bedeckt München 23°

IT-Sicherheit:Wie sich die deutsche Industrie auf Cyberattacken vorbereitet

IT-Spezialisten simulieren im neuen "Information Security Hub" auf dem Gelände des Münchner Flughafens Cyberangriffe zu Trainingszwecken. (Symbolbild)

(Foto: Marco Einfeldt)
  • 1000 Angriffe im Monat müssen die IT-Verteidiger von Siemens jeden Monat abwehren. Die Gegner bleiben meist unerkannt.
  • Die deutsche Industrie ist ein lohnendes Ziel für Spionage oder Ransomware-Attacken. Experten bezweifeln, dass sie auf die immer größer werdende Gefahr ausreichend vorbereitet ist.
  • Einfallstor sind oft E-Mails mit Dateien, die Schadcode enthalten. Die Angreifer sind oft hervorragend vorbereitet und nutzen die größte Schwachstelle im System der Verteidiger: den Menschen.

Die Besucher kommen immer wieder vorbei, und das größte Problem ist, dass sie sehr diskret sind. Es sei wie das ganz leise Klopfen an der Haustür, sagen IT-Experten. Meistens bekommt man es gar nicht mit. Man hört nichts. Man sieht - zumindest am Anfang - nichts, und dann, ganz plötzlich, sind sie da.

Die perfekte Zeiten für die leisen Klopfer sind die Sommerferien oder Weihnachten. Je weniger Leute im Büro, je weniger Aufmerksamkeit vor dem Computer, desto schneller geht es. Was natürlich nicht heißt, dass Hacker den Rest des Jahres im Urlaub wären. Schön wär's.

Bei Siemens zum Beispiel gibt es im Durchschnitt etwa 1000 Angriffe im Monat. "Idealerweise sitzen wir nicht da und warten darauf, dass was passiert", sagt Thomas Penteker. Der IT-Experte arbeitet in einem Bürokomplex am südlichen Münchner Stadtrand, in einer Abteilung, die bei Siemens etwas martialisch "Cybersecurity Defense" heißt. Das bedeutet: Cyberabwehr rund um die Uhr, für etwa 380 000 Mitarbeiter in 200 Ländern. Es wird ja immer irgendwo an die Tür geklopft, in München, in Indien, in Mexiko. Ständig versuchen Hacker, reinzukommen. Sind sie dann erst einmal drin, versuchen sie, sich tief durch die Innereien einer Konzern-IT zu wühlen. Dann kann es aber oft schon zu spät sein. "Oft entdecken wir kleine Anomalien schon am Anfang", sagt Penteker. "Da ist die Vermutung, dass da irgendwas schief ist. Das können eine veränderte Software sein oder Server, die plötzlich untereinander kommunizieren. Das deutet dann auf einen erfolgreichen Angriff hin."

Thomas Penteker. „Idealerweise sitzen wir nicht da und warten darauf, dass etwas passiert“, sagt der Cyber-Experte von Siemens.

(Foto: oh)

Penteker ist keiner von den mittelalten Ingenieuren und Managern, die Anzug und Krawatte tragen und von denen es bei Siemens eine ganze Menge gibt. Er trägt Polo-Shirt, Jeans, und ist Mitte dreißig. In seiner Abteilung ist das der Altersdurchschnitt.

Die Cyberabwehr-Kämpfer haben ihre eigene Sprache

Die Cyber-Kämpfer bei Siemens sind meistens jung und haben ihre eigene Sprache. Sie berichten von Angriffs- und Mustererkennung, von threat hunting, von threat intelligence und von kill chain methods. Das sind vielleicht nicht zufällig Begriffe, die an die Welt der Militärs erinnern. Denn das, was täglich im Internet stattfindet, ist ja so etwas wie Krieg. Der Gegner ist meistens unbekannt, seine Angriffsstrategie ändert sich mal wöchentlich, mal monatlich. Und es ist nicht leicht, sich zu verteidigen, wenn alle paar Sekunden irgendwo auf der Welt eine Mail losgeht, die Lösegeld erpressen will, wenn anonyme Angreifer damit drohen, Rechner, Arbeitsabläufe und manchmal sogar ganze Unternehmen lahmzulegen. Wenn viele dieser Mails von irgendwelchen Servern und aus Troll-Fabriken in Osteuropa, Südamerika, China oder Russland kommen. Das alles richtet in der Wirtschaft jedes Jahr Milliardenschäden an, und die eigentliche Frage ist: Wenn das hier wirklich eine Art Krieg ist - wie abwehrbereit ist dann die deutsche Industrie? Ihre international hoch angesehene Ingenieurskunst ist die eine Sache. Aber zählt die in Zukunft noch? Sind die Konzerne gewappnet gegen die Angreifer?

