intersoft consulting services AG
Montagmorgen, 8:00 Uhr. Die Mitarbeitenden können sich nicht einloggen. Die Produktionsbänder stehen still, und auf den Bildschirmen prangen digitale Erpresserschreiben. Der Albtraum eines jeden CIOs ist wahr geworden: Ein Ransomware-Angriff hat den Betrieb lahmgelegt. Jetzt endet der Regelbetrieb, und der Ausnahmezustand beginnt.
Für Joanna Lang-Recht, Director IT Forensics und Prokuristin bei der intersoft consulting services AG in Hamburg, ist dies der Alltag. Sie leitet eine hochspezialisierte Eingreiftruppe, die den Tathergang rekonstruiert und den Schaden eindämmt, während die anderen tief im Chaos versinken.
„Man kann sich das tatsächlich ähnlich vorstellen wie in der kriminalistischen Forensik“, erklärt Lang-Recht. Doch die Realität habe dann doch wenig mit grellen Taschenlampen in dunklen Räumen zu tun, auch wenn die Parallelen in der Vorgehensweise zu erkennen seien. „Wir sammeln keine Schmauchspuren oder Fußabdrücke, wie konzentrieren uns auf Spuren im digitalen Raum“, so die Forensikerin.
Wenn Cyberkriminelle zuschlagen, hinterlassen sie trotz aller Verschleierungstaktiken digitale Fragmente. Das können Logfiles sein, veränderte Zeitstempel oder Fragmente im Arbeitsspeicher. All das sind Puzzleteile, aus denen Lang-Recht und ihr Team das Bild des Angriffs zusammensetzen. Ihr Motto: Rekonstruieren statt Spekulieren. Doch bevor die detektivische Arbeit beginnen kann, müssen Unternehmen erst einmal aus der Schockstarre herausfinden.
Zwischen Panik und Paralyse
Ransomware-Angriffe folgen meist einem perfiden Timing. Beispielsweise wissen die Täter genau, wann IT-Abteilungen besonders verwundbar sind. „Häufig finden solche Angriffe über das Wochenende oder an Feiertagen statt“, berichtet die Expertin aus Hamburg in dem Podcast TechTalk Smart Leadership von COMPUTERWOCHE und CIO-Magazin. Die „Encryption-Phase“, in der die Daten des Opfers verschlüsselt werden, laufe dann von Freitag- bis Sonntagabend durch. Wenn die Belegschaft am Montag ins Büro kommt, sei das Unheil bereits geschehen.
Die erste Reaktion in den betroffenen Unternehmen beschreibt Lang-Recht als einen Zustand absoluter Panik. „Wir reden hier von einem wirklichen Ausnahmezustand“, betont sie. Keine E-Mails, kein Zugriff auf Kundendaten, keine Produktion. In diesem ersten „Stadium der Akzeptanz“, wie Lang-Recht es nennt, würden oft die größten Fehler gemacht, die eine spätere Aufklärung massiv erschweren könnten.
Der menschliche Impuls sei verständlich: Man möchte retten, was zu retten ist. Doch die Forensikerin warnt eindringlich vor Aktionismus. „Wir sehen häufig, dass IT-Teams gleich versuchen, zu bereinigen oder Backups einzuspielen, bevor sie überhaupt wissen, was passiert ist.“
Warum der Stecker nicht gezogen werden darf
Lang-Recht empfiehlt, die Systeme vom Internet zu trennen, aber nicht auszuschalten. Das Herunterfahren eines Servers könne einen „forensischen Suizid“ bedeuten. „Das vernichtet wertvolle Hinweise“, erklärt sie. Viele Angreifer hinterlassen demnach Spuren im RAM-Speicher. Wird der Strom gekappt, sind diese Informationen unwiederbringlich verloren. Die Daten sind aber essenziell, um zu verstehen, wie die Hacker sich im Netzwerk bewegt haben (Lateral Movement) und ob sie noch aktiv sind.
Die korrekte Vorgehensweise, so die Expertin, sei die Isolierung. „Die Verbindungen zu Dienstleistern, Kunden und Lieferanten sollten gekappt werden, um die Supply Chain nicht zu gefährden.“ Erst wenn die Infrastruktur in sich gesichert sei, beginne die eigentliche Arbeit der Forensik. Und diese erfordere oft das Auffahren schwerer Geschütze.
Die Dimension von Cyberangriffe sprenge nämlich nicht selten die verfügbaren Speicherkapazitäten vor Ort. Um forensische Images – exakte 1:1-Kopien der Datenträger – zu erstellen, müssen laut Lang-Recht riesige Datenmengen gesichert und analysiert werden. Sind aber hunderte Server und tausende Clients zu untersuchen, werden die Verantwortlichen an physikalische Grenzen stoßen.
Wer steckt hinter den Angriffen?
Das Bild vom einsamen Hacker im Hoodie, der zwischen Pizzaschachteln im Keller hockt, ist laut Joanna Lang-Recht unrealistisch. „Wir haben es mit hochprofessionellen Tätergruppen zu tun“, stellt sie klar. Die Cyberkriminalität hat sich industrialisiert. Das Geschäftsmodell „Ransomware-as-a-Service“ (RaaS) dominiert den Markt.
