Freitag, der Dreizehnte, war ein Schicksalstag für Patric Spethmann, der an diesem Datum gerade erst ein paar Wochen das operative Geschäft beim Modeunternehmen Marc O'Polo leitete. An jenem Freitag, den 13. September 2019, war Spethmann als Krisenmanager gefordert: Das operative Geschäft der in Stephanskirchen im Landkreis Rosenheim beheimateten Firma war stillgelegt worden von Computerkriminellen, die sich mittels einer Schadsoftware in die Systeme der Informationstechnik (IT) eingeschlichen und alle Daten verschlüsselt hatten - Kundenlisten, Liefertermine, Verträge, Rechnungen, Arbeitsabläufe, Produktionsprozesse. Einfach alles. Und für deren Freigabe forderten die Gangster nun ein Lösegeld.
"Dass der Tag ein 13. war, war Zufall. Dass es ein Freitag war, war keiner", erzählte der Manager vergangene Woche beim sogenannten Cybersecurity Day, dem Tag der Internet-Sicherheit also, zu dem die Industrie- und Handelskammer (IHK) für München und Oberbayern sowie Bayerns Ministerien des Inneren und der Justiz eingeladen hatten. Die Cyberkriminellen, so erklärte Spethmann, bevorzugten bei ihren Attacken Wochenenden oder Feiertage, an denen ihre Opfer nicht sofort etwas bemerken oder schnell reagieren können.
Der Freitag und das bevorstehende Wochenende hatten seine Lage verschärft. "Sie müssen die ersten 72 Stunden nutzen, um ihre Optionen auszuloten", sagte er seinen Zuhörern im Atrium der IHK-Zentrale am Maximiliansplatz.
Das war gut gefüllt mit Vertretern unterschiedlicher Firmen, denn das Thema Cybersicherheit betrifft internationale Konzerne und mittelständische Unternehmen genauso wie kleine Architekturbüros und Handwerksbetriebe.
Der Algorithmus geht auf alle los
Nicht einmal soziale Einrichtungen oder Wohlfahrtsverbände werden von den Internet-Kriminellen verschont, wie die hiesige Caritas im September 2022 erfahren hat. In München hat zudem eine Cyberattacke auf das Modehaus Hirmer im November 2021 für Aufsehen gesorgt. Die Kriminellen zielen dabei keineswegs genau auf ein Unternehmen - der Algorithmus, mit dem sie arbeiten, geht auf alle los. Wo er eine Schwachstelle entdeckt, brechen sie ein und greifen aufs System zu. Oft nach monatelangem, unbemerkten Ausspähen.
Es kommt selten vor, dass jemand so ausführlich wie Spethmann schildert, wie Cyberangriff und Erpressungsversuch abliefen und wie sein Unternehmen reagiert hat. Aber genau dafür war die Veranstaltung gedacht: um auf die Bedrohung aus dem Internet hinzuweisen, um Bewusstsein für notwendige Abwehrmaßnahmen zu wecken, um Handlungsmöglichkeiten zu zeigen, falls die nichts genutzt haben, um zu erklären, wie man sich wehren kann, wenn man kein Lösegeld zahlen mag.
"Es gibt einen massiven Informationsbedarf", stellte IHK-Präsident Klaus Josef Lutz anhand einer kürzlich erfolgten Umfrage fest. Neben technischen Aspekten sind es rechtliche Fragen und gesetzliche Anforderungen, über die viele Firmenvertreter im Unklaren sind. Viele wissen auch nicht, welche Behörde bei Bedarf der richtige Ansprechpartner wäre.
Das Phänomen der Cyberkriminalität sei nicht neu, sagt Lutz, aber "die Situation hat sich verschärft". Durch die Corona-Pandemie habe es in den vergangenen drei Jahren "eine schnelle, ungeordnete Digitalisierung" gegeben, erläuterte die Wissenschaftlerin Haya Shulman von der Goethe-Universität Frankfurt: "Das hat die Angriffsfläche vergrößert." Wenn sich die Gesellschaft zum Digitalen verändere, zögen die Berufskriminellen zwangsläufig nach, hat Innenminister Joachim Herrmann (CSU) erkannt; Cybersicherheit sei deshalb das "Schlüsselthema bei der Digitalisierung". Justizminister Georg Eisenreich (CSU) wies darauf hin, dass die Cyberkriminalität zu einem "Massengeschäft" geworden sei.
