Datenmengen beinhalten ein immenses Erpressungspotenzial. Cyberangriffe auf große Unternehmen oder auch Kleinstunternehmer gibt es jeden Tag – sei es auf den niedergelassenen Arzt oder den Steuerberater, der erpresst wird. Und das Dunkelfeld ist riesig.
Seit Februar 2019 ist die Cyberwehr Baden-Württemberg, ein Forschungsprojekt in Karlsruhe, im 24/7-Betrieb. Die Cyberwehr hilft vornehmlich kleinen und mittleren Unternehmen im IT-Security-Notfall. Wie das genau aussieht, erklärte das Team der Cyberwehr beim CyberSicherheitsForum am 7. Februar in Stuttgart: Im Interview geben Dr. Dirk Achenbach, Projektleiter der Cyberwehr, und Christoph Frohneberg, der als Projektmitarbeiter unter anderem die Cyberwehr-Hotline betreut, einen Einblick in ihre Arbeit, die Einsatzbereiche der Cyberwehr und welche Mehrwerte die Cyberwehr im Falle eines Angriffs auf die IT-Infrastruktur schaffen kann – auch für Experten.
Beim CyberSicherheitsForum zeigte sich Innenminister Thomas Strobl begeistert von dem bundesweit einzigartigen Projekt Cyberwehr. Herr Dr. Achenbach, wer kann die Cyberwehr momentan „beanspruchen“?
Dirk Achenbach: Aktuell ist die Cyberwehr als Pilotprojekt für Unternehmen in Karlsruhe verfügbar. Der schrittweise Rollout auf Baden-Württemberg ist aber bereits in Planung: Im Jahr 2020 sollte dieser erreicht sein. Wie genau sich diese Abdeckung dann ausgestalten wird, erarbeiten wir gerade.
Mögliche Szenarien von Cyberangriffen auf unsere kritischen Infrastrukturen zeigen: Hier gibt es Handlungsbedarf. Innenminister Thomas Strobl zeichnete ja regelrechte Krisenszenarien, wie flächendeckende Stromausfälle oder Operationen, die im Krankenhaus nicht durchgeführt werden können. Welche Fälle liegen Ihnen bisher vor?
Christoph Frohneberg: Die Cyberwehr verzeichnet einen besonders hohen Anteil an Ransomware-Angriffen. Die Schadprogramme verhindern den Zugriff auf Firmendaten durch kryptographische Verfahren und bringen so oft den gesamten Geschäftsbetrieb zum Erliegen. Für die Entschlüsselung der Daten fordern Erpresser dann hohe Lösegelder in Form von Bitcoins, sodass Opfer sowohl durch den Arbeitsausfall als auch die Lösegeldforderungen mehrfach finanziell geschädigt werden. Werden die Daten nicht freigegeben oder sind sie nicht zu entschlüsseln, kann dies die Existenz kleiner und mittelständischer Unternehmen bedrohen, wenn sie keine geschützten Datensicherungen besitzen. Auch Fälle des Trojaners „Emotet“, der sich aktuell über gefälschte E-Mails verbreitet, erreichten die Cyberwehr.
Was passiert, wenn ein Mitarbeiter aus einem betroffenen Unternehmen die Hotline anruft?
Christoph Frohneberg: In vielen Fällen kann bereits eine telefonische Ersthilfe den Schaden einschränken oder ausreichende Handlungsempfehlungen geben. Als erstes versuchen wir herauszufinden: Welche technische Kompetenz hat der Anrufer? Wir helfen dem Laien genauso wie dem erfahrenen Systemadministrator und passen unsere Vorgehensweise flexibel an die Anrufenden und ihren Unterstützungsbedarf an. Wir erfassen dann den Fall und sein Umfeld systematisch und geben den Hilfesuchenden Soforthilfemaßnahmen an die Hand. Hierzu zählen auch Hinweise zum Datenschutz und den Vorteilen einer möglichen Strafanzeige durch die Betroffenen beim Landeskriminalamt. Die Cyberwehr selbst behandelt alle Fälle streng vertraulich, die Geschäftsführung des betroffenen Unternehmens bleibt jederzeit Herrin des Verfahrens.
Im zweiten Schritt untersuchen wir den Vorfall am Telefon genauer. Wir analysieren den Ablauf des Angriffs und beginnen zusammen mit den Hilfesuchenden den Schaden zu begrenzen und Schwachstellen zu identifizieren. Zum Angebot der Cyberwehr gehört es, nach dem Abschluss der Vorfallsanalyse auf Wunsch einen Dienstleister zu vermitteln, der dann im Auftrag des hilfesuchenden Unternehmens agiert.
