Foto: BSI

Was ist das schlimmste, was einem Logistikkonzern in Zusammenhang mit Hacker-Angriffen passieren kann? Das Thema hat nicht zuletzt aufgrund der zunehmenden Digitalisierung an Bedeutung gewonnen – und wurde am Logistikkongress in Berlin – auch in Anwesenheit von Militärs – prominent fokussiert.

Mochte es Zufall sein, oder nicht: Beinahe zur gleichen Zeit stellte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) andernorts seinen Lagebericht vor, der in Bezug auf zwischenzeitlich durch Fremdzugriffe angerichtete Unternehmens-Schäden «zeitweise Alarmstufe Rot» signalisiert. Dort illustrierte BSI-Präsident Arne Schönbohm die deutlich gestiegene Gefahr anhand von Ransomware-Angriffen wie dem auf ein Krankenhaus, das sich daraufhin für 13 Tage von der Notfallversorgung abmelden musste. Immer öfter sind auch ganze Lieferketten von derartigen Angriffen beeinträchtigt, mit Folgen nicht nur für die Opfer, sondern auch für deren Kunden oder für andere unbeteiligte Dritte.

Michael Vetter (BMVG)

Vor dem BVL-Plenum erläuterte am zweiten Kongresstag im «InterConti» Alpha Barry, CEO des Software-Anbieters Secida aus Düsseldorf, die verschärfte Bedrohungslage durch Erpressungs-Trojaner. «Früher haben Hacker mal 500 Euro verlangt (…) Heute spähen Kriminelle erstmal ihr Opfer aus, um auszuloten, wieviel Geld sie verlangen können». In der Supply Chain genüge es dann oft schon, einen Zulieferer «rauszuschiessen», der dann die Produktion einer kompletten Konzerngruppe ins Wanken bringe. Beispiel: elektronische Türschlösser bei einem Autozulieferer.  

Gerade grössere Unternehmen seien inzwischen ganz gut gegen Software-Angriffe gewappnet. «Aber manchmal genügt ein blödes Katzen-Video, um unter Tausenden von Mitarbeitenden ein paar wenige dann doch dazu verleiten, das lustige Ikon anzuklicken – und schon haben Sie den Virus drin». Manchen Eindringlingen gelinge es sogar, sich mittels Schadsoftware als «Administrator» auszugeben und in wichtige Prozesse einzuklinken. Oft sei der tatsächliche Administrator auch zu faul, sich den ganzen Tag dauernd an- und abzumelden. Barry: «Da bleibt das `Gate´ auch mal einfach offen». Genug Spielraum für Aussenstehende es auf diesem Weg auch mal direkt zu versuchen.

Generalleutnant Michael Vetter, Abteilungsleiter Cyber- und Informationstechnik und CIO im Verteidigungs-Ministerium, benennt in diesem Zusammenhang auch die Versuche ausländischer Mächte, das politische System durch Fehlmeldungen zu destabilisieren, die in ganzen Bevölkerungskreisen Unruhe auslösen: Den Fall «Lisa» – die angebliche Vergewaltigung eines deutsch-russischen Mädchens durch Flüchtlinge, die es aber nie gegeben habe. Vetter: «Inzwischen lassen sich ja auch komplette Video-Sequenzen fälschen – mit entsprechend hohem technischen Aufwand».

Alpha Barry (Secida)

Julia Arlinghaus, Leiterin des Fraunhofer-IFF, konnte in ihrer Funktion als Moderatorin vor dem Plenum noch vermuten, dass möglicherweise lediglich die Berichterstattung über Cyber-Kriminalität zugenommen habe, die Medien also «sensibilisiert» worden seien und deshalb die Zahl der wahrgenommenen Vorfälle in die Höhe geschnellt sei. Allerdings bestätigen Experten, dass das Gros der Angriffe in der Tat deutlich gestiegen sei.

Waren zu Pandemie-Zeiten auch die im Homeoffice Mitarbeitenden und weniger geschützte Workstations im Privatbereich ein Problem? Barry: «In der Firma ist die IT mittlerweile meist gut geschützt – das ist dann aber im Homeoffice nicht mehr so der Fall». Beispiel sei, dass der Nachwuchs über denselben WLAN-Router möglicherweise Software für ein Computerspiel herunterlade – und sich einen «Agenten» einfange, der dann weiter durch´s System wandern könne.

Auch die zunehmende Zahl von Applikationen für manchmal Dutzende von «remote» gehandhabten Anlagen-Steuerungen sei ein Einfalltor. Barry: «Inzwischen haben wir auf jedem Rechner Dutzende von `Devices´, die irgendetwas steuern» – für Cyber-Kriminell geradezu ideal, um sich Zugang zu verschaffen. Vetter: «Scanner, Blutdruckmessgeräte und zahllose Anlagen und Installationen - alles kommuniziert mit der Fernwartung».

Torsten Böttjer, Head of Cloud Engineering beim IT-Hard- und Software-Anbieter Oracle hält solche Applikationen für eine regelrechte Supply Chain für Eindringlinge. «Je mehr Automatisierung wir haben, desto mehr Komponenten sind es mit der Zeit, desto grösser wird das potentielle Risiko». Oft werde über Jahre hinweg vernachlässigt, was sich da alles ansammle. 25 Agenten in einem regulären Lagerverwaltungs-Programm seien keine Ausnahme. «Manche haben da einen ganzen Zoo – wer will das noch managen?» Essentiell sei es beim Arbeiten mit und aus der «Cloud», die Applikationen von den eigenen Daten zu trennen.

Thorsten Böttjer (Oracle)

«Gute Systeme prüfen gleich bei der Online-Abfrage, ob die Antwort von der korrekten URL kommt». Seien über lange Zeiträume zuviele unterschiedliche Systeme vom Anwender selbst «integriert» worden, falle es oft schwer, diese unter Sicherheits-Aspekten wieder «auseinander» zu sortieren und wirksam zu schützen. Böttjer: «Wir trennen das inzwischen auch schon von der Hardware her». Und jede Applikation müsse separat auf ihre Geschütztheit geprüft werden. Bei Oracle seien eigene Teams in der Zentrale mit dieser Problematik zugange.

Vetter hält schon das geschärfte Bewusstsein, die «Cyber Awareness», für hilfreich. Fachleute führen sogenannte «Penetrationstests» durch, um zu schauen, ob einer ins Firmennetz eingedrungen ist oder eindringen könnte. Auch Versicherungen stellen sich zwischenzeitlich quer, wenn ein Unternehmen zwar seine Prämie gezahlt hat, aber wiederholten Gefahrensituationen nicht ausreichend vorgebeugt, beziehungsweise keine Lehre aus vorangegangenen Attacken gezogen habe.

Bei einem grossen Stahlkonzern habe es schon mal 42 Tage gedauert, bis ein Angreifer gefunden war. Barry: «In Unternehmen sollte öfters der Ernstfall geprobt werden – das ist mindestens so wichtig wie der Brandschutz».

Klaus Koch

www.bvl.de