IT-Sicherheit:Wie sich die deutsche Industrie auf Cyberattacken vorbereitet
Lesezeit: 8 Min.
Von Thomas Fromm
Die Besucher kommen immer wieder vorbei, und das größte Problem ist, dass sie sehr diskret sind. Es sei wie das ganz leise Klopfen an der Haustür, sagen IT-Experten. Meistens bekommt man es gar nicht mit. Man hört nichts. Man sieht - zumindest am Anfang - nichts, und dann, ganz plötzlich, sind sie da.
Die perfekte Zeiten für die leisen Klopfer sind die Sommerferien oder Weihnachten. Je weniger Leute im Büro, je weniger Aufmerksamkeit vor dem Computer, desto schneller geht es. Was natürlich nicht heißt, dass Hacker den Rest des Jahres im Urlaub wären. Schön wär's.
Bei Siemens zum Beispiel gibt es im Durchschnitt etwa 1000 Angriffe im Monat. "Idealerweise sitzen wir nicht da und warten darauf, dass was passiert", sagt Thomas Penteker. Der IT-Experte arbeitet in einem Bürokomplex am südlichen Münchner Stadtrand, in einer Abteilung, die bei Siemens etwas martialisch "Cybersecurity Defense" heißt. Das bedeutet: Cyberabwehr rund um die Uhr, für etwa 380 000 Mitarbeiter in 200 Ländern. Es wird ja immer irgendwo an die Tür geklopft, in München, in Indien, in Mexiko. Ständig versuchen Hacker, reinzukommen. Sind sie dann erst einmal drin, versuchen sie, sich tief durch die Innereien einer Konzern-IT zu wühlen. Dann kann es aber oft schon zu spät sein. "Oft entdecken wir kleine Anomalien schon am Anfang", sagt Penteker. "Da ist die Vermutung, dass da irgendwas schief ist. Das können eine veränderte Software sein oder Server, die plötzlich untereinander kommunizieren. Das deutet dann auf einen erfolgreichen Angriff hin."
Penteker ist keiner von den mittelalten Ingenieuren und Managern, die Anzug und Krawatte tragen und von denen es bei Siemens eine ganze Menge gibt. Er trägt Polo-Shirt, Jeans, und ist Mitte dreißig. In seiner Abteilung ist das der Altersdurchschnitt.
Die Cyberabwehr-Kämpfer haben ihre eigene Sprache
Die Cyber-Kämpfer bei Siemens sind meistens jung und haben ihre eigene Sprache. Sie berichten von Angriffs- und Mustererkennung, von threat hunting, von threat intelligence und von kill chain methods. Das sind vielleicht nicht zufällig Begriffe, die an die Welt der Militärs erinnern. Denn das, was täglich im Internet stattfindet, ist ja so etwas wie Krieg. Der Gegner ist meistens unbekannt, seine Angriffsstrategie ändert sich mal wöchentlich, mal monatlich. Und es ist nicht leicht, sich zu verteidigen, wenn alle paar Sekunden irgendwo auf der Welt eine Mail losgeht, die Lösegeld erpressen will, wenn anonyme Angreifer damit drohen, Rechner, Arbeitsabläufe und manchmal sogar ganze Unternehmen lahmzulegen. Wenn viele dieser Mails von irgendwelchen Servern und aus Troll-Fabriken in Osteuropa, Südamerika, China oder Russland kommen. Das alles richtet in der Wirtschaft jedes Jahr Milliardenschäden an, und die eigentliche Frage ist: Wenn das hier wirklich eine Art Krieg ist - wie abwehrbereit ist dann die deutsche Industrie? Ihre international hoch angesehene Ingenieurskunst ist die eine Sache. Aber zählt die in Zukunft noch? Sind die Konzerne gewappnet gegen die Angreifer?
"Viele Europäer haben eine romantische Vorstellung von dem, was international passiert", sagt der israelische Sicherheitsexperte Daniel Bren. "Die Gefährlichkeit solcher Attacken nimmt zu, weil Unternehmen im Zeitalter der Industrie 4.0 immer stärker vernetzt sind." Man muss wissen, dass der Mann, der früher mal ein hochrangiger IT-Sicherheitschef bei der israelischen Armee war, eine sehr besondere Sicht auf die Dinge hat. Wenn ein Armee-General wie er nach fast 30 Jahren beim Militär die Uniform auszieht und in Tel Aviv ein Start-up mit dem Namen Otorio gründet, um der Industrie zu erklären, wie man Cyberattacken abwehrt, dann heißt das wohl: Die Sache ist ernst.
