Cyber-Angriffe: Gut gerüstet gegen Hacker

Digitalisierung und Industrie 4.0 | Unternehmen | Wissenswertes | Der Hacker „G0d“ hat sensible Daten von rund 1.000 Politikern, Journalisten und Prominenten im Netz veröffentlicht. Sein Angriff ist jedoch nur ein Scharmützel gegenüber den Herausforderungen, welche die IT-Spezialisten von thyssenkrupp schon meistern mussten – zum Beispiel 2016, als sie einen großangelegten Hacker-Angriff zurückschlugen. Was geschah damals im Geheimprojekt „White Amflora“ – und wie ernst ist die Bedrohung durch Industrie-Hacking heute?

Es ist das Jahr 2016. Der Oktober neigt sich langsam seinem Ende zu, und am frühen Freitagmorgen ist das Wochenende für die meisten Mitarbeitern bei thyssenkrupp in Dortmund nur noch wenige Stunden entfernt. Das gilt jedoch nicht für alle Kollegen: Seit 7 Uhr arbeiten bis zu zwölf Menschen an ihren Computern, etwas beengt und in einem provisorisch eingerichteten Raum. Nicht immer dieselben Menschen übrigens, denn es herrscht Schichtbetrieb – länger als sechs bis sieben Stunden kann diese Arbeit keiner machen. Sie verlangt äußerste Konzentration und Genauigkeit. Entsprechend ruhig geht es zu. Mit gedämpfter Stimme gibt Karin Reschke ihren Kollegen Anweisungen. Karin Reschke, das ist nicht nur ein zufälliger Alias der Leiterin des Teams aus unternehmenseigenen IT Experten, externen Spezialisten und spezialisierten Mitarbeitern. Ihr echter Name soll ungenannt bleiben, auch Fotos der Frau Anfang 30 sind nicht gewünscht. Ihre Anonymität hat einen guten Grund: Reschke und ihre Kollegen stehen kriminellen Hackern im Weg. Verbrechern, die durchaus mal einen unfreundlichen Hausbesuch machen, um ihrer Beute näher zu kommen – genauer gesagt: Daten aus den globalen Netzwerken technologisch führender Unternehmen.

Das Team im Bürogebäude im Südosten der Stadt bearbeitet zu diesem Zeitpunkt ein weltweites Projekt, das nur drei Tage dauern soll. Das Ziel: einen hoch professionellen Hacker aus dem weltweiten Rechnernetzwerk des Geschäftsbereichs Industrial Solutions zu vertreiben. thyssenkrupp ist zu diesem Zeitpunkt Ziel eines so genannten Cyberangriffs. Der Angreifer, vermutlich aus Südostasien, ist in das Netzwerk des Konzerns eingedrungen, auf der Suche nach Informationen, die sich zu Geld oder geldwerten Vorteilen machen lassen. Ihren Raum im zweiten Stock nennt das Team von Karin Reschke den „war room“. Er ist ein Schauplatz im Cyberkrieg – einer digitalen Schlacht, der rund um die Uhr und rund um die Welt mit größtem Einsatz ausgefochten wird.

Weltweit koordinierter Zugriff

In Dortmund hat sich das Cyberabwehr-Team auf eine kräftezehrende Auseinandersetzung eingerichtet. Vor allem Fruchtgummis und Lakritze von Haribo gibt es in großen Mengen. Die Speisekarte der nahe gelegenen Pizzeria Regina liegt griffbereit. Dazu Kaffee, Wasser und reichlich Club-Mate, auch bekannt als „Hacker-Brause“. Das koffeinhaltige Erfrischungsgetränk gilt als Kultgetränk in Hacker-Kreisen. Bei thyssenkrupp kämpft man ganz offensichtlich auf Augenhöhe.

Digitaler Schatzmeister: Als Chief Information Officer des Industrieanlagen-Geschäfts von thyssenkrupp ist Christian Pagel für die Sicherheit aller Daten des Geschäftsbereichs zuständig. Beim Projekt
Digitaler Schatzmeister: Als Chief Information Officer des Industrieanlagen-Geschäfts von thyssenkrupp ist Christian Pagel für die Sicherheit aller Daten des Geschäftsbereichs zuständig. Beim Projekt "White Amflora" kämpfte er mit seinen Kollegen rund um die Uhr – mit erfolgreichem Ausgang.

