Die Zahl der Cyberangriffe aus dem Ausland steigt immer weiter an – vor allem aus Russland. Ein Experte erklärt den Zweck dahinter und warum alle Firmen gefährdet sind. Russland führt längst einen hybriden Krieg gegen Deutschland. Neben Drohnenüberflügen, Spionage und der Verbreitung von Desinformation wird das insbesondere bei Cyberangriffen deutlich. Mehr als 200.000 Taten aus dem Ausland gab es allein im vergangenen Jahr – Tendenz steigend. Christoph Demiriz ist Experte für solche Fälle. Unternehmen rufen ihn nach Angriffen, um ihre Daten zu sichern. Er sieht im Interview mit t-online zu wenig Einsicht bei der deutschen Wirtschaft und erklärt, was die russischen Angriffe so effektiv macht. Außerdem berichtet er aus eigener Erfahrung, wie der Kreml seine Hacker schützt. t-online: Herr Demiriz, welche Unternehmen sind bei Cyberangriffen am meisten gefährdet? Christoph Demiriz: In Deutschland sind erst einmal alle Firmen in Gefahr. Die Frage ist nicht, ob ein Unternehmen Opfer eines Cyberangriffs wird, sondern wann. Wir hatten bei Digital Recovery Kunden vom Ein-Mann-Betrieb bis zum Großkonzern. Eine Umfrage von Bitkom zeigt, dass 46 Prozent der betroffenen Unternehmen Angriffe nach Russland zurückverfolgen konnten. Warum häufen sich die Angriffe von dort? Das ist ein ganz klarer Aspekt in der hybriden Kriegsführung und Teil in einem Mehrfrontenkrieg. Sie sind Spezialist für Ransomware-Angriffe. Dabei verschlüsseln Hacker Daten und fordern Lösegeld für die Freigabe. Warum setzt Russland diese Taktik ein? Es ist nicht die naheliegendste Form der Spionage. Weil es die deutsche Wirtschaft schwächt, wenn Unternehmen kategorisch lahmgelegt werden. Es gibt Firmen, deren Daten wir wiederhergestellt haben, die allein durch den Reputationsschaden insolvent gegangen sind. Die haben in der Folge schlicht einen Großteil ihrer Kunden verloren. Zudem gibt es teilweise gezielte Angriffe auf eine gesamte Lieferkette. Welche Folgen hat das? Wir wurden schon von Automobilzulieferern beauftragt, die eine Just-in-Time-Lieferung haben. Wenn dort nicht geliefert wird, können BMW oder VW nicht produzieren. Da werden ganze Wirtschaftszweige geschädigt. Wie wählen die russischen Hacker ihre Ziele aus? Viele Hacker haben erst einmal ein ganz klares monetäres Interesse, sie wollen Geld verdienen. Außerdem gehen sie den Weg des geringsten Widerstands. Kein System ist unhackbar, aber das kann ein paar Stunden, ein paar Tage oder ein paar Wochen dauern. Ein Unternehmen, das im Bereich Cybersicherheit schlecht aufgestellt ist, wird deswegen eher Opfer von Angriffen. Wenn die Hacker vor allem ein wirtschaftliches Interesse haben: Wie passt das mit den Interessen des russischen Staates zusammen? Die russische Politik deckt Hacker ganz bewusst. Die wollen zwar Geld, aber können natürlich auch Informationen weitergeben. Das kostet ja nichts. Die Politik weiß genau, um wen es sich bei den Akteuren handelt, aber solange sie Russland nicht angreifen oder die dortige Wirtschaft schädigen, können sie uneingeschränkt handeln – weil Russland davon profitiert. Wenn es gegen Russlands Interesse geht, greift die Politik aber ganz schnell ein. Das habe ich selbst in der Praxis erlebt. Deutschland durch Cyberangriffe in Gefahr: Ein "schockierend gutes Businessmodell" Die neue Gefahr: So schützen Sie sich vor Erpresser-Trojanern Wie genau? Ich habe mal einen Fall betreut, bei dem ein Import-Export-Unternehmen Opfer eines Ransomware-Angriffs wurde. Die Firma hat auch Handel nach Russland betrieben und Kontakte dort gehabt. Also haben wir einen russischen Politiker kontaktiert, der in einem Schreiben erklärte, dass der Angriff der russischen Wirtschaft schadet. Das Schreiben haben wir an