Digitalisierung ist in der Wirtschaft längst kein Schlagwort mehr, sondern in sehr vielen Unternehmen Alltag. Zugleich steigt aber auch die Zahl von Cyberangriffen. Laut Digitalverband Bitkom entstand der hiesigen Industrie allein 2017 und 2018 durch Sabotage, Datendiebstahl und Spionage ein Gesamtschaden von 43,4 Milliarden Euro.

Vor allem mittelständische Firmen gelten als leichte Angriffsziele. Wir fragten nach bei Oliver Falkenthal. Der 46-Jährige leitet den Bereich IT-Sicherheit bei dem Berliner IT-Dienstleister CCVossel.

Herr Falkenthal, werden Sie auch von Firmen beauftragt, sich in deren IT-System zu hacken?

Ja, das gehört dazu, wenn Sicherheitslücken in Unternehmen aufgespürt werden sollen.

Wie hoch ist Ihre Erfolgsquote?

Ziemlich hoch. 70 bis 80 Prozent, würde ich sagen. Das heißt, wir finden eine offene Tür, die uns in das System hineinlässt. Damit haben wir noch nicht die Kronjuwelen, aber ist es dann nur noch eine Frage des Aufwands, um dort hinzukommen. Tatsächlich ist es bei einer großen Mehrheit vor allem kleinerer Firmen relativ leicht, in das IT-System einzudringen.

Worauf haben es Hacker vor allem abgesehen?

Es geht ihnen um den uneingeschränkten Zugriff auf das komplette IT-System einer Firma von der Gehaltsabrechnung bis zur Steuerung von Industrierobotern.

Und wie wird diese Herrschaft dann genutzt?

Oftmals wird das System blockiert, bis ein Lösegeld gezahlt wurde.

Wie oft kommt das in Berlin vor?

Schwer zu sagen. Die Dunkelziffer ist groß, weil kaum einer darüber redet. Ich schätze, hundert Mal im Monat bestimmt.

Cybersecurity-Experte Oliver Falkenthal über Hacker: Gebe gezielte Angriffe, um an Firmendaten zu kommen 

Haben die Hacker bestimmte Unternehmen im Visier?

Viele Hacker nehmen, was zu bekommen ist. Es kann jede noch so kleine Firma treffen, und die Hacker sind auch nur noch selten Einzeltäter in irgendeiner Dachkammer. Dabei stellt Erpressung ein extrem lukratives Geschäftsmodell dar, das mit vollautomatisierten Systemen und hochprofessionell betrieben wird. Es gibt sogar Hotlines, die Auskunft erteilen, wenn man nicht weiß, wie man mit einer Kryptowährung die Lösegeldsumme bezahlt. Da kann man dann quasi tatsächlich mit seinem Erpresser reden.

Um welche Summen geht es dabei?

Meist um 10.000 bis 50.000 Euro.

Und um die Daten geht es Hackern gar nicht?

Nicht, wenn Erpressung das Ziel ist. Andererseits gibt es gezielte Angriffe, um an Firmendaten zu kommen. Dahinter kann die Konkurrenz stecken. Anderen Hackern geht es nicht um ein konkretes Unternehmen. Sie versuchen fast wahllos, in Firmensysteme einzudringen. Gelingt ihnen das, saugen sie alle verfügbaren Daten ab und bieten diese im Darknet zum Verkauf an. Das können Kundendaten sein, Produktinformationen, Entwicklungsdaten, Lieferanteninformationen, Lieferkonditionen, Ausschreibungsangebote ...

Das heißt aber auch, dass Unternehmen im Darknet nach interessanten Daten suchen.

Das ist so. Es ist offenbar verlockend, etwa die Einkaufspreise eines Konkurrenten zu erfahren.

Analysen zufolge gelangen Hacker zumeist mit fingierten E-Mails in ein System. Funktionieren dabei die Mail mit angehängten Katzenvideos noch immer?

Bei Angriffen auf Firmen werden dafür meist per Mail eingesandte Bewerbungen mit Anhängen genutzt. Insbesondere Word-Dateien, die auf „doc“ statt auf „docx“ enden, sind potenziell gefährlich. Klugerweise gehen die Bewerbungen gar nicht an die Personalabteilung, sondern an Mitarbeiter, und man hofft, eine Neugier auf den vermeintlich neuen Kollegen wecken zu können. Wird der Anhang geöffnet, geht mit ihm das Firmentor weit auf.

Oliver Falkenthal über Cybersicherheit: „Das größte Sicherheitsrisiko stellt der Mensch dar“

Was passiert dabei genau?

In den meisten Fällen wird eine Software installiert, die jeden Tastendruck am PC eins zu eins an den Hacker schickt. Wenn sich der Mitarbeiter dann innerhalb des Unternehmens in andere Systeme einloggt, kann das folglich auch der Hacker. So kann selbst ein Sachbearbeiter den Hacker zu den Kronjuwelen führen. Sehr gern werden dafür auch USB-Sticks genutzt, die mit der Anschrift „Sommerurlaub mit Katrin“ oder „Lohn- und Gehaltsdaten 2018“ von einer Drohne auf dem Firmenparkplatz oder vor der Betriebskantine abgeworfen werden. Da reicht es dann schon, den Stick in den Rechner zu stecken.

Computer lassen sich für USB-Sticks sperren.

Nicht, wenn sich der Stick als Tastatur tarnt. Solche Sticks gibt es im Netz für 50 US-Dollar. Externe Datenträger sollten in Firmen überhaupt nicht verwendet werden.

Was können die Firmen sonst noch tun?

Das größte Sicherheitsrisiko stellt der Mensch dar. Daher müssen Firmen ihre Mitarbeiter für das Thema sensibilisieren. Cybersicherheit ist ein endloser Wettlauf mit den Hackern. Deshalb sollte es in jedem Unternehmen einen geben, der sich dafür verantwortlich fühlt, der die Mitarbeiter auf dem aktuellsten Stand hält und auch Ansprechpartner ist. Wenn jemand doch eine infizierte Mail geöffnet hat, muss er das sagen können, ohne Angst, dafür bestraft zu werden. Weitere wichtige Maßnahmen können die Sperrung des Rechners beim Verlassen des Arbeitsplatzes oder die Aufsicht von unternehmensfremden Personen sein.

Ist der Handwerker oder Fensterputzer wirklich eine Gefahr?

Er kann es sein. Wir brauchen nur vier Minuten ohne Beobachtung, um jeden Windows-PC zu kapern und danach von außen alles mit dem Rechner machen zu können. Dagegen hilft nur eine Verschlüsselung der Festplatte. Das sollte man einfach wissen.