Mehrere Hundert betroffene Unternehmen in Deutschland und eine schwedische Supermarktkette, die 800 Filialen schließen musste. In Summe, so lautete der Tenor der letzten Tage, könnten weltweit gar Tausende Firmen von den Folgen des jüngst bekannt gewordenen Cyberangriffs auf die US-amerikanische IT-Firma Kaseya betroffen sein. Die Attacke beansprucht eine Hackergruppe namens „REvil“ für sich.
Die Cyberkriminellen kaperten dabei zunächst Kaseya und erlangten Kontrolle über dessen viel verwendete Software-Management-Plattform VSA. In Folge wurden die Computersysteme von Kaseya-Kunden via VSA mit schädlicher Software infiltriert, was wiederum zu verschlüsselten Abrechnungssystemen führte. Nächster Schritt waren Lösegeldforderungen in Millionenhöhe. Von einer „neuen Qualität“ digitaler Angriffe ist jetzt die Rede. Einerseits traf der heimtückische „Lieferkettenangriff“ mit einem Schlag über 1000 Firmen, andererseits kommen nun Betriebe zum Handkuss, die selbst eigentlich gar nichts falsch gemacht haben.

Länderübergreifende Kooperationen

Augenscheinlich macht die Attacke einmal mehr die internationale Dimension von derlei Angriffen. Gleichzeitig wird aber auch in länderübergreifenden Kooperationen an Sicherheitslösungen getüftelt. Die Steiermark spielt hier eine zunehmende Rolle. Etwa in Form der Premstättener Niederlassung des Unternehmens BearingPoint.
Was derzeit an Angriffen an die Öffentlichkeit gelange, sei „nur die Spitze des Eisbergs, da viele Unternehmen davor zurückschrecken, erfolgreiche Angriffe oder Erpressungsversuche publik zu machen“, erklärt Markus Seme. Der Geschäftsführer der „Technologieberatung BearingPoint“ und sein Team haben sich auf digitale Sicherheitskonzepte für besonders sensible Anlagen und kritischste Einrichtungen spezialisiert. Dabei kooperieren die Steirer eng mit dem israelischen Cybersicherheits-Pionier Check Point, gemeinsame Technologie wird heute für US-Regierungsinfrastruktur ebenso eingesetzt wie beim Schutz eines der größten Museen in Washington.

Markus Seme, BearingPoint
Markus Seme, BearingPoint
© BearingPoint

Was die Grazer Mitarbeiter auszeichnet? Sie zählen zu den führenden Experten, wenn es um sogenanntes „Pentesting“ geht. Bei dieser Form des „beauftragten Hackens“ greifen die Cybersecurity-Profis mit Hacker-Tools eigene Auftraggeber an und legen so Schwachstellen von IT-Systemen offen. Wie die „echten“ Angreifer heute vorgehen? Seme: „Betriebe werden in der Regel über Wochen hinweg ausspioniert und infiltriert.“ Zum kritischsten Zeitpunkt legen die Hacker dann die Systeme still. Etwa, wie jüngst geschehen, bei Agrarunternehmen zum Ernte-Zeitpunkt. Gegensteuern könne man fast nur mit „präventiven IT-Sicherheitskonzepten“.

"Anrufe mit den vielfältigsten Hilferufen"

Zu einem wichtigen „Erste-Hilfe-Instrument“ hat sich (seit Mitte 2017) auch die Cyber-Security-Hotline der Wirtschaftskammer entwickelt. Sie steht unter „0800 888 133“ heimischen Unternehmen 24 Stunden, sieben Tage die Woche zur Verfügung und „vermittelt Expertinnen und Experten aus dem IT-Security-Bereich, die bei Cyber-Attacken mit Rat und Tat zur Seite stehen“, wie Projektleiter Wolfgang Schinagl betont. Die telefonische Erstberatung ist kostenlos. Allein heuer wurden bisher „mehr als 450 Anrufe mit den vielfältigsten Hilferufen“ registriert. „Derzeit kommt es wieder häufiger vor, dass angebliche Microsoft-Mitarbeiter die Benutzerdaten ausspähen und ganz frech nach Benutzernamen und Passwort fragen“, so Schinagl, der auch von vermehrten Hacker-Attacken auf Smartphones berichtet. Bei einem Betrieb sei zuletzt die ganze Webseite dupliziert und manipuliert worden. Betrügereien mit Identitätsdiebstahl und Fake-Profilen zum Ausspionieren würden ebenfalls zunehmen. „Wir raten den Unternehmen, IT-Security sehr ernst zu nehmen, denn wenn Cyberkriminelle einmal im Firmennetzwerk eingenistet sind, sind sie nur sehr schwer wieder loszubekommen.“