Rund fünf Wochen nach dem Einmarsch Russlands in die Ukraine ist die Gefahr von Cyberangriffen in Deutschland außerordentlich hoch. Das Bundesamt für Verfassungsschutz geht davon aus, dass Computerkriminelle im Auftrag des russischen Militärgeheimdienstes handeln, um Informationen im Sinne des Regimes von Wladimir Putin zu beeinflussen und um Druck auszuüben.
Besonders im Visier der Hacker sind offenbar IT-Systeme von Unternehmen. Und das auch in Mainfranken, sagt Sicherheitsexperte Sebastian Scheuring. Der 45-Jährige ist Vorstandsvorsitzender der Würzburger Bitbone AG mit 20 Beschäftigten und stellt seit einigen Tagen einen Anstieg russischer Attacken fest.
Scheuring ist sich sicher: Solche Cyberangriffe können alle Computernutzer und Firmen treffen. Ausreichender Schutz sei deshalb wichtiger denn je.
Frage: Wegen des Ukraine-Kriegs nehmen Cyberattacken aus Russland offenbar stark zu. Wie ist die Situation?
Sebastian Scheuring: Nicht nur in Mainfranken ist das so, auch bundesweit. Wir fragen unsere Kunden zurzeit, ob sie vermehrt Angriffe merken. Die Aussage: ja.
Sind es immer nur russische Hacker, die angreifen?
Scheuring: Nicht nur. Es sind häufig die drei üblichen Verdächtigen: Hacker aus Russland, China und Nordkorea. Ja, aus Russland kommen im Moment vermehrt Angriffe. Ich habe mal einen Honeypot betrieben, der vor kurzem den Geist aufgegeben hat, weil er der Last nicht mehr gewachsen war.
Was ist ein Honeypot?
Scheuring: Das ist wie ein Honigtopf für Bären, die hingehen und naschen. Es geht um eine Software, die Hacker verleitet, anzugreifen. Und darum, Angriffe aufzuzeichnen. Das mit dem Honeypot war in den vergangenen zwei Jahren sehr spannend, weil sich die Bedrohungslage drastisch verschlimmert hat. Es gab stellenweise 30.000 Angriffe innerhalb von 24 Stunden. Das Niveau an Angriffen ist danach nicht mehr runtergegangen. Die nächste Stufe kam jetzt mit der Ukraine-Krise.
"Es ist nicht mehr die Frage ob, sondern wann."
IT-Experte Sebastian Scheuring über die Trefferquote von Cyberattacken
An was erkennt man derzeit die Angriffe aus Russland?
Scheuring: Es ist immer schwierig zu erkennen, woher sie kommen. Denn die Hacker gehen ja oft über mehrere Instanzen. Man versucht dann eher, die Hackergruppen zu identifizieren, die dahinterstecken. Oder, ob es sogar Geheimdienste sind. Wir identifizieren drei Gruppen von Angreifern gegen Unternehmen: Da sind zunächst die Scriptkiddies, die sich mal profilieren wollen. Nach dem Motto: Ich bin bei XY eingestiegen, habe was erreicht – und um sich dann bei IT-Security-Anbietern zu bewerben. Außerdem sind da die Geheimdienste dieser Welt. Und schließlich die monetär veranlagten Cyberkriminellen, die über Ransomware-Attacken versuchen, Geld zu verdienen. Wegen der Ukraine-Krise sind vermehrt Hackergruppen unterwegs, die der russischen Regierung nahe sind.
Haben diese Gruppen aktuell auch schon mainfränkische Unternehmen gehackt?
Scheuring: Mir ist derzeit kein Fall bekannt.
Sind hierzulande auch ukrainische Hacker aktiver geworden?
Scheuring: Auch da ist mir kein Fall bekannt. Ich würde denen auch raten, sich Richtung Russland zu orientieren. Mir ist auch keine rein ukrainische Gruppe bekannt. Hackern sind Ländergrenzen egal. Viele Gruppen sind länderübergreifend.
Welche Unternehmen sind derzeit am meisten in Gefahr? Mainfrankens Wirtschaft ist vom Mittelstand geprägt. Also von kleinen und mittelgroßen Betrieben, in den IT-Sicherheit nicht immer an erster Stelle steht.
Scheuring: In Gefahr sind immer alle. Mit Blick auf einen erfolgreichen Cyberangriff gilt: Es ist nicht mehr die Frage ob, sondern wann. Ich mache keinen Unterschied mehr zwischen großen und kleinen Unternehmen. Alle sind ein Angriffsziel.
In welchem Maße ist daheim der private PC in Gefahr?
