Abb.: One Identity

«Wir waren gerade auf Geschäftsreise in Dubai, als uns die Nachricht erreichte», sagt Sami Awad-Hartmann. IT-Experten konnten gerade noch verhindern, dass der Angreifer die Zugangsdaten verschlüsselte. Für den Logistik-Anbieter Hellmann war das ein «9/11». Der IT-Beauftragte: «Es gibt immer ein «Vorher» und ein «Nachher».

Hätten die Hacker wichtige Zugangs-Codes verschlüsselt, wäre die übliche Erpresser-Masche in Gang gekommen. Die Eindringlinge hätten «Lösegeld» verlangt, damit sie das für Betreiber lebenswichtige System wieder freigäben. «Wenn dann erstmal die Lkws nicht mehr rollen, wird’s kritisch», so der für das Informations- und Kommunikations-Management Verantwortliche bei Hellmann. Seit dem Angriff in 2021 sei das Unternehmen jedenfalls IT-mässig gewappnet. Und macht das auch publik, um die Branche zu warnen, ausreichende Vorsichtsmassnahmen zu ergreifen.

A.Barry (li.), S.Awad-Hartmann. Foto: klk.

Tatsächlich bestand die erste Massnahme bei dem Vorfall in 2021 erst einmal darin, die Rechenzentrum zu checken. Nötigenfalls muss die gesamte IT erstmal vom Internet getrennt werden, um sichergehen zu können, dass kein Trojaner mehr herumspukt, der Aufträge und Kundendaten sabotieren könnte. Das Warehouse-Management-System stand still. Alles musste sozusagen «per Zuruf» und telefonisch geregelt werden. Fünf Tage lang war «die Hölle» los. «Glücklicherweise haben wir noch viele von der àlten Schule´dabei», so Hartmann, «die unsere Lkw-Touren, Warenein- und Ausgänge in Gang halten konnten». Aber irgendwann laufen dann natürlich auch die Lager leer.

Anonyme Abstimmung. Foto: klk.

Als Alpha Barry, CEO des Cybersecurity-Anbieters «Secida» und Auftragnehmer einer Cyberstudie der deutschen Bundesvereinigung Logistik (BVL), beim Logistikkongress eine elektronische Schnellumfrage per Tagungs-App startet, ist das Ergebnis immer noch erstaunlich. Elektronisch und anonym räumt ein Viertel aller Zuhörer ein, dass bei ihnen im Unternehmen noch keinerlei Sicherheits-Massnahmen gegen solche Attacken ergriffen wurden. Bei einem weiteren Viertel habe es Wochen oder Monate gedauert, bis ein Angriff bemerkt wurde, der meist über Trojaner läuft, die bevorzugt in E-Mail von Ahnungslosen als «vermeintlich wichtig» angeklickt und somit aktiviert werden. Weitere 25 Prozent geben an, dass die Reaktion auf Unternehmens-Ebene innerhalb von ein paar Stunden oder längstens einem Tag – und somit noch einigermassen rechtzeitig erfolgt sei.

Guter Rat von der Bundeswehr. Foto: klk.

Diejenigen, die beinahe zwangsläufig und aus Gründen der nationalen Sicherheit vor allem in jüngerer Zeit mit Vorfällen dieser Art zu tun haben, sind IT-Experten wie Gabi Dreo Rodosek, Inhaberin des Lehrstuhls für Kommunikationssysteme und Netzsicherheit der Universität der Bundeswehr in München. «Das hauseigene System sofort vom Internet zu trennen, ist völlig richtig» sagt sie. Auch dann, wenn dabei Verluste entstehen. Wenn es dem Hacker erstmal gelinge, wichtige Daten zu verschlüsseln, sei der Schaden noch wesentlich grösser. Auch den Angreifern sei mittlerweile Künstliche Intelligenz dabei behilflich, schnell in die IT des Opfers einzudringen. «Sie müssen also ständig neue Massnahmen entwickeln, um es dem Angreifer möglichst schwerzumachen». Die Mitarbeitenden im Unternehmen müssten permanent geschult werden, um immer neuen Tricks der Fremdspäher zuvorzukommen. Wobei gegen manche Unsitte, beispielsweise auf eine vermeintlich gesicherte App für´s iPhone zu klicken, einfach kein Kraut gewachsen scheint. Awad-Hartmann kann heute darüber lachen. «Stellen Sie sich mal vor, es steht einer mit dem Messer vor der Tür, und fordert Sie 19 Mal auf, endlich die Tür aufzumachen!». Manchem werde das dann so lästig, dass sie schlussendlich doch auf das Pishing-Mail klicken – um dann überrumpelt zu werden.

Abb.: Th. Onphalai/BVL/Secida

Die Studie «Cybersicherheit in Supply Chains», die von der BVL in Zusammenarbeit mit der Universität der Bundeswehr München, der Otto-von-Guericke-Universität Magdeburg sowie den Unternehmenspartnern One Identity, Schunck Group und secida erstellt wurde, macht deutlich, dass Cyberangriffe inzwischen zur Alltagskriminalität gehören. Laut Befragung von über 150 Mitgliedsunternehmen der BVL seien besonders häufig Webseiten (30 %) und sensible Daten (25 %) das Ziel, auch Datenverschlüsselung mit anschliessender Erpressung komme zu oft vor (15 %). Bei der Analyse der Angriffsfälle habe sich herausgestellt, dass vielfach Beschäftigte in den Unternehmen dazu gebracht wurden, Schadsoftware per Klick auf zunehmend geschickt gefälschte «downloads» zu installieren (37 %). Auch aus dem Internet zugängliche Schwachstellen waren ein Einfallstor (28 %). Benutzerkennungen und Passwörter wurden in 15 % der Fälle missbraucht.

Awad-Hartmann rät, rechtzeitig Verträge mit Spezialisten abzuschliessen, die im Fall des Falles sofort zur Stelle sind. «Wenn Sie dann erst anfangen müssen zu suchen, wer sich um Ihr Problem kümmert, ist es meist schon zu spät», meint er.

Die Studie «Cybersicherheit in Supply Chains» zum download als pdf

www.bvl.de