die Hacker geschickt und umgehend die Schlüssel für die Daten ohne Lösegeldzahlung bekommen. Jüngst gibt es vermehrt Angriffe auf Unternehmen, die Teil der kritischen Infrastruktur sind, etwa Zulieferer der Bundeswehr. Hier dürfte das Interesse Russlands noch größer sein. Genau! Solche Firmen, etwa aus der Rüstungsindustrie, stehen noch stärker im Fokus von Cyberangriffen. In dem Fall geht es aber oft weniger um die Lösegelderpressung, sondern um Informationsbeschaffung. Das wird dann doppelt ausgenutzt. Wenn es eine Lösegeldforderung der Hacker bei einem Rüstungsunternehmen gibt, kann man sich sicher sein, dass vorher Informationen für geopolitische Zwecke abgeflossen sind. Das Geld ist dann nur Augenwischerei – und soll vom eigentlichen Zweck ablenken. Deutschlands Firmen haben im vergangenen Jahr 202,4 Milliarden Euro Schaden durch Cyberangriffe erlitten. Wieso ist Deutschland so anfällig? Die deutsche Wirtschaft ist nicht auf den Cyberkrieg vorbereitet. Das fängt bei der Geschäftsführung an, die kein Budget dafür freigibt. Denn solange man nicht Opfer eines Angriffs geworden ist, fragt man sich meist: 'Warum sollten wir angegriffen werden?' Die Frage sollte aber lauten: 'Warum sollten wir nicht angegriffen werden?' Dabei gibt es meist einen Konflikt zwischen den IT-Verantwortlichen und der Geschäftsführung. Wieso gibt es dort so wenig Einsicht? Das ist erst einmal eine zusätzliche Ausgabe ohne direkten Mehrwert. Da herrscht mangelndes Verständnis für die IT und die Bedrohungslage. Es heißt oft, man habe ein Sicherungssystem, das zum Beispiel bei Stromausfällen oder Hochwasser in der Vergangenheit bereits funktioniert habe. Aber das ist ein Trugschluss. Es ist etwas anderes, wenn ein Hacker in das Unternehmen eindringt, das Ganze verschlüsselt und die Backup-Architektur killt. Und wie groß ist die Einsicht bei der deutschen Politik? Der Staat tut bereits viel und stellt Fördertöpfe bereit, die aber leider nicht von allen Unternehmen genutzt werden. Firmen könnten sich sogar eine Modernisierung der Cybersicherheit fördern lassen. Aber es bleibt ein nerviges Thema, denn es geht nicht nur um Geld. Sondern? Es ist auch ein Zeitinvestment und macht viele Abläufe unpraktischer. Dann reicht das einfache Passwort nicht mehr aus, um sich einzuloggen, es benötigt eine zusätzliche Bestätigung am Handy. Oder es macht Computer deutlich langsamer, weil zahlreiche Schutzmechanismen gleichzeitig aktiv sind. Da beschweren sich die Angestellten, dass ihre neuen Rechner nicht schnell genug sind. Dann gibt es manchmal Druck von oben, den Computer wieder schneller zu machen – auf Kosten der Sicherheit. Und das ist dann manchmal ein Einfallstor. Ransomware-Angriffe treffen nicht nur die deutsche Wirtschaft, auch die Verwaltungen von Kommunen werden angegriffen. Warum sind sie anfällig? Da gib es unterschiedliche Gründe. Allen voran: Deutschland schießt sich mit der Digitalisierung manchmal selbst ins Knie. Eine steile These. Das müssen Sie ausführen. Es gab mal eine Stadtverwaltung, die gehackt wurde, nachdem ihr gesamtes Archiv digitalisiert wurde. Die Papierakten hatten sie bereits entsorgt. Nach der Attacke war das gesamte Archiv verschlüsselt und man konnte die Akten nicht erneut einscannen. Digitalisierung ist also auch nicht immer der beste Weg? Viele brüsten sich mit papierloser Verwaltung. Das bedeutet aber auch Game Over, wenn alles verschlüsselt ist. Auch der Zentralisierungsgedanke ist tückisch. Es klingt zunächst praktisch, dass bei einem Wechsel von einem Bundesland ins andere auch eine Akte digital weitergereicht werden kann. Allerdings ist das System auch viel anfälliger für einen einzigen Angriff. Herr Demiriz, vielen Dank für das Gespräch!
