Cyberwelt nie zweifelsfrei beweisen, wer wirklich hinter einer Attacke steckt.

Eine chinesische Cyber-Truppe soll in die Netze von 141 US-Firmen eingedrungen sein

Denn es kann auch ein Konkurrent aus dem eigenen Land gewesen sein, der Hackern etwa in Russland den Auftrag erteilt hat, eine Firma gezielt auszuforschen. Aus Russland kommen den Erkenntnissen von Trend Micro zufolge derzeit besonders ausgefeilte Angriffe. Ihre Angriffe seien programmiertechnisch elegant und schwer zu entdecken. Angriffe chinesischer Hacker seien dagegen plumper, und oft würden diese Angreifer auch versuchen, so viele Daten wie möglich abzugreifen.

Vor drei Jahren veröffentlichte die amerikanische IT-Sicherheitsfirma Mandiant einen Bericht über die Cyberkräfte der chinesischen Volksbefreiungsarmee. Bis vor die Tore Shanghais ließ sich die Spur zurückverfolgen. Hier saß die Einheit 61 398. Diese Truppe wird verantwortlich gemacht für den Einbruch in die Netzwerke von mindestens 141 vorwiegend amerikanischer Organisationen und Unternehmen. Bei Firmen wie Coca-Cola oder Lockheed Martin sollen über Jahre "systematisch Hunderte von Terabytes an Daten gestohlen" worden sein: Baupläne genauso wie E-Mails hochrangiger Angestellter.

Inzwischen ist es etwas ruhiger geworden im IT-Streit zwischen China und den USA. Beide Länder haben ein Cyberabkommen geschlossen, die systematischen Angriffe aus der Volksrepublik hätten seitdem abgenommen, heißt es. Das ist einer der Gründe, weshalb auch Deutschland mit China einen Anti-Hackervertrag unterzeichnen will. Die Gespräche laufen.

Viele Unternehmer dachten trotzdem lange, sie seien nicht betroffen, oder sie könnten das Problem aussitzen. Erst als seit dem vergangenen Jahr auch in Deutschland mehr und mehr Firmen Opfer von Erpressern wurden, kam es zu einem Umdenken. Durch einen Angriff gelangt ein Erpressungstrojaner in eine Firma, die Daten werden verschlüsselt und nur gegen Zahlung eines Lösegeldes wieder herausgerückt - oder auch nicht. Mit Spionage hat das zwar nichts zu tun, doch durch die vielen Fälle wuchs das Bewusstsein dafür, wie angreifbar man über das Netz sein kann.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: