27.06.2021 - 18:03 Uhr
Weiden in der OberpfalzOberpfalz

Unternehmer über Cyber-Angriff: „Haben den Notbetrieb aufgebaut“

Nach Cyber-Angriffen auf mehrere Unternehmen in Weiden und dem Landkreis Neustadt/WN können diese nicht mehr auf kritische Daten zugreifen. Hacker fordern hohe Lösegelder. Zwei Firmenleiter berichten, welche Folgen die Angriffe haben.

Eine Cyber-Attacke auf ein Unternehmen kann von heute auf morgen existenzgefährdend sein. Die Hacker fordern nicht selten sechs- bis siebenstellige Summen für die Freigabe der verschlüsselten Firmendaten.
von Sonja Kaute Kontakt Profil

„Jeder muss sich fragen: Was wäre, wenn mein Firmensystem morgen verschlüsselt ist? Wie bin ich geschützt? Wie kann ich Sicherheitslücken schnell schließen?“ Diesen dringenden Appell richtet ein Weidener Unternehmer an andere Firmenchefs. Sein Betrieb ist vergangene Woche trotz Firewall, aktueller Viren-Software und externem IT-Dienstleister von Hackern angegriffen worden – so wie etliche weitere. „Es ist ein Desaster.“ Die Unternehmensleitung berichtet im Gespräch mit Oberpfalz-Medien über die Folgen des Hacker-Angriffs. Weil die Ermittlungen noch laufen und nicht klar sei, ob Kunden die Firma in Regress nehmen werden, möchte der Unternehmer anonym bleiben. Dem Vernehmen nach hat es fast zeitgleich mindestens 15 bis 20 weitere Firmen in Weiden und dem Landkreis getroffen, vom freiberuflich arbeitenden Büro bis hin zu international tätigen Unternehmen.

Thomas Goger, Pressesprecher der Generalstaatsanwaltschaft Bamberg, weiß, wie viele aktuelle Fälle von Cyber-Kriminalität im Bereich Weiden derzeit untersucht werden. Die Zentralstelle Cybercrime Bayern ermittle gemeinsam mit der Weidener Kriminalpolizei in elf Fällen, in denen die Geschädigten Opfer eines Verschlüsselungstrojaners geworden seien. Es sei „mit hoher Wahrscheinlichkeit davon auszugehen, dass die Schadsoftware von einem betroffenen Betrieb auf zehn weitere von dort aus erreichbare Geschädigte übergriff“. Details könne er wegen laufender Ermittlungen nicht preisgeben. Möglich, dass es zudem eine Dunkelziffer mit weiteren Fällen gibt.

Firma im Notbetrieb

In der Firma des Weideners, der seine Kollegen warnen möchte, läuft seit dem Angriff nichts mehr wie zuvor. „Wir haben letzte Woche den Notbetrieb der Firma aufgebaut, und damit fahren wir jetzt weiter. Corona war für uns existenzbedrohender, aber das ist jetzt ein Schlag, den es nicht gebraucht hätte. Wir haben uns seit dem Angriff um nichts anderes mehr gekümmert und alle nicht mehr gut geschlafen.“ Er schildert, wie die Attacke aufgefallen ist: „Unsere Konstrukteure wollten am Montag Dateien öffnen und bemerkten, dass die Datei-Endungen verändert waren.“ Offenbar sei die Schadsoftware unbemerkt auf dem Server platziert und über eine Zeitsteuerung am Sonntagabend aktiviert worden. Die Dateien waren nicht mehr zu öffnen. Bei der Verschlüsselungs-Software handle es sich um den sogenannten Ryuk-Trojaner.

Cyber-Angriffe wie dieser können von heute auf morgen existenzbedrohend und obendrein rufschädigend sein. Die Hacker nutzen Sicherheitslücken, um unternehmenskritische Daten und Dateien zu verschlüsseln. Erst im Mai hatte ein Nordoberpfälzer Unternehmer Angreifern für die Freigabe von Firmendaten Lösegeld gezahlt. Fast eine Viertelmillion Euro soll es gewesen sein. Das Lösegeld nicht zu zahlen, hätte die Firma mehr gekostet.

Das Arbeitsverzeichnis, mit dem die Mitarbeiter täglich arbeiteten, sei versperrt. „Wir stehen gegenüber den Kunden doof da.“ Vor allem Bestandsdaten seien verloren, sofern die Kunden nicht selbst eine Kopie davon hätten. „Wir haben nur Glück, dass wir immer wieder neue Sachen produzieren. Neuaufträge können wir abarbeiten“, so der Unternehmensleiter. Die Untersuchung, ob ans Netzwerk angeschlossene Endgeräte verschlüsselt wurden, sei noch nicht abgeschlossen. Backup-Daten seien allerdings verloren, die Datensicherung hinfällig. Er rechne im Moment nicht damit, die Daten zurückzubekommen. Der wirtschaftliche Schaden sei noch nicht zu beziffern.

Der Firmenleiter glaubt nicht, dass es sich bei dem Cyber-Angriff um eine gezielte Attacke auf sein Unternehmen handelt. Vermutlich sei es ein „Zufallsopfer“. Wie der Trojaner in das Netzwerk gelangte? Unklar. Eine Möglichkeit sei ein schädlicher E-Mail-Anhang. Er habe von gefälschten Initiativ-Bewerbungen mit Anhang gehört, und seine Firma habe auch solche bekommen. „Aber unsere Mitarbeiter sind sehr sensibel und öffnen eigentlich keine Anhänge.“ Möglich sei aber auch, dass der Trojaner sich zum Beispiel über die Fernwartung einschlich. IT-Dienstleister hätten seiner Ansicht nach wegen der Häufung derartiger Angriffe gezielt ihre Kunden aufklären müssen.

Sechs- bis siebenstelliges Lösegeld

Laut Goger von der Staatsanwaltschaft nutzen Hacker zum Beispiel Websites oder Stellenausschreibungen, um an Firmenadressen zu kommen. „Zum Teil werden Datensätze mit E-Mail-Adressen gehandelt. Gelegentlich werden auch Mail-Server oder Computer von jemandem, der mit dem Unternehmen in Verbindung steht, infiltriert.“ Täter könnten sogar versuchen, sich direkt in eine laufende Kommunikation einzuklinken.

„Wir sind nicht bereit und können es uns nicht leisten, Lösegeld zu bezahlen“, sagt der Unternehmer. Er wisse nicht, wie hoch die Forderung sei: „Es gibt eine E-Mail mit Link ins Darknet. Die Kontaktaufnahme müsste von unserer Seite erfolgen. Die Hacker wollen in der Regel eine Cyber-Währung wie Bitcoins. Das ist dann eine richtige Pokerei.“ Wenn zehn- bis zwanzigtausend Euro im Raum stünden, sei es eine Überlegung wert, zu zahlen. „Aber nicht bei 100 000 Euro.“ Das geforderte Lösegeld variiert, ist aber immer immens, wie Goger weiß: „Hierbei spielt insbesondere eine Rolle, für wie groß oder finanzstark die Täter die Firma einschätzen. Sechs- oder siebenstellige Summen, deren Bezahlung üblicherweise in Kryptowährungen gefordert wird, sind mittlerweile die Regel.“

Der Weidener Unternehmer schaltete die Polizei ein. Die habe allerdings wenig Hoffnung gemacht, weil die Täter kaum aufzuspüren seien. Absolute Sicherheit vor Cyber-Kriminalität scheint es für niemanden zu geben.

Auch Technik-Unternehmen Opfer

„Die gehen vor wie ein Einbrecher, der keine Spuren hinterlässt“, sagt die Führungskraft eines techniknahen Unternehmens in der Nordoberpfalz,. „Wir sind mehr als gut abgesichert, aber auch wir sind verschlüsselt worden.“ Ermittlungen liefen, ein Forensiker analysiere kostspielig, wie die Hacker Zugang zum System erlangten – Erfolg ungewiss. „Wir haben uns nicht erpressen lassen, weil wir ein mehrstufiges Backup haben und wieder arbeiten können.“ Unternehmern sei oft nicht klar, wie wichtig Backup-Lösungen seien, auch im Falle eines Feuers oder Diebstahls. „Backups sollten bei der IT-Infrastruktur an erster Stelle stehen.“ Nachlässig seien viele auch bei Updates. Solche Prozesse sollten automatisiert und laufend überprüft werden. „Im Schnitt sind fünf Prozent der Unternehmensdaten unternehmenskritisch. Wenn die Firmenhistorie und Kundendaten verschlüsselt werden, ist das Unternehmen handlungsunfähig.“

Mai 2021: Weidener Unternehmen zahlt nach Cyber-Attacke Lösegeld an Hacker

Weiden in der Oberpfalz

Wie man es Hackern so schwer wie möglich macht

Oberpfalz

Juli 2020: Cyber-Angriff auf Großunternehmen in der Nordoberpfalz

Neustadt an der Waldnaab
Hintergrund:

Die jüngsten Cyber-Attacken auf Unternehmen in Weiden und dem Landkreis Neustadt

  • Masche: Beim Erpressungstrojaner Ryuk handelt es sich um sogenannte Ransomware (Ransom = Lösegeld). Die Schadsoftware verschlüsselt Daten und Dateien. Eigentümer können nicht mehr darauf zugreifen.
  • Ziel: Täter verlangen für Freigabe der verschlüsselten Daten Lösegeld, andernfalls würden die Daten gelöscht. Ob / wann die Daten allerdings nach Zahlung alle entschlüsselt werden und die Forderungen enden, ist nicht sicher.
  • Zugang: Viele Tätergruppen und Angriffswege, darunter schädliche E-Mail-Anhänge oder Links, Angriffe auf externe Netzwerkverbindungen (etwa VPN-Verbindungen oder Angriffe über den Remote-Desktop-Port), Ausnutzung von Softwareschwachstellen. Ryuk kann sich selbstständig innerhalb eines Wlan-Netzwerks verbreiten.
  • Schaden: Der wirtschaftliche Schaden kann pro Attacke in die Millionen gehen und existenzgefährdend sein.
  • Hilfe: Örtliche Kriminalpolizei oder Zentrale Ansprechstelle Cybercrime (ZAC) des Bayerischen Landeskriminalamts: https://www.polizei.bayern.de/kriminalitaet/internet/index.html/294473.
  • Aufklärungsquote: Ermittlungserfolge sind selten, da die Täter international und arbeitsteilig agieren und kaum auswertbare Spuren hinterlassen.

Quellen: Zentralstelle Cybercrime Bayern / Generalstaatsanwaltschaft Bamberg; Polizeiliche Kriminalprävention

 

 

Kommentare

Um Kommentare verfassen zu können, müssen Sie sich anmelden.

Bitte beachten Sie unsere Nutzungsregeln.