„Wie ein heißes Messer durch Butter“, sagt Christian Pagel, kommt die Bereinigung voran. „Bereinigung“ ist der Fachausdruck für Aktionen wie diese. Konkret bedeutet das: 80 Server in Nord-und Südamerika, Asien, Indien, Europe und Afrika gleichzeitig vom Netz zu nehmen, sie neu zu installieren und den Angreifer damit hinauszuwerfen. Und natürlich geht es auch darum, alle Server wieder so ans Netz zu bringen, dass die 4.000 bis 6.000 Mitarbeiter, die sich auf ihnen bewegen, am nächsten Montag wieder arbeiten können. Christian Pagel – dieser Name ist echt. Er ist der Chief Information Officer bei thyssenkrupp Industrial Solutions, also der Unternehmenssparte, die in Dortmund einen ihrer Standorte hat. Der Bonner verantwortet die weltweite Aktion. Seit Tagen ist Pagel daher rund um die Uhr in Bereitschaft. An diesem Tag schlendert er in Jeans und blauer Strickjacke durch die Gänge, und das ziemlich gelassen. Denn es läuft gut: Das Team im „war room“ sowie weltweit weitere 70 Mitarbeiter arbeiten erfolgreich zusammen – am Sonntag um 21:50 Uhr ist die Bereinigung abgeschlossen, der Spuk ist vorbei. Am Montag um 10:33 Uhr kommt Pagels E-Mail mit dem Betreff ‚Project target achieved‘. „Ohne die vorbehaltlose Bereitschaft und den Einsatz der Mitarbeiter wie auch die Zusammenarbeit und Flexibilität des Vorstands unserer Business Area, des Business Unit Managements und des Betriebsrats wäre dieser Erfolg nicht denkbar gewesen“, so Pagel.

Anti-Hacker-Geheimprojekt „White Amflora“

Ein deutlicher Erfolg also bei thyssenkrupps Industrieanlagen-Sparte – aber was ist mit dem Rest des Unternehmens? Auf Konzernebene steuert Alpha Barry das Projekt. Alpha Barry ist der wirkliche Name des Head of Strategy, Governance and Security. White Amflora ist der Tarnname für den Hacker-Angriff. Unter Barrys Leitung haben die IT-Experten die Server von thyssenkrupp systematisch untersucht.

„Unserem Wissen nach war der Hacker nur bei Industrial Solutions und bei thyssenkrupp in Hohenlimburg aktiv“, erklärt er. Außerdem hat der Server-Scan ergeben, dass der Angreifer nicht auf Sabotage aus war, sondern auf Spionage. Vor allem hat er sich für Technologie im Anlagenbau interessiert. Hier hat er es auch geschafft Daten zu stehlen – wenn auch in geringem Umfang und nur bruchstückhaft. „Nicht eingedrungen ist der Angreifer unter anderem in unsere Secure Zone, die zum Beispiel die Kommunikation von Vorstand und Aufsichtsrat absichert.“ Allerdings kostet allein diese Sicherheitszone rund zehn Millionen Euro im Jahr. Auf so einem Niveau lässt sich das gesamte IT-Landschaft von thyssenkrupp nicht schützen. Auch das Netz der Sparte Marine Systems mit seinen sensiblen Geheiminformationen war nicht betroffen. Dessen Server sind speziell gesichert und nicht mit dem Konzern-Netzwerk verbunden.

Verdeckter Operateur: Dass die Hacker bei
Verdeckter Operateur: Dass die Hacker bei "White Amflora" nichts von thyssenkrupps digitalem Gegenschlag mitbekamen, ist der Verdienst von Alpha Barry (Head of Strategy, Governance and Security) und seinem Team.

Bei thyssenkrupp in Hohenlimburg haben die Experten einen jährlich stattfindenden Produktionsstillstand genutzt, um den Angreifer zu beseitigen. „Das war für ihn ein plausibler Hintergrund, warum er plötzlich keinen Zugang mehr zum Netz des Warmbandwerks hatte“, erläutert Barry. Bei Projekten wie White Amflora ist es entscheidend, dass der Angreifer nicht mitbekommt, dass er erkannt wurde, bevor nicht das gesamte Netz durchsucht ist. Denn sonst versteckt er sich noch besser und wartet ein paar Monate, bis er weitermacht. Oder er begeht einen finalen Sabotageakt, bevor er sich endgültig verabschiedet. Erst wenn das Sicherheitsteam alle betroffenen Server kennt, kann es die digitalen Knotenpunkte in einer konzertierten Aktion gleichzeitig bereinigen. Dann erst ist das Unternehmen den Eindringling wirklich los.

Cyberangriffe können jeden treffen

Die großangelegte Attacke auf thyssenkrupp im Jahr 2016 war alles, nur kein Einzelfall: Cyberangriffe sind inzwischen für die gesamte Wirtschaft ein ernsthaftes Problem und gelten als zentrale Sicherheitsherausforderung des 21. Jahrhunderts. Gemäß dem aktuellen Lagebericht zur IT-Sicherheit in Deutschland gaben 70 Prozent der teilnehmenden Firmen an, dass sie in den Jahren 2016 und 2017 das Ziel von Hacker-Angriffen geworden seien. Nur die Hälfte der betroffenen Unternehmen konnten die Angriffe erfolgreich abwehren. Für die betroffenen Firmen wird das teuer: Allein in den Jahren 2016 und 2017 belief sich der Gesamtschaden auf 55 Milliarden Euro – acht Prozent mehr als in den beiden Jahren zuvor. Das hat die Wirtschaftsberatungsgesellschaft KPMG ermittelt.