Zuletzt fuhr Bren durch Deutschland und sprach mit Unternehmensmanagern über seine IT-Plattform, die helfen soll, Angriffe zeitig zu erkennen und zu protokollieren. Die Reaktionen in den Unternehmen seien durchweg positiv gewesen, sagt er. Nun hat er ja auch gute Argumente: Die Folgen von Cyberattacken, warnt Bren, seien heute weitaus gravierender als früher. Es gehe um ganze Infrastrukturen und Energienetze, die attackiert werden können. Oder in der Autoindustrie: Es genügt schon, dass ein kleiner Zulieferer ein Problem mit Hackern hat. Bleibt dies unerkannt, wird es weitergereicht bis zum Autohersteller - die Ansteckungsgefahr in einer Branche ist groß, wenn alles vernetzt ist. Es ist wie eine Seuche, die von A nach B wandert, bevor sie dann in großem Stil ausbricht. Er glaube, "dass sich die Industrie der vollen Tragweite dessen nicht ausreichend bewusst ist", sagt Bren. "Vor allem Deutschland ist sehr stark in alle Richtungen vernetzt. Das ist nötig und sinnvoll, birgt aber auch große Risiken."
In den vergangenen Jahren sollen mehrere europäische Konzerne Ziel von Attacken gewesen sein. Die Urheber saßen im Ausland, mutmaßlich soll es dabei auch um chinesische Hacker gegangen sein; die Rede war zuletzt von einer Gruppe namens Winnti, die digital ausspähte. Siemens, Covestro, Bayer, Henkel, Roche - die Liste der Ziele soll lang sein. "Wir werden künftig vermutlich noch aggressivere Attacken auf europäische Unternehmen sehen, und fragen Sie mich nicht, ob die dann aus China oder Russland, von Kriminellen oder Terroristen kommen", sagt Bren. Es gebe "jedenfalls allen Grund, besorgt zu sein".
Wenn Neugierde und Leichtsinn zusammenkommen, wird es gefährlich
Die Sorgen sind in der Industrie längst angekommen. Die Cyber-Verteidiger von Siemens versuchen, die Strategien der Angreifer zu verstehen, schon bevor sie überhaupt angreifen. Zum Beispiel: Wer mit seinen Phishing-Mails Leute aus einer Firma anschreibt, hat im besten Fall vorher recherchiert. Je mehr er dann über die Menschen weiß, die er anschreibt, desto größer ist die Aussicht auf Erfolg. Zum Beispiel die persönliche Ansprache: "Hi, wir haben uns doch in der vergangenen Woche auf der Konferenz kennengelernt. Hier noch schnell das Dokument, über das wir gesprochen haben." Blöd, wenn der Adressat auf keiner Konferenz war. Gut für den Angreifer, wenn der Angeschriebene nicht nachdenkt und das verseuchte Dokument öffnet. Dass viele Menschen auf sozialen Kanälen wie Linked-in oder Twitter ihr Wochenprogramm veröffentlichen und dabei auch ihre Konferenzteilnahme in der letzten Woche posten, spielt den Hackern in die Hände. Der informierte Angreifer weiß dann Bescheid. Er hat sich gut vorbereitet.