"Viele Europäer haben eine romantische Vorstellung von dem, was international passiert", sagt der israelische Sicherheitsexperte Daniel Bren. "Die Gefährlichkeit solcher Attacken nimmt zu, weil Unternehmen im Zeitalter der Industrie 4.0 immer stärker vernetzt sind." Man muss wissen, dass der Mann, der früher mal ein hochrangiger IT-Sicherheitschef bei der israelischen Armee war, eine sehr besondere Sicht auf die Dinge hat. Wenn ein Armee-General wie er nach fast 30 Jahren beim Militär die Uniform auszieht und in Tel Aviv ein Start-up mit dem Namen Otorio gründet, um der Industrie zu erklären, wie man Cyberattacken abwehrt, dann heißt das wohl: Die Sache ist ernst.

Daniel Bren. Der frühere israelische Armeegeneral ist heute Berater. Er sagt: „Die Industrie ist sich der vollen Tragweite nicht ausreichend bewusst.“

(Foto: oh)

Zuletzt fuhr Bren durch Deutschland und sprach mit Unternehmensmanagern über seine IT-Plattform, die helfen soll, Angriffe zeitig zu erkennen und zu protokollieren. Die Reaktionen in den Unternehmen seien durchweg positiv gewesen, sagt er. Nun hat er ja auch gute Argumente: Die Folgen von Cyberattacken, warnt Bren, seien heute weitaus gravierender als früher. Es gehe um ganze Infrastrukturen und Energienetze, die attackiert werden können. Oder in der Autoindustrie: Es genügt schon, dass ein kleiner Zulieferer ein Problem mit Hackern hat. Bleibt dies unerkannt, wird es weitergereicht bis zum Autohersteller - die Ansteckungsgefahr in einer Branche ist groß, wenn alles vernetzt ist. Es ist wie eine Seuche, die von A nach B wandert, bevor sie dann in großem Stil ausbricht. Er glaube, "dass sich die Industrie der vollen Tragweite dessen nicht ausreichend bewusst ist", sagt Bren. "Vor allem Deutschland ist sehr stark in alle Richtungen vernetzt. Das ist nötig und sinnvoll, birgt aber auch große Risiken."

In den vergangenen Jahren sollen mehrere europäische Konzerne Ziel von Attacken gewesen sein. Die Urheber saßen im Ausland, mutmaßlich soll es dabei auch um chinesische Hacker gegangen sein; die Rede war zuletzt von einer Gruppe namens Winnti, die digital ausspähte. Siemens, Covestro, Bayer, Henkel, Roche - die Liste der Ziele soll lang sein. "Wir werden künftig vermutlich noch aggressivere Attacken auf europäische Unternehmen sehen, und fragen Sie mich nicht, ob die dann aus China oder Russland, von Kriminellen oder Terroristen kommen", sagt Bren. Es gebe "jedenfalls allen Grund, besorgt zu sein".

Wenn Neugierde und Leichtsinn zusammenkommen, wird es gefährlich

Die Sorgen sind in der Industrie längst angekommen. Die Cyber-Verteidiger von Siemens versuchen, die Strategien der Angreifer zu verstehen, schon bevor sie überhaupt angreifen. Zum Beispiel: Wer mit seinen Phishing-Mails Leute aus einer Firma anschreibt, hat im besten Fall vorher recherchiert. Je mehr er dann über die Menschen weiß, die er anschreibt, desto größer ist die Aussicht auf Erfolg. Zum Beispiel die persönliche Ansprache: "Hi, wir haben uns doch in der vergangenen Woche auf der Konferenz kennengelernt. Hier noch schnell das Dokument, über das wir gesprochen haben." Blöd, wenn der Adressat auf keiner Konferenz war. Gut für den Angreifer, wenn der Angeschriebene nicht nachdenkt und das verseuchte Dokument öffnet. Dass viele Menschen auf sozialen Kanälen wie Linked-in oder Twitter ihr Wochenprogramm veröffentlichen und dabei auch ihre Konferenzteilnahme in der letzten Woche posten, spielt den Hackern in die Hände. Der informierte Angreifer weiß dann Bescheid. Er hat sich gut vorbereitet.

