Augsburger Allgemeine (Ausgabe Stadt)
Von Lea Thies
Der Albtraum begann für Daniel Siegmund mit einem Anruf. Es war an einem Sonntag, er hatte gerade mit seiner Familie zu Abend gegessen, als er die Info aus der IT bekam: Seine Firma war angegriffen worden. Gehackt. Er wusste sofort, was das heißt. Siegmund ist Mitglied der Geschäftsleitung der Siegmund-gruppe im Landkreis Augsburg, die unter anderem Schweißtische herstellt sowie Masken und Desinfektionsmittel vertreibt. Er ist für die Computersicherheit zuständig und kennt sich mit der It-struktur seines Unternehmens aus. Nun war also das passiert, was nicht passieren sollte: Jemand war unerlaubt ins Netzwerk eingedrungen, hatte die Computer verschlüsselt, die Firma vor ihren eigenen Daten ausgesperrt. Siegmund fühlte sich in dem Moment unsicher, fast nackt, so wird er es Monate später sagen. Wie groß ist der Schaden, was wurde erbeutet? Alles noch unklar, als er ins Auto stieg und sofort in die Zentrale der Bernd Siegmund Gmbh in Oberottmarshausen an der B17 fuhr, um die Stecker zu ziehen und sich mit seinem Krisenstab zu beraten. Wenig später wählte er die 110 und lernte kurz darauf Karen Mergner kennen.
Täglich zigfach finden in Deutschland solche Angriffe wie der auf die Firma Siegmund statt. Die Angst geht um. Wie der Digitalverband Bitkom in seiner jüngsten Studie herausgefunden hat, sind neun von zehn der mehr als 1000 befragten Unternehmen bereits Opfer von Hacking geworden. Im vergangenen Jahr sei der deutschen Wirtschaft dadurch ein Schaden von 203 Milliarden Euro entstanden – in den Jahren 2018/2019 sollen es noch 103 Milliarden Euro gewesen sein. Das Gros der Angriffe kam von professionellen Hacker-gruppen
und wurde häufig aus Russland und China gesteuert. „Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer hybriden Kriegsführung auch im digitalen Raum ist die Bedrohung durch Cyberattacken für die Wirtschaft in den Fokus von Unternehmen und Politik gerückt“, sagt Bitkompräsident Achim Berg. Die kritische Infrastruktur werde ebenfalls immer häufiger angegriffen, zum Teil mit schwerwiegenden Folgen für die Gesellschaft: Die Uniklinik Düsseldorf etwa konnte nach einer Attacke 13 Tage lang keine Notfallpatienten aufnehmen. Laut der Bitkom-studie stellen sich die Betreiber kritischer Infrastruktur künftig auf noch heftigere Attacken ein.
Auch in der Region gibt es zahlreiche Firmen und Unternehmen, die schon angegriffen wurden: Hacker haben zum Beispiel an Ostern Computersysteme der Donau-stadtwerke in Dillingen und im August der Industrie- und Handwerkskammer Schwaben (IHK) lahmgelegt, weil sie die zuständigen It-dienstleister angegriffen hatten. Wie viele Unternehmen schon gehackt wurden, darüber wird keine Statistik geführt, viele Betroffene sprechen aus Scham oder Angst vor rechtlichen Konsequenzen auch nicht über die Angriffe. Einer Umfrage der Industrie- und Handelskammer Schwaben zufolge war bereits 2019 jedes dritte Unternehmen Opfer von Hackern geworden. Immer häufiger treffe es auch kleine und mittlere Firmen, für die es vielfach deutlich schwieriger sei, sich zu schützen. Laut der Ihk-umfrage halten 85 Prozent der Unternehmen Cyberangriffe für eine relevante Gefahr. 72 Prozent der befragten Unternehmen erklärten, dass aus ihrer Sicht das fehlende Know-how der Belegschaft das größte Risiko darstellt. Generell gilt der Faktor Mensch neben Systemschwachstellen als das größte Einfallstor
für Cyberattacken. Die Bedrohungslage sei angespannt bis kritisch, heißt es beim Landesamt für Verfassungsschutz (LFV) in München wie auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Längst ist klar: Es kann jeden treffen, die Frage ist nur, wann – einen hundertprozentigen Schutz gibt es nicht. Die Behörden sind in Alarmbereitschaft. „Da ist ein kriminelles Wirtschaftsbiotop entstanden, das sich gegenseitig Dienstleistungen anbietet und Informationen abkauft“, sagt ein Bsi-sprecher. Der Kapuzenpullover tragende Hacker, der aus einem dunklen Keller heraus oder am Strand liegend Firmen angreift – das war einmal. „Inzwischen sind professionelle Hacking-netzwerke aktiv, die mit neuen Werkzeugen und Methoden arbeiten, die früher nur staatlichen Akteuren vorbehalten waren“, sagt der Bsi-sprecher.
Heute müsse ein Hacker deswegen technisch weniger können, um großen Schaden anzurichten, als früher. Voraussichtlich im Oktober erscheint der neue Lagebericht des BSI. Es ist keine Entspannung in Sicht. Im Bereich der Informationssicherheit sah Bsi-präsident Arne Schönbohm schon vor einem Jahr in Teilbereichen die Alarmstufe Rot.
