Michael von der Horstist Managing Director Cybersecurity bei Cisco Deutschland. Cisco Systems ist einer der führenden Anbieter von Netzwerk-, Datacenter, Collaborations- und Security-Lösungen. Als größter Enterprise-Cybersecurity Anbieter liegt der strategische Fokus auf integrierten 360-Grad- und cloudbasierten Sicherheits-Lösungen, um vor allem Unternehmen vor Hackerangriffen zu schützen. Von der Horst sagt: „Das Thema Cybersecurity ist immer noch nicht in den Köpfen aller angekommen. Das sollten wir ändern."
Capital: Herr von der Horst, was ist bei der Cyberattacke auf Media Markt und Saturn passiert?
MICHAEL VON DER HORST: Dies kann man natürlich noch nicht genau wissen, noch müssen die Forensiker ihre Arbeit machen. Aber eine Sache kann ich jetzt schon sagen: Wir haben es hier offenbar mit einer Gruppe zu tun, die sich gezielt Unternehmen vornimmt und diese zu einem besonders kritischen Zeitpunkt hackt.
Wie meinen Sie das?
Oft arbeiten Hackergruppen bei Cyberattacken nach dem Zufallsprinzip. Sie testen an unterschiedlichen Stellen, ob sie Schwachstellen finden und platzieren ihre Malware dort, wo es geht. Bei Media Markt und Saturn wurde ein Unternehmen angegriffen, das jetzt mit dem Black Friday und der Vorweihnachtszeit in eine besonders verkaufsstarke Zeit gehen will. Das sieht nicht nach einem Zufall aus.
Ein lohnendes Ziel, für das es sich rentieren könnte, der Lösegeldforderung nachzukommen?
Laut frei verfügbaren Informationen ist es wohl so, dass die Webseiten und die Online-Shops noch laufen, aber die konkrete Abwicklung in den Filialen gestört ist. Die Schwierigkeiten scheinen also in einigen Support-Systemen zu stecken und in der entsprechenden Abwicklung dahinter. Wir sehen bei dieser Cyberattacke eine sehr hohe Lösegeldforderung. Das scheint daher eine sehr gezielte Attacke zu sein, die besonders wehtun soll. Und wo dann dementsprechend auch die Neigung bestehen könnte, auf die Forderungen einzugehen.
Das heißt, dass die Hacker wussten, dass sie es in die Systeme von Media Markt und Saturn schaffen?
Ein Konzern wie dieser hat eine recht ausgeklügelte und gut abgesicherte IT-Landschaft. Das gilt für alle Dax-Unternehmen. Es sind viele verschiedene IT-Lösungen von globalen Herstellern im Einsatz. Nach außen hin wirkt das erst mal sehr sicher, aber ein hundertprozentiger Schutz ist nicht möglich. Um da reinzukommen, muss man durchaus in einer länger währenden Attacke Schritt für Schritt schauen, wo die Sicherheitslücken sind.
Und wenn man da als Hacker fündig wird?
Wenn man eine Lücke gefunden hat, geht es darum, die Schadsoftware zu platzieren und darauf zu hoffen, dass sie nicht gefunden wird. Wenn sie gefunden wird, ziehen sich die Hacker wieder zurück und das Spiel geht von vorne los. Dann aber ist die Attacke entsprechend vorbereitet und man kann die Schadsoftware mit einem Knopfdruck aktivieren. Genau sagen kann man das aber erst, wenn die Forensiker preisgeben, was passiert ist. Wichtig ist auch, dass die Behörden da ihre Unterstützung anbieten. Und das tun sie auch.
Kann der Staat dagegen etwas tun?
Eingeschaltete Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) werden erst einmal so viel forensisches Material wie möglich sicherstellen, um zu klären, was genau passiert ist. Dann muss man sich die Frage stellen, wie man mit der Lösegeldforderung umgeht. Das kann man sich vorstellen wie bei einem großen Entführungsfall oder einer Geiselnahme. Es muss jetzt geklärt werden: Zahle ich das, zahle ich das nicht? Kann ich die Zahlung nachverfolgen, wenn ich sie leiste? Das BSI hat entsprechende Incident-Response-Teams, die eingeschaltet werden können.
Haben Sie so eine Attacke, die kurz vor der wichtigsten Geschäftszeit des Jahres stattgefunden hat, schon mal gesehen?
Nein, so etwas habe ich noch nicht gesehen. Sofern ich mich nicht irre, hat es so etwas in Deutschland noch nicht gegeben. Das würde ich in einer anderen Klasse einsortieren als die doch eher zufälligen Attacken auf ein Krankenhaus hier und eine Verwaltung dort.
Im Zuge der Coronakrise haben wir immer wieder davon gelesen, dass die Attacken zugenommen haben – sind wir überhaupt auf sowas vorbereitet?
Das ist eine gute Frage! Ich würde sagen, wir sind inzwischen eigentlich gut aufgestellt. Jedenfalls viel besser als das noch vor drei bis vier Jahren der Fall war. Was wir nie erreichen werden, ist hundertprozentige Sicherheit. Ich kann in diesem konkreten Fall nicht beurteilen – und das steht mir auch gar nicht zu –, ob die Erpresser einfach Glück hatten, oder ob sie vielleicht schon seit zwei Jahren im System drin waren. Es kann auch sein, dass kurzfristig eine Schwachstelle im IT-System des Konzerns gefunden wurde.
Sie sagten, dass es durchaus sein kann, dass Hacker schon seit Jahren in dem System drin sind. Kommt das öfters vor?
In manchen Fällen sogar noch länger. Wir haben in einem System schon Spuren von Schadsoftware gefunden, die über sechs Jahre dort schlummerte.
Das klingt nach einem Katz- und Maus-Spiel. Kann man das gewinnen?
Ja, ich glaube, dass die Hürden für Angreifer immer höher werden. Technisch und organisatorich können Unternehmen sehr viel gegen eine Cyberattacke tun. Eigentlich kann man es auch andersrum drehen: Bislang haben wir eher sehr wenige Attacken erlebt, die sich in dieser Größenordnung abspielen. Über große Attacken, die abgewehrt wurden, berichtet natürlich niemand. Zudem verfolgen und fassen die Ermittlungsbehörden Täter viel schneller, denken Sie an die kürzlich erfolgreiche Aktion gegen die Initiatoren von Kaseya/REvil oder die Beschlagnahmung eines großen Teils des Bitcoin-Lösegelds der Colonial-Pipeline-Attacke.
Kennen Sie schon unseren Newsletter „Die Woche“ ? Jeden Freitag in ihrem Postfach – wenn Sie wollen. Hier können Sie sich anmelden