Kann ein Unternehmen sich diese Dienstleister nicht selbst suchen?
Dirk Achenbach: Doch, natürlich. Aber das ist oft sehr schwer. Die Unternehmen, die im Rahmen der Cyberwehr „ausgesandt“ werden, sind mit unseren Abläufen vertraut. Außerdem entwickeln wir für deren Experten eine Zertifizierung. So können wir sicherstellen, dass schnell und richtig geholfen wird. Wenn die Panik groß ist – und das ist oft der Fall, wenn die komplette IT streikt – und sie fangen an, in den Gelben Seiten zu blättern, dann ist das nicht die richtige Methode, zuverlässig und schnell einen passenden Spezialisten zu finden.
Wer ruft denn bei der Hotline so an? Ich gehe mal davon aus, dass die Anrufer sehr unterschiedliche Wissensstände haben. Ist das mit der standardisierten Fallaufnahme denn so einfach möglich?
Christoph Frohneberg: Wenn wir merken, dass wir einen erfahrenen Systemadministrator am anderen Ende der Leitung haben, sprechen wir anders, als wenn wir merken, da ist ein gelernter Schlosser dran, bei dem die IT angegriffen wurde. Beides kommt vor und für beide Unternehmen ist die Cyberwehr der richtige Ansprechpartner. Wir hatten einen Fall, da bestand die ganze Firma aus gelernten Informatikern. Dennoch konnten wir einen großen Mehrwert in Zusammenarbeit mit den Experten aus dem Unternehmen generieren.
Neben den reinen Fachkenntnissen kommt hier unsere Expertise in der Reaktion auf IT-Sicherheitsvorfälle ins Spiel: Wir setzen erprobte Prozesse ein. Außerdem ist unser Team des Kompetenzzentrums IT-Sicherheit am FZI Forschungszentrum Informatik in Karlsruhe immer über die neusten Angriffe und Sicherheitsprobleme informiert. Auch das verschafft uns einen Vorteil im Umgang mit den gemeldeten Vorfällen.
Die Cyberwehr richtet sich also explizit auch an Experten in IT-Abteilungen, die im Schadensfall an ihre Grenzen geraten. Jetzt mal ein bisschen tiefergehend gefragt: Ist es richtig, dass sich das Projekt auf die „incident response“, nicht auf die „incident prevention“ konzentriert? Und wenn ja, warum ist das so? Sollte man nicht besser vorbeugen, damit es gar nicht erst „brennt“?
Dirk Achenbach: Das ist richtig. Das Projekt widmet sich dem akuten Vorfall, dem sogenannten „incident“. Die Gefahr, dass ein Vorfall auftritt und Schaden verursacht, besteht immer. Der Auftrag an das Projekt Cyberwehr Baden-Württemberg ist, eine Reaktion auf einen solchen zu entwickeln und anzubieten. Aber klar, beim Stichwort Prävention, da machen viele Unternehmen einfach zu wenig. Je besser die Prävention, desto geringer fallen Schäden aus, und umso besser kann die Cyberwehr helfen.
Wie gestaltet sich die Abgrenzung zur beziehungsweise die Zusammenarbeit mit der Polizei?
Christoph Frohneberg: Das Landeskriminalamt ist da, um den oder die Täter zu identifizieren. Was man aber auch braucht, ist jemand, der dem Betroffenen hilft, den Geschäftsbetrieb aufrechtzuerhalten. Wir bieten erstmal eine vertrauensvolle Kontaktestelle aus der Privatwirtschaft.
Denn: Viele Firmen, die sich an uns wenden, zögern, die Polizei einzuschalten. Wir empfehlen oft, sich an die Zentrale Ansprechstelle Cybercrime des LKA zu wenden. In den meisten Fällen ist dies zwingend angeraten und sowohl für das betroffene Unternehmen als auch für die öffentliche Sicherheit positiv, wenn die Täter verfolgt werden und die Behörden ein möglichst umfassendes Lagebild bekommen. Wir arbeiten sehr gut mit der Abteilung Cybercrime zusammen, wahren aber die Vertraulichkeit, wenn die Hilfesuchenden sich nicht durch uns überzeugen lassen.
Die Cyberwehr
Die Cyberwehr ist unter der Hotline-Nummer 0800-CYBERWEHR (0800-292379347) durchgehend erreichbar. Auf den Weg gebracht wurde die Cyberwehr vom FZI Forschungszentrum Informatik, dem CyberForum e.V., der Secorvo Security Consulting GmbH sowie dem DIZ | Digitales Innovationszentrum. Die Cyberwehr wird gefördert durch das Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg als Teil der Digitalisierungsstrategie digital@bw.