Weil es manchen Hackergruppen ums Sabotieren, Spionieren und Desinformieren geht, befasst sich auch der Verfassungsschutz mit Cyberangriffen. „2013 ist eine Zeitenwende eingetreten, es ist nicht mehr so klar zu unterscheiden, ob Cybercrime oder Cyberspionage“, sagt Michael George, Leiter des Cyber-allianz-zentrums (CAZ) im bayerischen Landesamt für Verfassungsschutz in München. Wie angespannt die Lage ist, zeigt auch dies: In dem Backsteingebäude in Milbertshofen müssen Gäste ihre Handys einschließen. Sicher ist sicher, schließlich hat heute fast jeder einen Computer in der Hosentasche, mit dem Daten gestohlen werden können.
„Wir sehen eine Veränderung im Geschäftsmodell der Angreifer und gleichzeitig durch die Digitalisierung auch eine größere Angriffsfläche. Das ist ein Problem“, sagt George. Im Ukraine-krieg mischen bereits private Hackergruppen mit und versuchen, Daten und Informationen von der Gegenseite zu erlangen, Systeme zu sabotieren. Wer hacken kann, hat Macht: kann zerstören oder beschützen, angreifen oder verteidigen, kann Krieg führen, ohne sein Leben in Gefahr zu bringen. Oder einfach auch nur für ein riesiges Chaos sorgen.
Eine, die gegen das Chaos und auf der Seite der Guten kämpft, ist also Karen Mergner, die auch der Firma Siegmund half. Wer sie bei der Arbeit besucht, muss erst einmal durch die Schleuse im Polizeipräsidium Schwaben Nord in Augsburg. An der Tür hängt ein etwas ausgebleichtes Plakat: „Amok verhindern. Teamwork erleben.“Die Polizei sucht damit It-fachkräfte für den Cyberkampf. Menschen wie Karen Mergner, die wissen, was hinter Computerbildschirmen abläuft, die sich mit Netzwerkstrukturen auskennen und mit digitalen Angriffen. Die Informatikerin leitet das Quick Reaction Team (QRT) der Kriminalpolizei in Augsburg, das vor gut einem Jahr gegründet wurde und rund um die Uhr einsatzbereit ist, um Unternehmen und Betriebe der kritischen Infrastruktur nach Cyberattacken zu beraten und zu unterstützen. Auch am Wochenende und an Feiertagen, wenn Hackergruppen besonders gerne angreifen, weil sie dann mehr Zeit haben, ehe ihre digitalen Spuren entdeckt werden. Karen Mergner hat die neue Qualität der Angriffe auch schon in der Praxis festgestellt.
„Früher wollten sich Einzeltäter profilieren, da ging es bei Attacken um Ansehen,
vielleicht auch um Machtdemonstration. Heute geht es bei der Cyberkriminalität in erster Linie ums Geld“, sagt die Itermittlerin. Professionell organisierte Gruppen greifen an, gehen gezielt vor und teilen sich die Arbeit wie in einem Unternehmen auf: Die einen suchen die Schwachstelle, die anderen dringen ein, die nächsten recherchieren, was zu holen ist und wo die Schmerzgrenze des Unternehmens liegen könnte, ein anderes Team wiederum kümmert sich um die Verschlüsselung. „Die haben sogar eine 24/7-Hotline, die die Opfer nach der Lösegeldzahlung berät, wie sie wieder an ihre Daten kommen können“, sagt Karen Mergner. Viel genauer kann sie die Tätergruppe nicht eingrenzen, da die Angriffe meist aus dem Ausland kommen, wo die Kriminellen nur schwer aufzuspüren seien. Die It-branche ist männlich dominiert, höchstwahrscheinlich gibt es also auch unter den kriminellen Computerexperten mehr Männer als Frauen.
20 bis 35 Mal ist das QRT bisher in der Region ausgerückt, nur ein Bruchteil der wirklich Betroffenen. Karen Mergner vermutet: Aus Angst, dass Akten beschlagnahmt, Computer mitgenommen werden oder es gar strafrechtliche Konsequenzen gibt, würden sich viele Firmen gar nicht erst an die Polizei wenden. „Unser erstes Ziel ist, weitere Schäden zu verhindern, wir behindern nicht, wir beraten die Firmen, helfen beim Spurenfinden, sammeln Beweise für die strafrechtliche Verfolgung des kriminellen Angriffs“, betont die Itermittlerin. Dabei habe die schnellstmögliche Wiederherstellung der betrieblichen Abläufe Priorität.
Für ihre Einsätze benutzt das Cyber-ermittlungsteam einen digital aufgerüsteten VW-BUS, der auch als mobiler Besprechungsraum umfunktioniert werden kann. Auch wenn es für ihr Team unwahrscheinlich sei, den oder die Täter gleich zu finden und gar festzunehmen, so werde Material über den Angriff und die Hacker gesammelt, das dann mit Ermittlungsteams anderer Polizeidienststellen in Deutschland oder auch dem Ausland geteilt wird - durch diese Zusammenarbeit seien auch schon Täter gefasst worden, sagt die Qrt-leiterin.
„Heute geht es bei der Cyberkriminalität in erster Linie ums Geld.“