Scheuring: Durch das ganze Homeoffice ist das in der Tat ein Thema. Die Hacker suchen sich mittlerweile auch andere Wege ins Unternehmen: entweder über den Homeoffice-Arbeitsplatz oder über Dienstleister. Es wurden schon große Anbieter für IT-Sicherheit gehackt, um an deren Kunden zu kommen. Die IT ist ungeheuer komplex geworden: Vor etwa 20 Jahren gab es in einem Unternehmen nur eine IP-Adresse. Die war dann das Angriffsziel der Wahl. Heute sind auch all die Cloud-Services, Homeoffice und mobile Endgeräte Einfallstore.
Die Hacker-Bewegung Anonymous hat Russland wegen der Invasion in der Ukraine den Krieg erklärt. Wie gefährlich ist das?
Scheuring: Russland wird versuchen, die Quellen von Anonymous anzugreifen. Ich finde es kritisch, was Anonymus treibt, weil es unabgesprochen ist und kein regularisches Umfeld hat. Die Resonanz darauf ist nicht abzuschätzen. Wir wissen nicht, was da jetzt zurückkommt. Prinzipiell finde ich es gut, dass sich Anonymous einsetzt. Zum Beispiel dafür, dass in der Ukraine der Internetzugang bleibt. So etwas finde ich in Ordnung.
Welche Tipps haben Sie für Unternehmen, was die aktuelle Welle von Hackerangriffen angeht?
Scheuring: Zum einen, den Stand jeglicher Software aktuell zu halten – und das so schnell wie möglich. Denn die Software bietet immer Angriffsmöglichkeiten. Ein Hacker sucht sich genau diese Lücken, um reinzukommen. Phishing-Mails sind ein weiterer Aspekt: Also, die Anwender zu sensibilisieren, dass sie nicht auf Mails klicken, auf die sie lieber nicht hätten klicken sollen. Dazu gehören auch ein aktueller Virenscanner und eine funktionierende Firewall.
Nochmal zum Homeoffice, wo Beschäftigte auch mal den privaten PC für die Arbeit nutzen. Welche Handhabe hat hier ein Unternehmen, Einfallstore für Cyberangriffe zu schließen?
Scheuring: VPN ist aus meiner Sicht Pflicht. Da gibt es gute Lösungen, die man für Homeoffice implementieren kann und wo der Browser zum Betriebssystem mutiert. Es gibt Anbieter, die für die Arbeitsplätze zuhause kostenlose Varianten im Rahmen der Lizenz bieten, die das Unternehmen gekauft hat. Was die IT-Sicherheit angeht, gilt: Mehr tun, kann man immer. Die Frage ist dann: Wie passen Preis und Leistung zusammen? Der monetäre Ansatz ist sehr oft gefragt. Da scheitern wir häufig bei den Entscheidern. Nach dem Motto: Bislang ist ja nichts passiert. Doch die Situation hat sich in den letzten Jahren drastisch verändert, so dass man den einen oder anderen Euro mehr in die IT-Sicherheit investieren müsste.
Cybercrime: Wichtige BegriffeCybercrime: Englischer Begriff für Computerkriminalität. Ihre vielfältigen Formen sind dem Bundeskriminalamt zufolge für Kriminelle "ein professionelles Geschäft" und eine außerordentlich schnell wachsende Variante des Verbrechens. Der volkswirtschaftliche Schaden durch Datendiebstahl, Sabotage und Industriespionage belief sich 2020 auf 224 Milliarden Euro, wie das Institut der deutschen Wirtschaft unter Berufung auf den Digitalfachverband Bitkom mitteilte.Ransomware: Neben fingierten E-Mails ("Phishing") zum Ausspähen etwa von Passwörtern ist diese Cybercrime-Variante derzeit die schlagzeilenträchtigste. Dabei legen Kriminelle zum Beispiel das IT-System einer Firma lahm, verlangen für die Freigabe Lösegeld und drohen mit der Preisgabe sensibler Daten. Bekannte Ransomware-Fälle der jüngsten Vergangenheit in Mainfranken sind die Fränkischen Rohrwerke in Königsberg (Lkr. Haßberge), der Autohändler Emil Frey und der Lebensmittelhändler Tegut gewesen.VPN steht für "Virtual Private Network" und ist gerade für mobiles Arbeiten ("Homeoffice") wichtig. Wie durch einen geheimen Tunnel werden die Computer außerhalb des Unternehmens mit dessen IT-System, also dem sensiblen Herzstück, verbunden. Dieser "Tunnel" soll vor Angriffen von außen schützen. Wer per VPN verbunden ist, hat in der Regel vollen Zugriff auf das Netzwerk des Unternehmens und arbeitet so, als würde er an seinem Computerarbeitsplatz in der Firma sitzen.aug