"Wie so etwas geht, können Sie heute sogar schon bei Videos auf Youtube lernen, und ständig kommt etwas Neues dazu", sagt Natalia Oropeza. Die Mexikanerin ist bei Siemens die oberste IT-Sicherheitschefin, und dass man inzwischen schon auf Youtube nachschauen kann, wie man als Hacker erfolgreich arbeitet, macht ihr das Leben nicht gerade leichter. "Es gibt etwas, was mich abends wirklich nicht schlafen lässt: Der Gedanke daran, dass irgendwo da draußen Hacker unterwegs sein könnten, die versuchen, Informationen über unseren Technologiestand und unsere Strategien abzuziehen. Das macht mich nervös." Oropeza weiß, wie schnell das alles gehen kann in einem Riesenreich wie Siemens. Das größte Sicherheitsrisiko, sagen die Cyber-Abwehrspezialisten, sei ja der Mensch an sich. Er öffnet in schwachen Momenten Mails, die er nicht öffnen sollte, er leitet Dinge weiter, die er besser löschen sollte. Und er hebt auf dem Firmenparkplatz einen 128 Gigabyte starken USB-Stick auf und schiebt ihn in seinen Rechner. Nur weil da draufsteht: "Unser letzter Urlaub auf Malle". Gerade wenn Neugierde und Leichtsinn zusammenkommen, wird es gefährlich. Kurios ist: In der Szene haben verschiedene Gruppen Namen, die manchmal eher nach harmlosen Baseballteams klingen als nach knallharter Cyber-kriminalität. Neben Winnti ist die Rede von Gothic Pandas oder den Spiders. Man weiß nicht viel über diese Gruppen und in wessen Auftrag sie unterwegs sind. Aber das schon: Es seien Menschen, die einen Chef haben, der entscheide - es müsse dort also auch Hierarchien geben, sagt ein Insider. Jemand, der immer wieder sagt, wo es langgeht. So gesehen sind die Gegner von Natalia Oropeza sehr konkret.
Sie hat einen Rollkoffer zum Gespräch in die Siemens-Zentrale in München mitgebracht. Als Sicherheitschefin ist sie ständig unterwegs. Von München nach Nürnberg, von Nürnberg ins Ausland, und wieder zurück. Die Siemens-Welt ist groß, jedes Büro, jede Niederlassung in jedem Land könnte zum Einfallstor für Hacker werden. Um besser zu verstehen, was da draußen passiert, teilen Experten wie Oropeza Hackerangriffe in drei Kategorien ein. Stufe eins heißt initial compromise: Der Angreifer hat es geschafft, alle Hürden zu überwinden. Er ist drin, mehr aber noch nicht. Stufe zwei ist schon weitaus gefährlicher: Sie heißt lateral movement: Es gelingt dem Hacker, sich frei zu bewegen und innerhalb der IT-Netze von A nach B zu gelangen. Er ist jetzt nicht nur drin, er bekommt auch immer mehr Zugriff auf wichtige Daten. Je mehr er hat, desto mehr kann er bekommen, wenn er nicht gestoppt wird.
Die dritte Stufe nennen sie privilege escalation. Es ist die Phase, in der der Hacker Zugriff hat auf sämtliche Passwörter. Längst ist er nicht mehr nur als klandestiner Besucher unterwegs, er kann jetzt auch als IT-Administrator auftreten. Er dirigiert und entscheidet. Für jemanden wie Natalia Oropeza ist das der Albtraum schlechthin. "Die Frage ist, wie weit er nach dem initial compromise kommt", sagt sie. "Je früher wir eingreifen können, desto besser. Je später, desto schwieriger ist es. Wenn die Hacker einmal drin sind und sich frei bewegen können, ist es schwer, sie zu verfolgen und zu stoppen."
Wie schnell man einen Großkonzern dann unter Druck setzen kann, zeigte der Angriff auf einen der größten Aluminiumhersteller der Welt: den norwegischen Konzern Norsk Hydro. Nach einem Cyberangriff auf das Unternehmen aus Oslo konnte nur noch im Notbetrieb produziert werden; es kursierte am Markt die Angst vor Lieferengpässen. Was war passiert?
Hacker hatten die Norweger im Frühjahr mit einer klassischen Ransomware-Attacke belagert. Eine Erpressungsmethode, bei der Daten meistens verschlüsselt und erst gegen Lösegeldzahlungen wieder geöffnet werden. Der Name des Erpressungs-Trojaners: LockerGoga. Immer öfter im Visier der Angreifer sind aber auch sogenannte "kritische Infrastrukturen" wie Energienetze oder Kraftwerksanlagen. Sind Hacker hier erfolgreich, kann es dramatisch werden.
