Digitalisierung, Homeoffice und wachsende Vernetzung von Prozessketten haben auch Schattenseiten: Immer mehr Unternehmen werden Opfer von Cyber-Kriminalität – große, aber auch kleinere. Laut einer Bitkom-Studie hat sich der Schaden für die deutsche Wirtschaft 2020/21 auf über 220 Mrd. Euro verdoppelt. Meist geht es um Datendiebstahl und Erpressung durch Einbruch in die Infrastruktur. Worauf der Küchenhandel achten sollte, hat Christian Zülch von der Bochumer IT-Agentur Medienpark beantwortet.
der küchenprofi: Herr Zülch, aktuell kursieren erschreckende Zahlen über Cyber-Attacken und auch viel „Angstmache“. Wie groß ist die Gefahr, als Küchenhändler Opfer eines Angriffs zu werden?
Christian Zülch: Hier ist zuerst einmal zu definieren, was ein Cyberangriff eigentlich ist. Worüber man aktuell viel hört, sind Angriffe von Ransomware-Gruppen, die in Computersysteme eindringen, Dateien verschlüsseln und erst gegen Lösegeld wieder freigeben. Diesen Gruppen ist es grundsätzlich egal, in welcher Branche ein Unternehmen tätig ist oder welche Größe es hat. Entscheidend für sie ist, ob sich der Aufwand wirtschaftlich rechnet. Je größer ein Unternehmen ist, desto mehr Lösegeld kann erhoben werden.
Das Risiko, als Küchenhändler Opfer eines Ransomware-Angriffs zu werden, hängt in erster Linie davon ab, wie sicher die Systeme sind. Das heißt nicht, dass man hohe Summen investieren muss. Jedes Unternehmen sollte versuchen, ein Sicherheitsniveau zu erreichen, bei dem der Angriff für diese Gruppen uninteressant wird, weil der Aufwand, um in die Systeme einzudringen, einfach zu hoch ist, sodass sich die Angreifer dann eher anderen Unternehmen zuwenden.
der küchenprofi: Welche Beträge werden in der Regel eingefordert?
Christian Zülch: Das Eindringen in Systeme und das Erpressen von Geld ist für die Ransomware-Gruppen ein erfolgreiches Geschäftsmodell. Daher werden sie die Beträge in der Regel so kalkulieren, dass es für den „Kunden“ eine Option ist, einfach zu bezahlen. Nach Angaben einer aktuellen Sophos-Studie aus dem Jahr 2022 lagen die in Deutschland gezahlten Lösegeld-Summen zwischen 10.000 und mehr als 1.000.000 Euro. Im Durchschnitt sind es
ca. 900.000 Euro.
Aber auch für den Schutz gegen solche Risiken ist natürlich die Größe des eigenen Unternehmens mit den Ausgaben für die IT-Sicherheit ins Verhältnis zu setzen. Laut einer Bitkom-Studie haben immerhin 42 Prozent der Unternehmen gezahlt. Das hat vermutlich auch damit zu tun, dass viele mittlerweile gegen Ransomware-Angriffe versichert sind. Das lässt im übrigen wiederum die Lösegeldsummen steigen.
der küchenprofi: In der Regel sind in der Cyber-Kriminalität IT-Profis am Werk. Wie sieht das häufigste Vorgehen aus?
Christian Zülch: Neben der Informationsbeschaffung für das Angriffsziel und über die IT-Infrastruktur wird zunächst versucht, einen Zugriff auf das interne Netzwerk zu bekommen. Hier gibt es die klassischen Wege über Phishing via E-Mails oder neuerdings häufiger auch über Microsoft Teams oder Messenger wie Whatsapp. In der Nachricht befindet sich dann ein Anhang oder ein Link, über den die Schadsoftware auf dem Rechner installiert wird. Neben dem Phishing werden Sicherheitslücken ausgenutzt, wie zum Beispiel Log4Shell in Java. Haben die Angreifer erst einmal Zugriff auf das interne Netzwerk, wird versucht, diesen Zugriff auszubauen und das komplette Netzwerk zu übernehmen, um Daten zu stehlen, Backups zu vernichten und letztendlich die Rechner zu „verriegeln“.
der küchenprofi: Bevor der Virus greift, gibt es oft eine Inkubationszeit. Anhand welcher Indizien lässt sich erkennen, dass Fremde sich ins eigene IT-System eingeschleust haben?
