Cyber-Erpresser schröpfen den Maschinenbau
Von Karolin Rothbart, Frankfurt
Für den deutschen Maschinen- und Anlagenbau hält das Jahr 2022 allerlei ernstzunehmende Großbaustellen bereit. Um im globalen Wettbewerb mit der aufstrebenden Konkurrenz aus China nicht ins Hintertreffen zu geraten, muss die mühsame Suche nach neuen Geschäftsfeldern und passenden Fachkräften weitergehen, müssen Lieferketten dringend neu ausgerichtet und die grüne Transformation mit aller Kraft vorangetrieben werden. Auch die digitale Vernetzung entlang der gesamten Wertschöpfungskette wird ein entscheidender Faktor für die Wettbewerbsfähigkeit der Unternehmen bleiben − womit gleichzeitig der Schutz gegen die immer größer werdende Cyberbedrohungslage einhergeht.
Gerade Letzteres sollte von Entscheidern in der Branche spätestens jetzt zur Chefsache erklärt werden. Denn neben dem Baugewerbe, das laut dem Verschlüsselungsclouddienstleister Nordlocker in den vergangenen Jahren am stärksten im Fadenkreuz von Cyber-Erpressern stand, kommt an zweiter Stelle gleich das produzierende Gewerbe, auf das es so berühmt-berüchtigte Hackergruppen wie Conti, Revil oder Dopple Payer abgesehen haben.
Das BSI warnt eindringlich
Bei ihren Angriffen dringen die Täter zunächst mit immer neuen Schadsoftware-Varianten in die Netzwerke der Betroffenen ein und verschlüsseln dort anschließend wichtige Nutzerdaten. Für die Freigabe verlangen sie im nächsten Schritt ein Lösegeld (Englisch: „Ransom“). Im aktuellen Lagebericht zur IT-Sicherheit in Deutschland bezeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) solche Angriffe als größte Cyberbedrohung überhaupt. Die Lage sei insgesamt angespannt bis kritisch. Zu der Einschätzung waren die Experten noch vor der Entdeckung einer Sicherheitslücke in der weltweit stark verbreiteten Java-Bibliothek namens Log4j gekommen. Hier sei mit einer breiten Ausnutzung der Schwachstelle zu rechnen, hatte das BSI Mitte Dezember mitgeteilt und in der Folge die höchste Warnstufe ausgerufen.
Lukrative Angriffsziele
Schaut man auf Umfragen, so wirkt es, als wären sich Unternehmen in Deutschland über die erhöhte Gefahrenlage durchaus in Klaren. So hatten jüngst in einer EY-Datenklau-Studie unter 514 Führungskräften 63 % angegeben, dass sie das Risiko, Opfer von Cyberangriffen zu werden, für „eher hoch“ oder „sehr hoch“ halten. Das waren mehr als in jeder Vorbefragung der Managementberatung zu dem Thema. Besonders gefährdet sahen sich demnach Firmen aus dem Bereich Technologie/Medien/Telekommunikation, aber auch aus dem Maschinenbau.
„Die Industrie steht hierzulande besonders im Fokus, weil sie gut zahlt, weil sie in der Digitalisierung viele Systeme etabliert hat, weil sie der europäischen Datenschutzgrundverordnung unterliegt und weil sie Cyberversicherungen abschließt“, sagt Steffen Zimmermann, Leiter des Competence Center Industrial Security beim Verband Deutscher Maschinen- und Anlagenbau (VDMA). „Aus Angreifersicht ist das alles ideal.“ Nicht zuletzt sind die oft mittelständisch geprägten Unternehmen aus der Fertigung wohl auch deshalb eine so beliebte Zielscheibe, weil sich in der Szene mittlerweile rumgesprochen haben dürfte, dass sie trotz Weltmarktführerschaft und wichtigem Know-how auf ihrem jeweiligen Gebiet in Sachen IT-Sicherheit oft noch hinterherhinken.
Gerade im Maschinenbau macht sich das bemerkbar. In einer 2020 durchgeführten Forsa-Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) unter je 100 Unternehmen aus fünf produzierenden Branchen hatten die Maschinenbaufirmen mit 31 % am häufigsten von Schädigungen durch Cyberangriffe berichtet. Gleichzeitig sah sich die Gruppe im Vergleich zu den anderen untersuchten Branchen am wenigsten auf das Thema Internetkriminalität vorbereitet. Dabei würden sich viele ohnehin für zu klein und unbedeutend halten, um für Hacker interessant zu sein, schreiben die Autoren. Diese Einschätzung sei jedoch bestenfalls leichtsinnig − und ein Trugschluss, der für die Betroffenen teuer enden kann.
Nach Angaben der VDMA-Initiative „Unternehmen Cybersicherheit“ verursacht ein Cyberangriff bei einem Kleinunternehmen demnach im Schnitt einen Schaden von knapp 22 000 Euro. Bei mittleren bis großen Unternehmen kann der Schaden mit den Kosten, die für IT-Forensik, Datenwiederherstellung, Betriebsunterbrechung, Krisenkommunikation und Rechtsberatung aufgewendet werden müssen, schnell in den zweistelligen Millionen-Euro-Bereich gehen, wie Zimmermann sagt. „Bei unseren Unternehmen sind Schäden von 40 bis 50 Mill. Euro keine Seltenheit.“
Natürlich kommen entsprechende Versicherungen in solchen Fällen dafür auf. Doch zum einen werden die Prämien für die Policen mit dem steigenden Risiko immer teurer und für Unternehmen wird es zunehmend schwieriger, neue Verträge abzuschließen. Zum anderen werden die von den Angreifern geforderten Lösegeldzahlungen nicht mehr von allen Anbietern abgedeckt. In Deutschland soll ohnehin geprüft werden, ob die Zahlungen vom Versicherungsschutz ausgenommen werden. Denn „Lösegeld bei einem Hackerangriff zu bezahlen, wirkt wie ein Brandbeschleuniger“, hatte Baden-Württembergs Innenminister Thomas Strobl Ende November der „Süddeutschen Zeitung“ gesagt. Je häufiger Cyberkriminelle damit erfolgreich seien, desto attraktiver werde das Geschäftsmodell, desto stärker professionalisierten sie sich.