In einer Studie der Deutschen Akademie der Technikwissenschaften, Acatech, entwerfen Wissenschaftler ein durchaus realistisches Szenario, um zu zeigen, wie sich mit ein paar kleinen Mails große Katastrophen auslösen lassen. Ein Hacker verschickt Post an einzelne Mitarbeiter eines Stromkraftwerkes. Mit dabei: Schadsoftware, sogenannte "Malware". Der Angreifer weiß: Wenn auch nur einer der Empfänger den Anhang öffnet, könnte er seinem Ziel schon sehr nahe sein: Das Kraftwerk fährt runter, öffentliche Einrichtungen wie Krankenhäuser oder Schulen werden geschlossen, der Nahverkehr bleibt stehen, das öffentliche Leben kommt zum Erliegen. Am Ende könnte sogar die Lebensmittelversorgung der Bevölkerung nicht mehr gesichert sein und es kann Tage dauern, die Software zu entdecken. Und es kann noch länger dauern, bis man die Geschichte hinter der Attacke begreift. "Motivation: Terrororganisationen oder Geheimdienste wollen Angst verbreiten und die Souveränität eines Staates diskreditieren", halten die Autoren der Studie fest. Reiner Hollywood-Stoff? Beileibe nicht.
Einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) zufolge war im vergangenen Jahr jedes dritte befragte Unternehmen Ziel von Cyber-attacken. Das Marktforschungs- und Beratungsunternehmen Gartner schätzt, dass 2019 weltweit an die 124 Milliarden Dollar in die IT-Sicherheit investiert werden - eine Summe, die in den kommenden Jahren weiter steigen dürfte.
Wer von München mit der U-Bahn Richtung Norden und Allianz-Arena fährt, landet nach ein paar Kilometern in einer modernen Trabantensiedlung. Hier, im Gewerbegebiet Garching Hochbrück, zwischen BMW-Büros, Sixt und TÜV Süd, suchen die IT-Experten vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) nach Abwehrstrategien für die deutsche Wirtschaft. Die Informatikprofessorin Claudia Eckert, 60, hat das Institut aufgebaut, sie beschäftigt sich seit Jahrzehnten mit dem Thema IT-Sicherheit - und sie ist gar nicht mal so pessimistisch. "Unsere großen Industriekonzerne wissen sehr wohl, was zu tun ist", sagt sie. "Natürlich kann es immer Lücken geben, aber die Schutzmaßnahmen greifen in der Regel, nicht zuletzt auch, weil die Experten ihre Erfahrungen austauschen. Das haben die Spähangriffe der mutmaßlich chinesischen Winnti-Gruppe jetzt wieder gezeigt." Problematisch sei allerdings der deutsche Mittelstand. "Häufig höre ich: 'Meine Auftragsbücher sind voll, wie soll ich da noch zusätzlich das Sicherheitsthema stemmen? Ich bin doch für Angreifer nicht von Interesse.' Diese Firmen machen mir große Sorgen, denn sie sind häufig das Einfallstor für Angreifer."
Die Forscherin weiß, dass vieles von dem, was heute besprochen wird, morgen vielleicht schon überholt sein kann. "Mich interessiert, wie sich die Angreifer von morgen verhalten werden", sagt Eckert. "Künstliche Intelligenz gibt Angreifern neue Möglichkeiten, vollautomatisch und sehr gezielt, Systeme und auch Personen anzugreifen." Und - sind wir gut darauf vorbereitet? "Ich fürchte nein", sagt die Informatikerin. In den nächsten Jahren müsse man mit Hackerangriffen rechnen, bei denen Algorithmen unterwandert und in eine falsche Richtung gelenkt werden. "Das ist leider keine Fiktion, das kann schon bald Realität werden", sagt Claudia Eckert.
Die Industrie zwischen täglichen Cyberattacken und Science-Fiction-Dystopien: Um die Mitarbeiter an den Gedanken zu gewöhnen, dass ein Angriff nur einen Mausklick entfernt sein kann, hat Siemens das Böse personifiziert: In Schulungsvideos für Mitarbeiter taucht seit einiger Zeit ein gewisser Mr. Morphy auf, ein Mann in rotem, hautengen Ganzkörper-Suit, der lautlos versucht, in die Netze einzudringen. Manchmal kommt Mr. Morphy auch persönlich in die Siemens-Büros. Läuft herum, bleibt stehen, verteilt Infobroschüren. Die Botschaft: Passt gut auf, Leute, es könnte jeder sein. Er ist nur gut getarnt.