Christian Zülch: Ohne ein gutes Überwachungssystem des Netzwerks und der Rechner ist es sehr schwer, solche Angriffe rechtzeitig zu entdecken. Wenn sich plötzlich Fehlermeldungen häufen und Mitarbeiter ein merkwürdiges Verhalten ihrer Rechner melden, sollte jeder hellhörig werden. Oft ist es dann allerdings schon zu spät.
der küchenprofi: Gibt es typische Sicherheitslücken oder Bereiche, die besonders anfällig für Cyber-Angriffe sind?
Christian Zülch: Die IT-Landschaften in Unternehmen sind meistens sehr homogen: Meist
sind es Windows Rechner und Server, gerne mit Microsoft Office ausgestattet und über Active Directory verwaltet. Das wissen auch die Angreifer und sind hierauf spezialisiert. Bekannte Sicherheitslücken in Windows müssen also so schnell wie möglich geschlossen werden.
der küchenprofi: Wie gut schützen handelsübliche Sicherheitssysteme wie Firewalls?
Christian Zülch: Eine gute Firewall ist sicherlich ein „Must Have“, bietet aber heute keinen ausreichenden Schutz mehr. Das liegt daran, dass die Kommunikation durch Besuch von Webseiten, E-Mails, Videokonferenzen oder Messenger zum normalen Arbeitsalltag gehört und sich nicht einfach mit einer Firewall filtern lässt.
der küchenprofi: Was tun, wenn „es“ passiert ist? Und wie hoch ist das Risiko, wenn man nicht reagiert? Oder dass man trotz Zahlung womöglich wieder attackiert wird?
Christian Zülch: Gut vorbereitet zu sein, hilft auf jeden Fall. Idealerweise hat man einen fertigen Notfallplan in der Schublade. Zunächst heißt es aber: keine Panik, sondern sich einen Überblick zu verschaffen. Welche Systeme sind betroffen? Gibt es Backups, sind diese aktuell und intakt? Dann sind andere ggf. beteiligte Personen zu informieren, IT-Abteilung, externer IT-Dienstleister, Datenschutzbeauftragter, Versicherung, Anwalt und Polizei. Weiterhin ist
zu planen, wie das weitere Vorgehen aussehen soll.
der küchenprofi: Wie schnell kann der Betrieb wieder aufgenommen werden und welche Schäden/Kosten entstehen? Ist die Zahlung eventuell eine Option?
Christian Zülch: Wenn man nicht reagiert, ist davon auszugehen, dass die Daten für die eigene Nutzung verschlüsselt bleiben und sogar im Internet veröffentlicht werden.
Sollte man eine Zahlung in Erwägung ziehen, gibt es zwar keine Garantie, aber zumindest eine gute Chance, seine Daten zurückzubekommen. Die meisten Ransomware-Gruppen haben durchaus ein Interesse daran, dass man seine Daten wieder herstellen kann und bieten häufig schon die kostenlose Entschlüsselung einzelner Dateien an – um zu beweisen, dass die Entschlüsselung möglich ist.
Fälle, in denen ein Unternehmen nach Zahlung des Lösegelds erneut Opfer der gleichen Ramsomware-Gruppe geworden ist, sind meines Wissens nicht bekannt. Das hat mehrere Gründe. Zum einen wird nach einem erfolgreichen Angriff meist in zusätzliche IT-Sicherheit investiert und zum anderen würden vermutlich weniger Unternehmen zahlen, wenn bekannt würde, dass direkt ein weiterer Angriff erfolgt.
der küchenprofi: Über Mailings bieten auch immer mehr Dienstleister ihre Hilfe an. Aber wem kann man hier wirklich trauen?
Christian Zülch: Ich würde hier im ersten Schritt mit der eigenen IT-Abteilung oder dem IT-Dienstleister sprechen. Sie kennen die Infrastruktur am besten und wissen gegebenenfalls auch, wo nachgebessert werden muss.
Heike Lorenz (aus: der küchenprofi 3/2022)
