Angriff aus dem Netz

Der Angriff war außergewöhnlich groß. Und er kam während der Weihnachtszeit: am Sonntag, dem 29. Dezember 2024, nachts, um 2 Uhr morgens. Der Zeitpunkt war gut gewählt – und sicher kein Zufall. „Da war natürlich fast niemand im Unternehmen“, erinnert sich Thomas Stocker, Chief Information Security Officer (CISO) der Nemetschek Group. Die Betonung liegt auf „fast“. Denn der deutsche Bausoftware-Konzern unterhält ein Security Operations Center, das rund um die Uhr besetzt ist. Zu dessen Aufgabe zählt die Abwehr von Hackerangriffen wie von diesen verspäteten Weihnachtsbesuchern, die erfolgreich vor die virtuelle Tür gesetzt werden konnten.

Die Angriffe nehmen stark zu

Die Zahl der Cyberangriffe steigt stark – und zwar weltweit und quer über alle Branchen. Betroffen sind Krankenhäuser, Energieversorger, Banken oder Industrieunternehmen. Und auch Bauunternehmen sind immer öfter Attacken von Cyberkriminellen ausgesetzt. „Unsere Kunden aus der Bauwirtschaft sind stark betroffen. Ich kenne kaum ein Unternehmen, das nicht zumindest schon einmal von einer Cyberattacke betroffen gewesen wäre“, meint Stocker. Nachsatz: „Angegriffen werden alle – egal ob groß oder klein.“ Der Nemetschek-Manager schätzt, dass in den vergangenen Jahren die Zahl der Hackerangriffe pro Jahr um 30 Prozent gestiegen ist. „Und es geht weiter. Nicht nur die Zahl der Angriffe steigt, sondern auch die Qualität der Attacken.“

Experten sehen den Boom der Kriminalität im Netz im direkten Zusammenhang mit der geopolitischen Bedrohungslage: „Es ist kein Geheimnis, dass Staaten wie Russland, China oder der Iran die Cyberkriminalität nicht nur nicht verfolgen, sondern gezielt einsetzen, um die wesentlichen Gesellschaften zu destabilisieren. Das ist Teil der hybriden Kriegsführung“, meint ein IT-Security-Fachmann. „Außerdem ist es ein lukratives Geschäft. Da springt mehr als ein Taschengeld heraus“, ergänzt ein anderer. „Ein Internetkabel in der Ostsee durchtrennen, bringt finanziell nichts. Aber den Zentralrechner lahmlegen und für das Freischalten Lösegeld erpressen, lohnt sich.“

Vor den Angriffen aus dem Netz bleibt auch Österreich nicht verschont. Laut der Cybersecurity-Studie des Consulting-Unternehmens KPMG aus dem Jahr 2024 gaben 54 Prozent der befragten Unternehmen an, in den letzten 12 Monaten Opfer von Desinformationskampagnen geworden zu sein. 42 Prozent wurden sogar mehrfach angegriffen. Jedes dritte Unternehmen hat laut KPMG-Studie zumindest einmal eine Lösegeldforderung im Zusammenhang mit einem Ransomewareangriff bezahlt. Und 66 Prozent haben Bedenken, dass Cyberangriffe gegen ihre Dienstleister Auswirkungen auf sie selbst haben werden.

Die Art der Attacken und die damit verbundenen Geschäftsmodelle haben sich im Laufe der Zeit deutlich weiterentwickelt. Vor einigen Jahren war es noch üblich, dass die Cyberkriminellen in ein schlecht geschütztes Netzwerk eindringen, dieses dann lahmlegen, die Daten verschlüsseln und anschließend ein Lösegeld verlangen, um den Zugriff wieder freizuschalten. Der Fachterminus dafür nennt sich Denial-of-Service-Attacke, Kurzform: DoS-Attacke. Die angegriffenen Unternehmen sind allerdings mittlerweile oftmals besser vorbereitet und haben ihre Daten mit einem Backup gesichert. Der Zugriff auf die Daten mag gesperrt sein. Das macht aber nichts, da sie im Backup weiter verfügbar sind. Die Zahlung des Lösegelds ist also nicht notwendig.

So leicht geben sich die Erpresser aber nicht geschlagen. Sie haben eine Antwort auf den Widerstand der widerborstigen Kundschaft gefunden: Sie drohen mit der Veröffentlichung der Daten. „Ich weiß von einem Unternehmen, das sich geweigert hat, das Lösegeld zu zahlen. Wenige Tage später standen seine Daten im Netz“, schildert Nemetschek-CISO Stocker. Diese Vorgangsweise nennt man in Fachkreisen auch Double Extorsion – auf Deutsch: Doppelerpressung.

Es braucht keine gesteigerte Fantasie, um nachzuvollziehen, dass das für das betroffene Unternehmen durchaus geschäftsschädigend ist. Zumal von der Veröffentlichung auch Kundendaten betroffen sein können. Die Datenschutzverordnung (DSGVO) schreibt daher vor, dass Unternehmen, die einen Hackerangriff erlitten haben, diesen unverzüglich melden müssen. Verstecken geht also in so einem Fall nicht. Der Imageschaden ist garantiert.

