Cyber-Attacken: Wenn Mitarbeiter die eigene Firma hacken

Unternehmen drohen Millionenschäden durch ihre Angestellten. Sogenannten Innentäter kennen das IT-System der Firma genau und nutzen Schwachstellen darin gezielt aus.

Bei Cyberangriffen fällt der Verdacht meist auf zwei potenzielle Tätergruppen: Manche Staaten sollen Spionage betreiben, auch Industriespionage für Firmen im eigenen Land. Und es gibt Hacker, die Daten erbeuten und sie im Darknet verkaufen. Aber eine wichtige Gruppe von Tätern bleibt in vielen Überlegungen außen vor: die eigenen Mitarbeiter.

Eine Angriffsflanke sind Angestellte, die unbeabsichtigt Fehler machen. "In der Hektik des Alltags vergessen die meisten Mitarbeiter, E-Mail-Anhänge von unbekannten Absendern auf Schadsoftware zu prüfen und installieren damit unabsichtlich einen Virus oder eine Ransomware", sagt Steffen Teske, Chef des Berliner Cybersicherheitsdienstleisters Perseus.

Mehr als die Hälfte der Cyberangriffe auf mittelständische Firmen beginnen mit einer infizierten E-Mail. "Die Mitarbeiter werden damit unfreiwillig zu Helfern der Cyberkriminellen, weil sie einen Angriff nicht als solchen erkennen, oder sich des Risikos nicht bewusst sind", sagt Teske. Hier muss oft und gründlich geschult werden, damit die unfreiwillige Hilfestellung der Mitarbeiter reduziert wird. Ganz ausschalten lässt sich das Risiko nicht.

Die größte Gefahr: Innentäter

Viel gefährlicher sind Mitarbeiter, die ihrer Firma (oder Ex-Firma) absichtlich schaden wollen. Ein Angestellter, der sich bei Beförderungen übergangen fühlt, von seinem Chef gequält oder der seiner Ansicht nach zu Unrecht entlassen wurde, kann durch gezielte Attacken Millionenschäden anrichten - und das noch Jahre später. Fatal ist, wenn der Mitarbeiter Systemzugriffe hat und weiß, wo die Daten liegen.

Auch bei dem Angriff auf den Hiscox-Kunden kam der Täter aus den eigenen Reihen. Ein ehemaliger Mitarbeiter hat die Tat begangen, ausgerechnet ein IT-Experte. "Er hat die ganzen Speicher und Backups zerstört", sagt Wenhart. Personenbezogene Daten habe der Täter hingegen nicht abgezogen. Der Mann habe seinem ehemaligen Arbeitgeber schaden wollen, nicht in erster Linie den Kunden. Der Mann kam 2018 vor Gericht und wurde zu drei Jahren und drei Monaten Haft verurteilt. Er kündigte Berufung an.

Bei dem Hiscox-Kunden ging nach dem Angriff auf einen Schlag nichts mehr. Die Server waren offline, und die Mitarbeiter konnten sich nicht mehr im System einloggen. Die Attacke traf auch die Kunden der IT-Firma und legte deren Internetseiten und Onlineshops lahm. Zunächst wusste niemand, was eigentlich passiert war.

Cyberversicherungen sind begehrt - und riskant für Versicherer

Viele Versicherer verkaufen bei den Cyber-Policen ein ganzes Leistungspaket, das über die reine Zahlung des Cyberschadens hinausgeht. Sie bieten Kunden schnelle Hilfe im Notfall an. Nach einer Attacke schicken sie IT-Fachleute und Forensiker.

Auch Hiscox setzte nach dem Angriff auf den Kunden eine Cyber-Rettungskette in Gang. Der Versicherer schaltete IT-Dienstleister, PR-Experten und einen Anwalt für den Kunden ein. Drei Tage nach der Attacke war das System wiederhergestellt - doch am vierten Tag schlug der Täter erneut zu. Wieder lag die IT lahm und es vergingen erneut Tage, bis das System wieder funktionierte. Der Angreifer hatte seinen Rachefeldzug von langer Hand und mit großer Sorgfalt geplant, berichtet der Hiscox-Mann. Schon ein halbes Jahr vor dem Angriff habe der Täter heimlich mehrere Systemzugänge eingerichtet, die er von außerhalb der Firma über VPN-Tunnel ansteuern konnte. Über diese Zugangswege gelangte der Hacker unbemerkt in das Netzwerk. Das konnten IT-Fachleute nach den Angriffswellen rekonstruieren.

Für Versicherer ist die Deckung von Cybergefahren hochriskant. Ein großer Appetit auf Neugeschäft kann sie bei großen, internationalen Schäden schwer treffen. Aber gleichzeitig wird die Sparte für das Industrie- und Gewerbegeschäft immer wichtiger - wer keine Cyberdeckungen anbietet, bekommt bald auch die Feuer- und Haftpflichtversicherung nicht mehr.

"Wir setzen klare Grenzen, wie viel Cybergeschäft wir zeichnen", sagt Hiscox-Konzernchef Bronek Masojada. "Würde Hiscox nur Cyber machen, wäre das nicht gut für uns." Das gilt allerdings genauso für andere Gefahren wie Hurrikane. Lädt sich ein Versicherer zu viel Risiko derselben Art auf, können ihn Großschäden viel kosten. Ein Restrisiko bleibt dennoch. "Theoretisch besteht die Möglichkeit, dass uns das komplett um die Ohren fliegt", sagt Masojada. Hiscox war in der Vergangenheit bereits selbst Opfer einer Cyberattacke. Im vergangenen Jahr gingen in den USA Daten von etwa 1500 amerikanischen Hiscox-Kunden verloren. Forensiker suchten um die 24 Stunden unter Hochdruck nach der Ursache. Dann stand fest, dass das Problem nicht bei Hiscox lag. Schuld war ein Datenleck bei einer Anwaltskanzlei, mit der Hiscox zusammenarbeitete. Das System des Versicherers war nicht von dem Angriff betroffen.