IHK Ostwürttemberg warnt: Bedrohungslage ist konkret
Bei Kongress zur Cybersicherheit wird Attacke von vor fast einem Jahr beleuchtet – Noch nicht ausgestanden
- Obwohl die Cyberattacke nun schon fast ein Jahr zurückliegt, ist die Industrie- und Handelskammer (IHK) Ostwürttemberg noch immer nicht vollständig wieder am Netz. Das hat ihr stellvertretender Hauptgeschäftsführer Thorsten Drescher bei einem gut besuchten Kongress zum Thema Cybersicherheit in den Räumen des IHK-Digitalisierungszentrums (DigiZ) in Aalen mitgeteilt.
Über den mutmaßlichen Angreifer sagte er so viel: Der Angriff stehe im aktuellen politischen Kontext, und fügte auf Anfrage den Hinweis hinzu, Monate zuvor habe der Angriffskrieg in der Ukraine begonnen.
Im weiteren Verlauf des Kongresses informierten Fachleute darüber, wie Angriffe ablaufen, und gaben Tipps, wie man sich gegen sie wehren kann. Der frühere Aalener Polizeipräsident Roland Eisele und der frühere Hauptkommissar Helmut Sailer stellten das Projekt CyberWuP (Cybersicherheit, Wirtschaftsschutz und Prävention) mit der Hochschule Aalen vor. Dabei werden niederschwellige Ratschläge vor allem für kleine Handwerksbetriebe erarbeitet, wie sie sich gegen Cyberattacken wappnen können.
Der Angriff auf die IHK und mit ihr auf alle 78 anderen im Bundesgebiet war Drescher zufolge hochprofessionell und von langer Hand vorbereitet und begann bereits im Mai vergangenen Jahres ganz langsam, sodass er erst Anfang August bemerkt wurde. Dass es so weit kommen könnte, hatte niemand auf dem Schirm, räumten er und IHK-Hauptgeschäftsführer Thilo Rentschler ein, denn man habe auf das – später ausdrücklich bestätigte – hohe Sicherheitsniveau des IHK-eigenen Dienstleisters vertraut. Drescher: „Wir dachten, uns würde das nicht ereilen.“
Als es dann doch passiert sei, sei man mit Problemen konfrontiert gewesen, mit denen man zuvor nicht gerechnet hatte. Alle IHKs seien sofort vom Netz genommen worden. Die Folge: Die Homepage war nicht mehr erreichbar, Kontakte per Internet waren nicht mehr möglich, in der Kommunikation ging fast nichts mehr. Wieder gefragt waren dagegen simsen und das Faxgerät, das aber viele Kunden gar nicht mehr hatten. Wichtige Dokumente konnten nicht mehr gescannt und verschickt werden, die Kunden mussten sie abholen und stempeln lassen. Da die Daten fast aller Gewerbetreibenden potenziell betroffen waren, mussten die Sicherheitsbehörden eingeschaltet werden.
Überdies ging es darum, wie Drescher weiter berichtete, alles in einem langwierigen Prozess zu bereinigen, alle Server und die allein bei der IHK Ostwürttemberg mehr als 250 Endgeräte zu scannen. Dabei wurden allein bei der Heidenheimer IHK „mehrere 100 Auffälligkeiten“entdeckt. Danach mussten die Sicherheitsvorkehrungen weiter erhöht werden, die jetzt auch fortlaufend überwacht werden.
Weil die Kommunikation ohnehin erschwert gewesen sei und die Abläufe sehr komplex gewesen seien, beispielsweise wegen des Einsatzes von Faxgeräten, habe der ohnehin dynamische Prozess sehr lange gedauert, so der Redner weiter. Es sei noch immer nicht alles ausgestanden.
Die IHK habe daraus den Schluss gezogen, dass Vorsorge besser sei als Nachsorge, sagte Drescher weiter. Man habe nun vorsorglich parallele, saubere digitale Strukturen aufgebaut, man habe die Sicherheitsanforderungen für alle IHKs weiter erhöht und drohe mit Sanktionen, wenn sich eine nicht an die Vorgaben halte. Sie fliege schlicht aus dem IHK-Netz. Schließlich habe man alle Mitarbeiterinnen und Mitarbeiter sensibilisiert und ihnen beispielsweise deutlich gemacht, dass ein sechsstelliges Passwort nichts wert sei. Dieses zu knacken oder gar zu erraten, sei für Hacker überhaupt kein Problem.
Torsten Seeberg, Experte für Cyber-Sicherheit beim Landeskriminalamt (LKA), warnte sein Publikum eindringlich: „Sie alle sind gefährdet, unabhängig von der Branche oder der Größe Ihres Betriebes! Die Bedrohungslage ist konkret!“Deshalb appellierte er an seine Zuhörer, sich im Zweifel umgehend an das LKA oder an die Polizei zu wenden. Es gehe dabei nicht nur darum, wirtschaftlichen Schaden abzuwenden. Die Betriebe seien überdies gesetzlich verpflichtet, ihre personenbezogenen Daten zu schützen.
„Wir dachten, uns würde das nicht ereilen“, sagte der stellvertretende Hauptgeschäftsführer der IHK Ostwürttemberg, Thorsten Drescher.