"Wie so etwas geht, können Sie heute sogar schon bei Videos auf Youtube lernen, und ständig kommt etwas Neues dazu", sagt Natalia Oropeza. Die Mexikanerin ist bei Siemens die oberste IT-Sicherheitschefin, und dass man inzwischen schon auf Youtube nachschauen kann, wie man als Hacker erfolgreich arbeitet, macht ihr das Leben nicht gerade leichter. "Es gibt etwas, was mich abends wirklich nicht schlafen lässt: Der Gedanke daran, dass irgendwo da draußen Hacker unterwegs sein könnten, die versuchen, Informationen über unseren Technologiestand und unsere Strategien abzuziehen. Das macht mich nervös." Oropeza weiß, wie schnell das alles gehen kann in einem Riesenreich wie Siemens. Das größte Sicherheitsrisiko, sagen die Cyber-Abwehrspezialisten, sei ja der Mensch an sich. Er öffnet in schwachen Momenten Mails, die er nicht öffnen sollte, er leitet Dinge weiter, die er besser löschen sollte. Und er hebt auf dem Firmenparkplatz einen 128 Gigabyte starken USB-Stick auf und schiebt ihn in seinen Rechner. Nur weil da draufsteht: "Unser letzter Urlaub auf Malle". Gerade wenn Neugierde und Leichtsinn zusammenkommen, wird es gefährlich. Kurios ist: In der Szene haben verschiedene Gruppen Namen, die manchmal eher nach harmlosen Baseballteams klingen als nach knallharter Cyber-kriminalität. Neben Winnti ist die Rede von Gothic Pandas oder den Spiders. Man weiß nicht viel über diese Gruppen und in wessen Auftrag sie unterwegs sind. Aber das schon: Es seien Menschen, die einen Chef haben, der entscheide - es müsse dort also auch Hierarchien geben, sagt ein Insider. Jemand, der immer wieder sagt, wo es langgeht. So gesehen sind die Gegner von Natalia Oropeza sehr konkret.

Natalia Oropeza. Die gebürtige Mexikanerin ist oberste IT-Sicherheitschefin des Siemens-Konzerns – und gibt zu, manchmal schlecht zu schlafen.

(Foto: oh)

Sie hat einen Rollkoffer zum Gespräch in die Siemens-Zentrale in München mitgebracht. Als Sicherheitschefin ist sie ständig unterwegs. Von München nach Nürnberg, von Nürnberg ins Ausland, und wieder zurück. Die Siemens-Welt ist groß, jedes Büro, jede Niederlassung in jedem Land könnte zum Einfallstor für Hacker werden. Um besser zu verstehen, was da draußen passiert, teilen Experten wie Oropeza Hackerangriffe in drei Kategorien ein. Stufe eins heißt initial compromise: Der Angreifer hat es geschafft, alle Hürden zu überwinden. Er ist drin, mehr aber noch nicht. Stufe zwei ist schon weitaus gefährlicher: Sie heißt lateral movement: Es gelingt dem Hacker, sich frei zu bewegen und innerhalb der IT-Netze von A nach B zu gelangen. Er ist jetzt nicht nur drin, er bekommt auch immer mehr Zugriff auf wichtige Daten. Je mehr er hat, desto mehr kann er bekommen, wenn er nicht gestoppt wird.

Die dritte Stufe nennen sie privilege escalation. Es ist die Phase, in der der Hacker Zugriff hat auf sämtliche Passwörter. Längst ist er nicht mehr nur als klandestiner Besucher unterwegs, er kann jetzt auch als IT-Administrator auftreten. Er dirigiert und entscheidet. Für jemanden wie Natalia Oropeza ist das der Albtraum schlechthin. "Die Frage ist, wie weit er nach dem initial compromise kommt", sagt sie. "Je früher wir eingreifen können, desto besser. Je später, desto schwieriger ist es. Wenn die Hacker einmal drin sind und sich frei bewegen können, ist es schwer, sie zu verfolgen und zu stoppen."

Wie schnell man einen Großkonzern dann unter Druck setzen kann, zeigte der Angriff auf einen der größten Aluminiumhersteller der Welt: den norwegischen Konzern Norsk Hydro. Nach einem Cyberangriff auf das Unternehmen aus Oslo konnte nur noch im Notbetrieb produziert werden; es kursierte am Markt die Angst vor Lieferengpässen. Was war passiert?

Hacker hatten die Norweger im Frühjahr mit einer klassischen Ransomware-Attacke belagert. Eine Erpressungsmethode, bei der Daten meistens verschlüsselt und erst gegen Lösegeldzahlungen wieder geöffnet werden. Der Name des Erpressungs-Trojaners: LockerGoga. Immer öfter im Visier der Angreifer sind aber auch sogenannte "kritische Infrastrukturen" wie Energienetze oder Kraftwerksanlagen. Sind Hacker hier erfolgreich, kann es dramatisch werden.