Die Netzwerke operieren grenzüberschreitend, wie das Beispiel einer unter dem Namen "Hive" bekannten Bande gezeigt hat, die gerade kaltgestellt worden ist. Die amerikanische Polizeibehörde FBI teilte am Donnerstag mit, dass die Webseite von "Hive" im sogenannten Darknet abgeschaltet und mehrere Server beschlagnahmt worden seien; auch deutsche Behörden waren an der internationalen Zusammenarbeit beteiligt. Die "Hive"-Gruppe soll über einen Zeitraum von etwa drei Jahren weltweit mehr als 1500 Unternehmen mit Hilfe ihrer Schadsoftware erpresst und dabei mehr als 100 Millionen US-Dollar an Lösegeld erbeutet haben, rund 92 Millionen Euro. Das sind die Dimensionen, um die es geht. Und "Hive" ist nur eine Gruppierung von vielen in dieser Branche.
Alle Geräte mussten neu angeschafft werden
Den Gesamtschaden, den die Cyber-Verbrecher anrichten, beziffern Experten allein für die deutsche Wirtschaft auf mehr als 200 Milliarden Euro pro Jahr. Er geht weit über Lösegeldsummen hinaus, wie Patric Spethmann ebenfalls darlegte. Während der Entführung der Daten und der Geiselnahme der Systeme konnte Marc O'Polo ja weder Waren liefern noch annehmen, keine Rechnungen stellen oder bezahlen; in den vom Unternehmen selbst betriebenen Filialen funktionierten die Kassen nicht mehr. Nebst finanziellen Einbußen hatte die Firma außerplanmäßig hohe Ausgaben: Alle Geräte, die mit einer Software betrieben werden, mussten neu angeschafft werden - Tausende von Rechnern, Druckern, Scannern, Smart-TVs, Handys. Die Trojaner, welche die Cyberkriminellen eingeschleust hatten, hatten sich ja mutmaßlich auf allen Festplatten festgesetzt. Es dauerte zehn Tage, ehe Marc O'Polo seine IT-Systeme neu starten konnte. Eine Erpressung durch Cyberkriminelle, so die Erkenntnis von Justizminister Eisenreich, "kann dazu führen, dass das Unternehmen in Existenznot gerät".
Der Rat der Experten ist deshalb, einen Notfallplan parat zu haben mit allen Kontaktdaten, wen man im Schadensfall informieren muss - und das sind nicht nur Polizei und Versicherungen, sondern auch Geschäftspartner, die über Schnittstellen der Kommunikation in Mitleidenschaft gezogen werden könnten. Dieser Plan sollte dann tatsächlich ausgedruckt in der Schublade liegen - oder in einem Ordner im Regal. Denn wenn der Plan nur digital vorhanden ist, kann keiner auf ihn zugreifen, sobald alle Daten verschlüsselt sind und er also gebraucht würde.
Laut der IHK-Umfrage haben weniger als die Hälfte der bayerischen Unternehmen einen solchen Notfallplan, nur 42 Prozent. "Wir haben das Thema IT-Sicherheit zu lange laufen lassen, teilweise auch verschlafen", gibt IHK-Präsident Lutz zu. Auch Marc-O'Polo-Chef Patric Spethman räumt im Rückblick ein: "Wir hatten das Risiko grundsätzlich unterschätzt und die falschen Prioritäten gesetzt."
Das Bewusstsein für die Notwendigkeit von IT-Sicherheit sei nun zwar geschärft, findet die Expertin Haya Shulman, aber das reiche nicht: "Wir brauchen auch Resilienz." Für die Stärkung der Abwehrkräfte rät sie, externe Dienstleister zu engagieren, Profis, die sich mit der Materie auskennen. Aber sie warnt davor, sich dann in Sicherheit zu wiegen: "Man kann nicht alle Schwachstellen entdecken, nicht alles verhindern." Auch Spethmann schließt nicht aus, dass sein Unternehmen erneut zum Ziel eines Angriffs werden könnte: "Er darf uns bloß nicht wieder so erwischen wie damals."
