IT-Sicherheit:Erpressen, klauen, leaken

Lesezeit: 3 min

IT-Sicherheit: Die Gefahr von Cyberangriffen, insbesondere auf kritische Infrastruktur, ist gestiegen.

Die Gefahr von Cyberangriffen, insbesondere auf kritische Infrastruktur, ist gestiegen.

(Foto: Felix Kästle/picture alliance/dpa)

In mehr als 100 Fällen landeten gestohlene Daten deutscher Firmen 2021 im Netz. Angespannt ist die Lage nun auch wegen des Krieges.

Von Jannis Brühl und Mirjam Hauck

Deutschland ist eines der Lieblingsziele internationaler Hackergruppen, die Unternehmen bloßstellen wollen. In mehr als 100 Fällen veröffentlichten Erpressergruppen 2021 interne Daten, die sie bei deutschen Unternehmen erbeutet hatten, auf sogenannten Leak-Seiten im Internet. Das geht aus dem aktuellen Bedrohungsbericht des IT-Sicherheitsunternehmens Palo Alto Networks hervor. Die Firma hat Einblick in die Welt der Cyberkriminellen, ihre Firewall-Systeme für Computer zeichnen viele Angriffsversuche auf. Zudem verhandelt das Unternehmen direkt mit Erpressern und hat jene Online-Foren in den Tiefen des Netzes im Blick, auf denen sie gestohlene Daten veröffentlichen. Am stärksten betroffen waren demnach Dienstleister wie Steuerprüfer, Beratungen und Kanzleien, gefolgt vom Bau und produzierendem Gewerbe. In Europa sind nur Frankreich und Großbritannien stärker betroffen als Deutschland, weltweit trifft es die USA am häufigsten.

Die Hackergruppen gingen immer neue Wege, ihre Angriffe zu Geld zu machen, sagt Wendi Whitmore von Palo Alto der SZ. Sie arbeiteten nicht mehr nur mit Ransomware, also Software, die Computer von Unternehmen verschlüsselt und die Daten darauf erst nach einer Lösegeldzahlung freigibt. Immer öfter drohten sie auch, interne Daten zu veröffentlichten, etwa wenn sie eine Kanzlei hacken und die Infos der Gegenseite anbieten. "Sie lassen sich enorm viel Zeit, um etwa Quartalszahlen eines Unternehmens zu verstehen oder, den Verlust welcher Daten es sich am wenigsten leisten kann."

Die Hacker kommen vor allem aus einem Land

Conti, REvil, Lockbit 2.0: Vor allem Gruppen, die Fachleute Russland zuordnen, werden im Bericht Angriffe auf deutsche Unternehmen zugeordnet. Mit dem Finger auf ein Land zeigen will Whitmore aber nicht - politisch zu heikel, besonders in diesen Zeiten. Denn zusätzlich angespannt ist die Lage wegen des Krieges in der Ukraine. Ein Sprecher des Bundesamtes für Sicherheit in der Informationstechnik sagt: "Nach wie vor stellen wir eine abstrakt erhöhte Bedrohungslage für Deutschland fest. Dies gilt grundsätzlich auch für kritische Infrastrukturen." Zu denen zählen Strom-, Gas- und Wasserversorger oder Teile der Ölwirtschaft. Die Unternehmen sind zu erhöhter Wachsamkeit und Abwehrmaßnahmen aufgerufen. Es habe "wenige zusätzliche unzusammenhängende IT-Sicherheitsvorfälle" gegeben, sagt der Sprecher und schränkt ein: "Die Vorfälle stehen im Kontext des Krieges in der Ukraine, sind aber nicht notwendigerweise durch eine Kriegspartei oder im Sinne einer Unterstützung von Kriegszielen durchgeführt worden." Zudem seien "betrügerische Mails mit Bezug zum Krieg in der Ukraine zu beobachten". Das heißt für Bürger auch, in ihrer persönlichen und beruflichen Kommunikation wachsam zu sein.

Warum es noch keine katastrophalen Hacks gegeben hat und was Deutschland noch blühen könnte, hat Matt Olney analysiert, der die Abteilung "Threat Intelligence and Interdiction" bei Cisco Talos leitet. Das Unternehmen soll Cisco-Kunden vor Cyberbedrohungen schützen. "Nach unserer Einschätzung ist Russland höchstwahrscheinlich mit Spionageaktivitäten beschäftigt. Sie wollen herausfinden, wie sich der Rest der Welt diplomatisch zu den Sanktionen verhält und wo seine roten Linien sind. Die Spione versuchen, Putin Informationen zukommen zu lassen, damit er sich in dieser Lage, in die er sich selbst gebracht hat, am besten zurechtfindet." Neben Spionage beobachte er vor allem, dass Zugangsdaten wie Passwörter abgegriffen würden. "Das meiste, was wir gesehen haben, war nicht sehr ausgefeilt und erfolgreich, es fehlte die Art von Effizienz, die wir normalerweise bei hochentwickelten russischen Cyberaktivitäten sehen." Bei manchen Hacks sei es schwer zu sagen, ob es sich um russische Regierungsagenten handelt oder um jemanden außerhalb Russlands. "Bei Gruppen wie Anonymous ist es immer schwierig zu erkennen, was real und was Fantasie ist." Die Hacker des Kollektivs haben Russland den "Krieg" erklärt und brüsten sich mit Hack- und Störaktionen gegen den Staat.

Sorgen macht sich Olney darüber, dass Russland sich für die Sanktionen rächen könnte, in einer vernetzten Welt gebe es dafür genug Angriffspunkte: "Wir sind verletzlich, und unsere Verbindungen sind zerbrechlich. Alles, was wir tun können, ist, uns auf das Wesentliche zu beschränken, uns aggressiv zu verteidigen und Informationen auszutauschen, wo wir können."

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB