Cyberkriminelle abwehren Hackerangriffe im Handwerk: Prävention und Soforthilfe für den Ernstfall

Zugehörige Themenseiten:
Datenschutz, Digitalisierung, IT-Sicherheit, IT-Trends und Weiterbildung

Ein Hackerangriff kann heute alle treffen, auch kleinere Handwerksbetriebe. Häufig verschaffen sich die Verbrecher über Schadprogramme Zugang zu den Firmendaten und bringen darüber im schlimmsten Fall den Betrieb zum Stillstand. Vorsicht ist daher besser als Nachsicht.

Von Irmela Schwab

Erst denkt Hanspeter Fischer an einen bösen Streich von Teenagern. Es ist eines Morgens im Juni 2020, kurz nach dem ersten Lockdown, als er seinen Betrieb betritt. Seine Mitarbeiter, die ihm sonst ein fröhliches „Guten Morgen“ zurufen, ­sehen bedrückt aus. „Alle Daten des ­Betriebs aus gut 30 Jahren unserer Geschäftstätigkeit waren spurlos verschwunden“, berichtet Fischer. Geklaut von einer Bande an Kriminellen, die in den Server der Firma eingedrungen ist und alles andere als einen Kinderstreich im Sinn hatte, sondern vielmehr einen knallharten Erpressungs-Deal: Geld gegen Daten.

Den Handwerkschef beschleicht ein klammes Gefühl. „Es ist unheimlich, auf diese Art angegriffen zu werden“, beschreibt er. Nachdem er handwerk magazin seinen Fall geschildert hat, will er mit seinem echten Namen, Ort und Gewerk nicht genannt werden – zu übermächtig sitzt ihm der Schreck noch im Nacken, zu groß die Angst, dass ihm so ein Übergriff nochmals passieren könnte. Fischer ist im Geschäftsgebiet gut vernetzt, und er fängt an, einigen befreundeten Unternehmern von seinen Sorgen zu erzählen. Schnell stellt er fest, dass er damit nicht alleine ist. „Von Datenklau sind heute viel mehr Betriebe betroffen, als man denkt“, meint er.

Immer mehr Firmen betroffen

Tatsächlich ruft die fortschreitende Digitalisierung immer mehr Cyber-Kriminelle auf den Plan. Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro, wie der Digitalverband Bitkom in einer aktuellen Untersuchung belegt. Ein aktuelles Beispiel ist etwa die Attacke auf die Kreisverwaltung Anhalt-Bitterfeld, bei der viele technische Einrichtungen wie Telefon, Computer und Drucker wochenlang lahmgelegt wurden. Solche Szenarien erreichen immer mehr Firmen, große wie kleine: In jüngster Vergangenheit waren laut Bitkom 88 Prozent der befragten Unter­nehmen von einer Hackerattacke betroffen. Bei den Angriffen geht es immer um den Diebstahl von sensiblen relevanten Daten, ohne die ein reibungsloser Prozessablauf im Betrieb unmöglich ist. Das kann für die Betroffenen schnell existenzbedrohend werden.

Ransomeware – so lautet die derzeit gängige Hacker-Methode. Der Begriff, der aus dem Englischen mit Lösegeld-Programm übersetzt wird, bezeichnet Trojaner, über die sich Hacker den Zugriff auf Computersysteme verschaffen und die Daten so verschlüsseln, dass der rechtmäßige Eigentümer nicht mehr darauf zugreifen kann. In der Regel erfolgen ihre Angriffe automatisiert, einen bestimmten Betrieb haben sie selten im Visier, denn mit den ergaunerten Daten können sie selbst in der Regel wenig anfangen. Doch wissen sie um den Wert ihrer Beute: Für die Rückverschlüsselung fordern sie oft viel Geld. Auch Spuren gibt es keine, denn die Verbrecher verstecken sich in den Tiefen des Netzes, dem sogenannten Darknet.

Hacker fordern viel Geld

So ist es auch im Fall Fischer. Kurz nach dem ersten Schreck folgt für den Handwerkschef gleich der zweite. Die Täter melden sich. „Über den Server erschien eine Meldung aus dem Darknet mit einem Dokument, über das die Hacker mit uns in Kontakt traten“, schildert er. Ihre Forderung: zwei Bitcoins. Im vergangenen Sommer entspricht ein Bitcoin der Kryptowährung ungefähr 8.000 Euro. Fischer begreift: „Hinter der Attacke steckt ein knallhartes Geschäftsmodell.“ Für die Täter zahlt sich das häufig aus, meint er: „Die Daten selbst oder mithilfe von IT-Spezialisten zu entschlüsseln ist schier unmöglich, da es unendlich viele Varianten gibt.“ Obwohl wie in allen anderen Erpressungsfällen auch geraten wird, nicht auf das Angebot der Täter einzugehen, macht der Handwerkschef ein Gegengebot: einen Bitcoin. Die Verhandlung beginnt.

Dass er einmal gehackt werden würde, hätte Fischer, der mit weniger als 20 Mitarbeitern eher zu den „Kleinunternehmern“ zählt, nie für möglich gehalten. Erst ein paar Monate vor dem Cyber-Angriff auf seine Firma hat er bei der Handwerkskammer in seiner Region noch einen Vortrag gehört, bei dem es um eine gehackte Telefonanlage eines Betriebs ging. „Das könnte mir nicht passieren“, dachte sich der Handwerkschef. Die Daten seines Betriebs liegen schließlich alle auf einem eigenen Server im Betrieb und sind über eine NAS-Datensicherung, ein Netzlaufwerk, sogar doppelt geschützt. Was ist also schiefgelaufen?

IT-Sicherheit von Anfang an planen

Jürgen Schüler hat eine einfache Erklärung dafür. Als jahrelanger Leiter des Kompetenzzentrums IT-Sicherheit der Handwerkskammer Rheinhessen hat er die Organisation in den 1990er-Jahren digital fit gemacht und mit einer Website sowie einer Firewall ausgerüstet – und gilt seither unter den Handwerks­kammern als der IT-Sicherheitsexperte schlechthin. Daran hat sich auch nach seinem Eintritt in den Ruhestand im vergangenen Juli nichts geändert: Gemeinsam mit dem Heinz-Piest-Institut für Handwerkstechnik (HPI), Komzet IT-Sicherheit und ZDH-ZERT bietet er ein vierstufiges Schulungsmodell für IT-Sicherheit im Handwerk an, über das Betriebe eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz erwerben. Die zugehörige Website it-sicherheit-handwerk.de liefert zudem umfassende Informationen, wie Chefs ihren Betrieb sicher aufstellen und wo sie sich beraten lassen können: Die rund 70 IT-Sicherheitsbotschafter aus verschiedenen Handwerkskammern führen im Rahmen der Initiative kostenlose Prüfungen durch.

„Um die Digitalisierung des Handwerks zukunftsfähig und sicher zu gestalten, muss Informationssicherheit von Beginn an mitgedacht werden“, weiß Schüler. Andernfalls entstehen Sicherheitslücken. Die hat es auch im Betrieb Fischer gegeben: „Daten auf einem Server zu sichern bedeutet noch lange nicht, dass sie dort auch geschützt sind“, macht der IT-Sicherheitsexperte aufmerksam. „Eine Phishing-E-Mail oder ein kompromittiertes Passwort reichen aus, um Zutritt auf die Festplatten der Computer zu erhalten.“

Um die eigene IT-Infrastruktur optimal zu schützen, rät Schüler zum Zwei-Faktor-Authentifizierungsverfahren, bei dem eine E-Mail-Adresse mit Passwort zum Beispiel ein Bestandteil ist, ein anderer ein generierter Code auf dem ­Mobil­telefon. Auch sollten verschiedene Passwörter für jede Website oder E-Mail-Adresse verwendet werden, dasselbe gilt für den Router der Telefonanlage, der sicher konfiguriert sein sollte. „Ein Passwort-Generator hilft dabei, sichere Passwörter zu finden, die dann in einem Schlüsselbund hinterlegt werden können, auf das mit einem Stammkennwort zugegriffen wird“, empfiehlt Schüler. „So werden kompromittierte Passwörter von vornherein verhindert.“

Sicherheit muss nicht teuer sein

Der Sorgfaltspflicht der Betriebe – ohne die übrigens auch keine Cyber-Versicherung greift – unterliegt es auch, besonders sensible Daten über eine Software zu verschlüsseln. Als kostenlose Programme gibt es beispielsweise VeraCrypt oder BitLocker. Wichtig ist es auch, regelmäßige Software-Updates durchzuführen sowie natürlich eine Firewall zu installieren, die Schadsoftware ausfiltert. „Gute günstige Anbieter wie Avira oder Kaspersky gibt es schon für wenige Euro pro Jahr“, sagt Schüler. Schließlich kann es passieren, dass über cloud-basierte Dienste Malware auf den Rechner kommt, so wie es im Fall der Kreisverwaltung Anhalt-Bitterfeld passiert ist: Die Angreifer haben die Schwachstelle der Windows-Druckerschnittstellen genutzt, die Microsoft kurze Zeit nach der Attacke über ein Update geschlossen hat. Apropos Update: Die Betriebs- sowie auch die Antivirensoftware immer auf den neuesten Stand zu bringen ist ebenfalls ein elementarer Bestandteil, um sich abzusichern. „Viele Cyber-Attacken passieren, weil aktuelle Updates von den Firmen nicht zeitnah umgesetzt werden“, weiß der IT-Sicherheitsexperte.

Doch selbst die beste Sicherheitssoftware kann nicht jeden Schaden abhalten. Auch die Mitarbeiter sind gefordert, wachsam zu sein. Seit der Pandemie gilt das mehr als zuvor. Weil die Heimarbeit seither angestiegen ist, und dabei vermehrt E-Mails zwischen den Mitarbeitern ausgetauscht sowie Kommunikationslösungen wie Zoom oder Teams genutzt werden, greifen die Hacker in diesen Informationsfluss gezielt ein. Besonders häufig täuschen sie Mitarbeiter mit gefakten E-Mails, um sensible Daten wie Passwörter zu erhalten oder um Schadprogramme einzuschmuggeln.

Bei 41 Prozent der befragten Unternehmen der Bitkom-Studie gab es zuletzt solche Versuche, teils per E-Mail, teils per Telefon. Um Vertrauen zu wecken, tarnen die Angreifer eine E-Mail etwa als als Bewerbung oder Rechnung und hängen eine Word- oder PDF-Datei an. Oder sie lassen die E-Mail wie die eines Paketzustellers aussehen und fordern den Empfänger auf, ein Paket über einen Link zu tracken. Wer klickt, muss mit fatalen Folgen rechnen. „Betriebe müssen ihre Mitarbeiter in einer eigenen Schulung auf die Sicherheitsrisiken hinweisen“, rät Schüler. „Lernziele sollten sein, nicht auf jeden Link in einer E-Mail oder auf Facebook zu klicken, sondern die Quelle zuvor sorgfältig zu hinterfragen.“

Hacker spielen „Katz und Maus“

Die schlechte Nachricht: Je mehr sich die Betriebe anstrengen, die Sicherheitsvorkehrungen umzusetzen, desto eifriger arbeiten die Hacker ihrerseits daran, ihre Attacken zu verfeinern. Diese Dynamik vergleicht Schüler mit einem „Katz-und-Maus-Spiel“, bei dem die gejagte Maus bestenfalls immer einen Sprung voraus ist. Hinzu kommt: Angreifer brauchen heute keine Programmierkenntnisse mehr, um in den Firmen einzubrechen. Über Web­seiten wie Shodan können sie Systeme mit niedrigen Sicherheitsvorkehrungen aufspüren. Häufig finden sich darüber Geräte, die sich mit Benutzernamen wie „admin“ und Passwörtern wie „1234“ leicht angreifbar machen. Ein Daten-Festmahl für Hacker, die solche Sicherheitslöcher über fertige Tools aus dem Darknet ausnutzen können.

Für den Ernstfall rät Schüler den ­Betrieben, eine Notfallliste zu erstellen, auf die sie schnell zurückgreifen können. „Die Liste hilft ihnen auch dabei, die nötige Ruhe zu bewahren“, sagt er. Zu den ­To-dos zählt es, zunächst alle Rechner und Server vom Netzwerk zu trennen, sobald man der Attacke gewahr wird, und laufende Back-ups zu stoppen. Sind schützenswerte Daten, zum Beispiel Kundendaten im Rahmen der Datenschutzgrundverordnung (DSGVO), betroffen, müssen Betriebe den Vorfall außerdem innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde melden, um eine Strafe zu vermeiden. Wer bei den einzelnen Schritten professionellen Beistand möchte, sollte auch einen Ansprechpartner benennen wie etwa den hauseigenen IT-Sicherheitsberater.

Michael Christmann, Geschäftsführer beim 20-köpfigen Betrieb Stuck Putz Trockenbau Belz in Bonn, hat seinen Notfallexperten, den IT-Dienstleister Roesberg IT, direkt im Haus. Erst vor Kurzem hat er auf dessen Rat seinen VPN-Standard erneuert, um den Datenaustausch zwischen Baustelle, Büro und Homeoffice abzu­sichern. Der Stuckateurmeister, der die Fassaden und Innenräume von Gebäuden im Rheinland dekoriert, setzt gezielt auf digitale Abläufe – und hat damit schon einige Innovationspreise gewonnen, etwa die Auszeichnung „Rheinland Genial“ für den Einsatz von 3-D-Druckern und 3-D-Scannern für besonders präzise Stuck­ornamente sowie für seine betrieblichen Abläufe. Diese laufen allesamt digital: vom Auftrag über die Abwicklung auf der Baustelle bis hin zur Zeiterfassung. „Damit ersparen wir uns extrem viel Zeit, die wir in neue innovative Projekte stecken“, freut sich der Handwerkschef.

Daten zweifach absichern

Genauso offen wie er digitalen Tools gegenübersteht, geht Christmann auch mit dem Thema IT-Sicherheit um. Das fängt damit an, dass er nicht – wie viele Kollegen seiner Zunft – darauf hofft, dass der Kelch an ihm vorübergehen möge. „Die Wahrscheinlichkeit, von einem Angriff getroffen zu werden, steigt stetig“, erklärt er. Im Kontext der Gefahr vor einem kostspieligen Hackerangriff stempelt ihn seine Vorsicht nicht zum Pessimisten, sondern vielmehr zum aufmerksamen Manager. Der Betriebsinhaber hat außerdem genau berechnet, wie viele Tage seine Baustellen noch weiterlaufen könnten, bis seine Existenz in Gefahr wäre. Auf Grundlage dieser Berechnungen hat er sich für den Schutz seiner Daten für ein Hybridmodell entschieden und speichert alle relevanten Informationen sowohl auf einem eigenen Server als auch in der Cloud von Amazon Web Services (AWS).

Im Alleingang hat Christmann die einzelnen Maßnahmen aber nicht umgesetzt. Sein IT-Dienstleister hatte ihn schon vor einigen Jahren auf die drohenden Schäden bei einem Cyber-Vorfall hingewiesen. Neben einem möglichen Lösegeld zählen dazu auch die Kosten für die Datenwiederherstellung sowie den Betriebsausfall. Ruckzuck kommt dabei ein vier- bis fünfstelliger Betrag zusammen. Christmann hat daher gemeinsam mit seinem Berater und der erst im März gestarteten Initiative Digital.Sicher.NRW seinen Betrieb sicherer aufgestellt.

Keine komplette Sicherheit

All seinen umsichtigen Vorsichtsmaßnahmen zum Trotz: Vor möglichen Attacken gefeit ist der Stuckateur dennoch nicht. Denn auch ein cloudbasierter Speicherdienst bedeutet nicht gleich hundertprozentige Sicherheit. Die Vorteile einer extern gehosteten Cloud im Vergleich zu einem Firmenserver liegen jedoch darin, dass die Daten in einem Rechenzentrum verwahrt sind. Zudem kümmert sich ein IT-Spezialist um wichtige Updates und überprüft regelmäßig auftretende Sicherheitslücken.

Auch Hackeropfer Fischer, der seine Daten bisher im eigenen Netzwerk verwaltet hat, erwägt derzeit den Umzug seiner Daten in die Cloud. In die engere Auswahl kommen für ihn dabei die Citrix Cloud für Computer und Simply Connect für die Telefonanlage. „Monatlich kostet mich das einen nicht unerheblichen Betrag“, sagt er. Doch das ist es ihm wert. Aus eigener Erfahrung weiß er, dass die Polizei nicht immer helfen kann – zumindest nicht so schnell, wie es im Fall von Datenverlust nötig wäre.

Am Ende zahlt er den Erpressern daher das Lösegeld: In den mehrtägigen Gesprächen hat er den Hacker auf einen Bitcoin heruntergehandelt, den er auf ein anonymes Bankkonto überweist. Im Austausch erhält er seine Daten wieder. „Ich habe noch großes Glück gehabt“, findet er. Die befreundeten Firmeninhaber, die ebenfalls beklaut wurden, haben zwar bezahlt, doch ihre Daten haben sie bis heute nicht.