Dazu kommt: Nur weil ein betroffenes Unternehmen das Geld an den Erpresser überweist, meist in Form von Bitcoin, heißt das noch lange nicht, dass die verschlüsselten Daten danach freigegeben werden. „Ich rate daher auch fast immer davon ab, zu zahlen“, sagt Zimmermann. Im Maschinenbau sei die Zahlungsmoral zuletzt ohnehin in den Keller gegangen. „Von den Unternehmen, die 2020 betroffen waren, haben nur 10% tatsächlich gezahlt. Im vergangenen Jahr gab es nur einen Fall, wo gezahlt wurde. Ansonsten haben die Backups ausnahmslos funktioniert“, so der Experte.
Ein perfides Geschäftsmodell
Doch nicht bei allen Firmen läuft es mit der Datenwiederherstellung im Ernstfall so reibungslos. Dem österreichischen Kranhersteller Palfinger etwa wäre es nach einem Angriff im Januar 2021 mit den eigenen Back-up-Systemen nicht gelungen, den Betrieb ausreichend schnell wieder aufzunehmen. Rund zwei Wochen lang war die Produktion lahmgelegt. Das Unternehmen einigte sich am Ende mit den Erpressern auf eine bestimmte Summe. Wie hoch diese war, wollte man der Öffentlichkeit nicht mitteilen. Der Umfang sei aber „erträglich“ gewesen, wie Finanzchef Felix Strohbichler der Börsen-Zeitung Mitte Juni verraten hatte.
Genau darum geht es denn auch bei dem bislang äußerst erfolgreichen Geschäftsmodell der Angreifer: Die Zahlung des Lösegelds muss für das Opfer „erträglich“ sein. Zumindest erträglicher als die Folgen eines längerfristigen Betriebsstillstands oder als eine Veröffentlichung sensibler Kunden- oder Produktdaten. Dafür ist die Szene offenbar bereits zu einer Standardkalkulation gekommen: „Grundsätzlich wird von einer Lösegeldforderung von 4 % des Jahresumsatzes gesprochen“, sagt Zimmermann. „Man weiß, dass die meisten Unternehmen ab einer gewissen Größe der DSGVO unterliegen, und damit entsprechende Strafen drohen, wenn die Daten von den Angreifern veröffentlicht werden.“ Diese Strafen bewegten sich auch in der Regel in einer Spanne von 2 bis 4% des Umsatzes. Wie hoch der ist und ob sich der Aufwand lohnt, wird vorher ganz einfach im Quartalsbericht des Opfers nachgeschlagen. Manche Gruppen haben sich ausschließlich auf solche „Recherchen“ spezialisiert. Andere wiederum übernehmen hauptsächlich den Versand von Phishing-Mails, die die Systeme auf Schwachstellen testen. Wieder andere betreiben Rund-um-die-Uhr-Service-Hotlines oder Chats für die Opfer − „für den Fall, dass diese technisch vielleicht überfordert sind“, wie PwC-Cybersecurity-Experte Oliver Hanka erklärt. „Das ist ein kompletter, professioneller Industriezweig mit Arbeitsteilung. Der wird nicht einfach so von heute auf morgen verschwinden.“
Ein wenig Hoffnung bestehe aber dennoch. Immerhin steht das Thema Cybersicherheit neben dem digitalen Vertrieb und Marketing mittlerweile ganz oben auf der Prioritätenliste von deutschen Industriefirmen, wie die Unternehmensberatung in einer Umfrage unter gut 400 Firmen aus der industriellen Fertigung herausgefunden hat. Auch in den USA, wo in der Vergangenheit mit Abstand die meisten Ransomware-Attacken gezählt wurden, wird der IT-Schutz als wichtigste Herausforderung angesehen. Weltweit stellen sich zudem bereits 69 % der in einer anderen PWC-Studie befragten Unternehmen 2022 auf steigende IT-Kosten ein. „Die Erfolgsaussichten sind gut“, meint Hanka. „Die Technologie dazu ist da“. Allerdings hapere es momentan am meisten an den fehlenden Fachkräften. „Gerade die mittelständischen Hidden Champions finden meist gar nicht das Personal, das sich damit auskennt und das umsetzen kann“, sagt der Experte.
In Deutschland ist das auch ein gesamtwirtschaftliches Problem. So hatten in einer Bitkom-Umfrage unter rund 850 Unternehmen von Ende Dezember zwei Drittel der Firmen einen Mangel an IT-Fachkräften beklagt. Insgesamt waren 96 000 offene Stellen nicht besetzt. Seit der Ersterhebung im Jahr 2011 war diese Zahl nur im Vor-Corona-Jahr 2019 übertroffen worden.
Mitarbeiter, die schon im Unternehmen sind, müssten vor dem Hintergrund in Sachen IT-Sicherheit umso dringender entsprechende Weiterbildung erhalten, sagt VDMA-Experte Zimmermann. „Eigentlich sollte jeder Mitarbeiter Teil des Security-Teams sein. Denn jeder Mensch hat ein Bauchgefühl, das ihm im Zweifel sagt: Diese Mail könnte ein Problem sein. Dafür braucht es aber eine Sensibilisierung, die bei den Geschäftsführern anfangen muss.“