Dieser Gefahr sind Bauunternehmen ebenfalls ausgesetzt, unabhängig von der Größe. „Bauunternehmen arbeiten mit umfassenden Daten – von der Planung über die Ausschreibung bis zur Ausführung“, meint Matthias Börsig vom FZI Forschungszentrum Informatik in Karlsruhe. „Diese Daten sind teilweise sehr sensibel. Denken Sie nur an vertrauliche Informationen zu Ausschreibungen inklusive der zugrunde liegenden Kalkulationen.“

Börsig weist damit auf ein weiteres Geschäftsmodell hin: gezielte Industriespionage. „Für einen Mitbewerber kann es sehr interessant sein, sensible Betriebsgeheimnisse in Erfahrung zu bringen. Die Cyberkriminalität bietet hier völlig neue Möglichkeiten“, so Börsig weiter. „Wenn ich genau weiß, was der Mitbewerber zu welchem Preis anbietet, kann das durchaus nützlich sein.“ Und man muss selbst kein Hackergenie sein, um einen Angriff auf einen Konkurrenten zu initiieren: Cyberkriminelle sind käuflich – und zwar über das Darknet. „Einen DoS-Angriff, mit dem ich eine Website lahmlegen kann, kostet im Darknet nicht viel. Den kann man kaufen wie ein ganz normales Service. Die Qualität steigt natürlich mit dem Preis“, erläutert Nemetschek-Manager Stocker.

Aus der Dienstleistung Cyberangriff hat sich ein einträgliches Geschäft entwickelt, das höchst professionell betrieben wird. Die Anbieter sind oftmals erstklassig organisiert und arbeiten sehr serviceorientiert – inklusive Beratung über FAQs und eine Hotline. Stocker: „Für die Mitarbeiter dort ist das ein Beruf wie jeder andere.“

Von ähnlichen Erfahrungen kann FZI-Forscher Börsig berichten. Börsig hat im Rahmen eines Projekts im deutschen Bundesland Baden-Württemberg kleine und mittelständische Unternehmen unterstützt, die von einem Hackerangriff betroffen waren. Dabei hat er einen guten Einblick in die Arbeitsweise der Kriminellen gewonnen. Börsig: „Die Angreifer sind sehr gut organisiert und Strukturen wie in einem ganz normalen Dienstleistungsunternehmen aufgebaut“, berichtet er.

Wie es sich in einem gut geführten Betrieb gehört, gibt es klare Prozesse und Verantwortlichkeiten, um den Kunden, der eigentlich keiner sein will, optimal zu betreuen: Eine Abteilung ist zum Beispiel für das Phishing zuständig. Sie sorgt für das Eindringen in das Netzwerk des Opfers. Ist das gelungen, übergibt sie den Prozess an die Kollegen, die dafür zuständig sind, die Daten zu verschlüsseln und den unfreiwilligen Kunden das Geschäftsangebot zu unterbreiten. Sie hinterlassen auch eine Telefonnummer unter der eine Art Service-Desk zu erreichen ist, der hilft, falls es Probleme bei der Entschlüsselung der Daten gibt. Börsig: „Die professionelle Abwicklung macht aus Sicht der Kriminellen Sinn. Solange alles gut funktioniert, zahlen die Kunden. Das Geschäft läuft.“

Und ein Ende des boomenden Business ist nicht in Sicht – im Gegenteil. Denn je weiter die Digitalisierung und Vernetzung der Unternehmen voranschreitet, desto größer wird potenziell die Gefährdung, von einem Angriff erwischt zu werden. Zudem bieten die rasanten Fortschritte bei der Künstlichen Intelligenz den Kriminellen völlig neue Möglichkeiten. Nemetschek-CISO Stocker: „Wir beobachten, dass die Angreifer laufend neue Methoden entwickeln. Das geht mit KI natürlich viel schneller.“

Die Einfallstore für die Attacken sind bekannt: „Zunächst sind da einmal die Mitarbeiter, die aus Versehen auf Phishing-Mails klicken oder sich nicht an die Sicherheitsregeln halten und leichtsinnig mit Passwörtern umgehen“, so IT-Security-Fachmann Börsig. Ein Klassiker ist auch das Fehlen von Sicherheitsupdates für kritische Systeme.

Experten propagieren für den professionellen Schutz vor Cyberattacken daher drei Schlagworte: People, Process, Technology. Dazu Nemetschek-Mann Stocker: „Man braucht Cyber Security-Spezialisten, die wirklich wissen, was sie tun. Vor zwanzig Jahren hat ein Administrator eine Antivirussoftware installiert und den Mitarbeitern gesagt, dass sie nicht auf Phishing-Mails klicken dürfen. Das genügt heute nicht mehr.“

Das nächste Element bilden die Prozesse für den Schutz und den Ernstfall: „Es muss klar sein, wer was wann macht. Zum Beispiel: Wann nehme ich welchen Rechner vom Netz? Wir können das in der Nemetschek Group zentral für jeden einzelnen Rechner durchführen“, so Stocker weiter. Und schließlich braucht es die Technologie zum lückenlosen Monitoring der Systeme, um eine Gefährdung frühzeitig zu erkennen. Das „Allerwichtigste“ ist aus Sicht von Stocker aber ein weiterer Aspekt: „Das Management muss voll dahinterstehen. Es muss jedem klar sein: Cyber Security hat bei uns höchste Priorität.“