Die Gruppierungen seien wie mittelständische Betriebe aufgestellt. Sie verfügten oft sogar über Personalabteilungen, die Entwickler anwerben, und über Marketingabteilungen, die den Brand der Hackergruppe pflegten. Nicht selten hätten sie sogar einen mehrsprachigen Kundensupport installiert.
„Wenn man in die Verhandlung geht, hat man es tatsächlich teilweise mit einem First-Level- und einem Second-Level-Support zu tun“, sagt Lang-Recht. Es gebe Preislisten, Rabattaktionen und Ticket-Systeme.
Diese Professionalisierung mache die Angriffe effizient und besonders gefährlich, biete aber auch Ansatzpunkte für Verhandlungen. Für die Angreifer gehe es um ein Geschäft und nicht etwa um eine persönliche Vendetta. Das einzige Ziel ist der Profit. Doch genau hier entsteht oft ein moralisches Dilemma für die betroffenen Unternehmen: Zahlen oder nicht zahlen?
Das Dilemma der Lösegeldzahlung
Während Behörden wie das BSI empfehlen, grundsätzlich nicht zu zahlen, ist die Realität in den Vorstandsetagen eine andere: Wenn die Existenz des Unternehmens auf dem Spiel steht, wird die Moral zur Nebensache. „Es ist am Ende eine rein wirtschaftliche Entscheidung“, sagt sie nüchtern.
Geschäftsführern rät sie dringend davon ab, selbst in den Chat mit den Erpressern zu gehen. Hier seien Emotionen absolut fehl am Platz. Besser sei es, auf spezialisierte Unterhändler zu setzen. Ziel müsse sein, zunächst Zeit zu gewinnen, die Forderung zu drücken und herauszufinden, ob die Täter überhaupt in der Lage sind, die Daten wiederherzustellen.
Besonders ärgerlich aus Sicht des angegriffenen Unternehmens ist die sogenannte Double Extortion. Dabei verschlüsseln die Täter nicht nur die Daten, sondern sie drohen auch mit deren Veröffentlichung. Wenn sich also das Opfer weigert zu zahlen, erhöhen die Kriminellen den Druck und kündigen die Veröffentlichung sensibler Kundendaten oder Konstruktionspläne an.
Die Hausaufgaben für den C-Level
„Die Haupteinfallstore sind schwache Passwörter, die per Brute-Force geknackt werden, ungesicherte Fernwartungszugänge (VPN/RDP) und klassisches Phishing“, resümiert Lang-Recht. Versäumnisse in der „IT-Hygiene“ öffneten den Tätern Tür und Tor. Dazu zählen insbesondere veraltete Systeme, unzureichendes Patch-Management und eine fehlende Netzwerksegmentierung.
Wenn ein Angreifer einmal im Netz ist, sollte er sich nicht ungehindert bewegen können. In vielen Unternehmen seien die Netzwerke aber „flach“, so die Forensikerin, wer drin sei, komme überall hin. „Wenn ein Angreifer in einen Teilbereich eindringt, darf er nicht die gesamte Infrastruktur verschlüsseln können“, fordert Lang-Recht. Die Segmentierung des Netzwerks sei die wirksamste Maßnahme, um den Schaden zu begrenzen.
Der Faktor Mensch und Organisation
Technik ist aber nur die eine Seite der Medaille. Die Expertin betont, wie wichtig es sei, auf den Notfall vorbereitet zu sein. Ein Unternehmen muss wissen, an wen es sich im Notfall wendet. Verträge, die garantieren, dass bei einem Angriff ein Expertenteam bereitstehen, sind für sie unverzichtbar.
Zudem müssten Verantwortlichkeiten klar geregelt sein. In der Krise sei keine Zeit für Kompetenzgerangel. Wer entscheidet, ob der Internet-Zugang gekappt wird? Wer kommuniziert mit Kunden, Lieferanten und gegebenenfalls der Presse? Wer informiert den Datenschutzbeauftragten? „Es gibt in der Regel immer eine Person, die kommunikativ die Führung übernimmt“, beobachtet Lang-Recht. Diese Rolle müsse nicht nur definiert, sondern auch trainiert sein – durch Krisenstabsübungen und Notfallsimulationen.
Ein Wettrüsten mit KI
Der Blick in die Glaskugel zeigt keine Entspannung. Das Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern geht nicht nur weiter, es wird durch den Einsatz von künstlicher Intelligenz auf ein höheres Niveau gehoben. Angreifer nutzen KI, um bessere Phishing-Mails zu schreiben und um Schwachstellen schneller zu finden. Verteidiger nutzen sie, um Anomalien im Netzwerkverkehr in Echtzeit zu erkennen.
Lang-Recht bleibt trotz der bedrohlichen Lage Optimistin. Hundertprozentige Sicherheit gibt es nicht, aber man könne es den Angreifern schwer machen. Sie empfiehlt: Investieren Sie in saubere Backups (offline!), Netzwerksegmentierung und Mitarbeiterschulung, und haben Sie einen Plan für den Tag X. (mb)