Trotz steigender Investitionen in die Sicherheit der Datennetze werden Cyberkriminelle nicht müde, nach immer neuen Einfallstoren in Unternehmen und Organisationen zu suchen, um diese für ihre Zwecke auszunutzen. Die komplexen Datennetzwerke internationaler Konzerne wie thyssenkrupp zu 100 Prozent zu schützen ist für ein einzelnes Unternehmen derzeit nicht möglich – jedenfalls nicht zu vertretbaren Kosten. Deshalb haben deutsche Konzerne 2015 die Deutsche Cyber-Sicherheitsorganisation DCSO gegründet. Die DCSO arbeitet eng mit dem Bundesministerium des Innern und dem Bundesamt für Sicherheit in der Informationstechnik zusammen. Sie fumongiert als zentraler Cybersicherheits-Dienstleister für die deutsche Wirtschaft. thyssenkrupp ist Mitglied der DCSO und hat deren Experten von Anfang an in das Problem eingebunden.

Wachsam sein – rund um die Uhr

Derzeit investiert thyssenkrupp nachhaltig in die Neuordnung und Absicherung seiner IT-Infrastruktur. Dafür wird beispielsweise ein gemeinsames, weltweites Datennetz aufgebaut. Seit 2016 hat thyssenkrupp zudem seine Sicherheitszonen ausgeweitet, beispielsweise auf Forschung und Entwicklung oder Patent-Informationen. Ob Cyberangriffe dadurch verhindert werden? Barry: „Sie werden auf jeden Fall noch schwieriger. Zum Beispiel, weil wir dann deutlich weniger Zugangspunkte aus dem Internet in unser Netz haben. Und wir werden noch schneller reagieren können. Trotzdem gilt auch dann: Es kann jeden treffen, und hundertprozentige Sicherheit gibt es nicht.“

Weiterhin kommt es also vor allem auf eine Sache an: wachsam zu sein – am besten rund um die Uhr. Dafür gibt es automatische Monitoring-Systeme, die aufzeichnen, was im thyssenkrupp-Netz passiert. Und Spezialisten, die sofort erkennen, wenn irgendetwas nicht stimmt. Sie arbeiten in thyssenkrupps Computer Emergency Response Team, kurz CERT, dass auch den Hacker-Angriff White Amflora im Jahr 2016 erfolgreich zurückschlug. Rund 20 Mitglieder hat die Mannschaft derzeit. Dass sie ihren Job verstehen, sieht man daran, dass sie den Angreifer im Fall White Amflora bereits knapp zwei Monate nach seiner Ankunft entdeckt haben – üblicherweise vergeht durchschnittlich mehr als ein halbes Jahr, bis solche Ereignisse aufgedeckt werden.

Ansgar Roloff, dieser Name ist nicht der wirkliche, leitet das Team. Er erklärt, wie sich der Angreifer verraten hatte: „Es waren Anomalien im sonst üblichen Betrieb. Danach hat sich einer unserer Forensiker die Sache genauer angesehen. Schnell war klar, dass wir es mit einem gefährlichen Angreifer zu tun hatten.“ thyssenkrupp – das wird deutlich, wenn man Roloff und sein Team besucht – steht quasi rund um die Uhr unter Beschuss. Die Bandbreite der Angreifer reicht vom Schüler, der sein Hacker-Talent an thyssenkrupp ausprobiert, bis hin zum absoluten Profi, der womöglich von einer internationalen Regierung gesponsert wird.

Wenn die E-Mail zum Spion wird

Besonders schwierig ist, dass es vielfältige, ganz unterschiedliche Möglichkeiten gibt, in Netze einzudringen. Roloff: „Ein häufig genutztes Einfallstor sind E-Mails. Hier kann jeder etwas tun, um unseren Konzern sicherer zu machen.“ Ein Beispiel sind sogenannte Phishing Mails – betrügerische E-Mails, denen Schadsoftware angehängt ist. Gefährlich sind nicht die Mails als solche, sondern der Anhang: Einmal geöffnet installiert sich eine Spionagesoftware, die oft nicht einmal aktuelle Virenscanner nicht erkennen. Damit kann der Angreifer den Computer dann fernsteuern und für Angriffe auf andere Systeme im thyssenkrupp Netz verwenden.

Um die Kollegen regelmäßig für das Thema Informations- und IT-Sicherheit zu sensibilisieren, informieren die Kollegen der IT-Teams immer wieder über die geeignetsten Gegenmaßnahmen und geben Tipps für sicheres Arbeiten im Netz.
Um die Kollegen regelmäßig für das Thema Informations- und IT-Sicherheit zu sensibilisieren, informieren die Kollegen der IT-Teams immer wieder über die geeignetsten Gegenmaßnahmen und geben Tipps für sicheres Arbeiten im Netz.

Oft hängen auch Schadprogramme – zum Beispiel sogenannte Ransomware oder Erpressungstrojaner – an, mit denen ein Eindringling die Nutzung von Daten sowie des gesamten Computersystems verhindert und für die Freigabe ein Lösegeld fordert. Eindringlich ruft Roloff dazu auf, beim Umgang mit E-Mails höchste Sorgfalt walten zu lassen. Seinen Rat sollte jeder sehr ernst nehmen. Es gibt wohl kaum jemanden bei thyssenkrupp, der Hacker und ihre Strategien besser kennt. Roloff und sein Team sind absolute Insider. Und natürlich haben auch sie kistenweise Club-Mate in ihren Büros.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.