Soforthilfe: Die wichtigsten Schritte im Notfall

Jeder kann von einer Hackerattacke betroffen sein. Daher tun Handwerksbetriebe gut daran, für den unerwünschten Notfall vorzusorgen. Das Wichtigste dabei ist es, auch die Mitarbeiter aufzuklären und zu sensibilisieren.

1. Ruhe bewahren. Klären Sie als Erstes, ob es sich um einen Cyber-Angriff oder einen technischen Defekt handelt. Liegt ersteres vor, entwerfen Sie sich einen genauen Plan und holen sich Unterstützung, bevor Sie dann gezielte Maßnahmen einleiten.
2. Verantwortlichen festlegen. Bestimmen Sie eine Person als Verantwortliche, bei der alle Schritte zusammenlaufen und die den Überblick behält.
3. Protokollieren. Dokumentieren Sie sowohl die einzelnen Vorkommnisse bei den betroffenen Systemen als auch bereits getroffene Maßnahmen. Das hilft Ihnen, den Überblick zu behalten, und ist eine wichtige Grundlage für Behörden und Dienstleister. Gehen Sie dabei nach der 4-W-Regel vor: was, wer, wann, warum.
4. Lagezentrum bilden. Informationen müssen an einem Ort zusammenlaufen, dem Lagezentrum, in dem eine kontinuierliche und ungestörte Kommunikation stattfinden kann.
5. Lagebild erstellen. Machen Sie sich ein Bild von der Gesamtlage, stoppen Sie Back-up-Prozesse oder setzen Sie diese aus. Auffälligkeiten sollten ebenfalls dokumentiert werden, machen Sie Snapshots von virtuellen Maschinen und Fotos von Bildschirmausgaben.
6. Behörden kontaktieren. Wenden Sie sich an Behörden. Diese verfügen über weitergehende technische und rechtliche Werkzeuge, insbesondere zur Strafverfolgung, Forensik und Aufklärung.
7. Professionelle Hilfe. Ziehen Sie ein Dienstleistungsunternehmen Ihres Vertrauens hinzu, das Ihnen bei allen Aufgaben zur Eindämmung und Beseitigung des Vorfalls helfen kann.
8. Kommunikation und Stellungnahmen. Sie sollten bei einem Sicherheitsvorfall genau abwägen, welche Informationen Interne und Externe erhalten müssen. Benachrichtigen Sie Ihre Mitarbeiter und bereiten Sie Stellungnahmen vor, die Kunden, Partner und Öffentlichkeit informieren und einen Ansprechpartner benennen.
9. Meldepflicht. Im Fall von relevanten Datenschutzverletzungen müssen Sie den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde melden. Melden Sie den Vorfall außerdem der Allianz für Cybersicherheit. Dort wird Ihr Vorfall anonymisiert erfasst, um andere Unternehmen rechtzeitig zu warnen.

Das Cyber-ABC:

Virtuell in Firmen einzubrechen und deren Daten zu stehlen, ist das Geschäftsmodell der Hacker. Höchste Zeit für Handwerkschefs, die Methoden kennenzulernen, um sich zu schützen.

• Darknet: Das „dunkle Netz“ ist der anonyme, versteckte Teil des Internets, der statt klassischer Webadressen eine Kombination aus Zahlen und Buchstaben beinhaltet. Das Darknet ist nur über eine spezielle Software, zum Beispiel Tor, zu erreichen.
  
• Phishing: Um sich Zugriff zu persönlichen Daten von Internetnutzern zu verschaffen, setzen Hacker oft gefälschte Websites, E-Mails oder Kurznachrichten ein. Ziel ist es häufig, in den Besitz von Konten der Nutzer zu kommen, ihre Identität zu stehlen oder auf einem IT-System Schadprogramme zu installieren.
  
• Ransomeware: Über die Erpressungssoftware schränken Cyber-Kriminelle den Zugriff auf betriebseigene Daten und Systeme ein – und fordern dann Lösegeld (englisch: ransom). Dafür schleusen sie durch eine Sicherheitslücke im IT-System ein Schadprogramm ein, das entweder den kompletten Zugriff auf Daten sperrt oder sie verschlüsselt.