Erster Cyber-Toter in Deutschland

Deutsche Unternehmen schlampern bei der Cybersecurity

13.10.2020
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Die Zahl an Cyber-Angriffen mit Malware wie Ransomware steigt ständig. Doch deutsche Unternehmen vernachlässigen die einfachsten Sicherheitsmaßnahmen. Im September 2020 kostete dies ein erstes Todesopfer.
Den ersten Cyber-Toten gab es in Deutschland im September 2020 als ein Krankenhaus seine Patienten nach einem Cyber-Angriff verlegen musste.
Den ersten Cyber-Toten gab es in Deutschland im September 2020 als ein Krankenhaus seine Patienten nach einem Cyber-Angriff verlegen musste.
Foto: thelefty - shutterstock.com

Die Zahl der Cyber-Angriffe hat in Deutschland in den letzten Monaten einen neuen Höchststand erreicht. Eine Erklärung dafür ist laut Bundeskriminalamt (BKA), dass der Trend zum Homeoffice in der Coronakrise einen perfekten Nährboden für die Cyber-Kriminalität schaffe (siehe auch "BKA schlägt Hacker-Alarm"). Doch nicht nur das, wie Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), ergänzt.

Nach seinen Worten hat sich die Cyber-Kriminalität mittlerweile zu einem einträglichen Geschäft für die Organisierte Kriminalität entwickelt, mit dem mehr Geld verdient wird als mit dem Drogenhandel. Und der Angreifer von heute hat laut Schönbohm nichts mehr gemeinsam mit dem Klischee vom übermüdeten Hacker im Pullover im abgedunkelten Zimmer, "sondern heute agieren hochspezialisierte Banden".

Jeder vierte Versicherte hat Cyber-Schäden

Die Organisierte Kriminalität verdient mittlerweile mit Cybercrime mehr Geld als mit dem Drogenhandel.
Die Organisierte Kriminalität verdient mittlerweile mit Cybercrime mehr Geld als mit dem Drogenhandel.
Foto: ShutterstockProfessional - shutterstock.com

Angesprochen auf die Bedrohungslage in Deutschland ist der BSI-Präsident davon überzeugt, dass wir in den nächsten Jahren einen weiteren Anstieg an Angriffen sehen werden, "zumal wir viele Bereiche noch gar nicht digitalisiert haben, aber auf der anderen Seite jeden Tag Hundertausende neue Schadsoftware entsteht". Auch bei der Allianz blickt man in Sachen Cyber-Kriminalität eher pessimistisch in die Zukunft.

Laut Allianz Risk Barometer 2020 ist Cybercrime mittlerweile eines der größten Geschäftsrisiken weltweit und in Deutschland. Eine Entwicklung, die auch die Allianz Global Corporate & Specialty (AGCS), der Industrieversicherer der Allianz, registriert: Zu jeder vierten Cyberpolice, die in Deutschland verkauft werde, gebe es im Schnitt einen gemeldeten Schaden. Vor zwei Jahren war es noch jede zehnte Police.

Schadenssummen steigen

Der Trend zu mehr Cyber-Erpressungsfällen mit Ransomware hält leider auch 2020 an.
Der Trend zu mehr Cyber-Erpressungsfällen mit Ransomware hält leider auch 2020 an.
Foto: JMiks - shutterstock.com

Gleichzeitig steigt dabei auch die Schadenssumme pro Vorfall wie Bettina Dietsche, als Vorstandsmitglied der AGCS für Operation und IT verantwortlich, berichtet. Hierzulande betrug der höchste Schaden bislang rund zehn Millionen Euro, weltweit wurden bereits Schadensfälle in Höhe von ungefähr 80 Millionen Euro gemessen. In das Verhältnis zum Unternehmensumsatz gesetzt, betrug der größte Schaden fünf Prozent des Umsatzes.

Und viele Unternehmen sind mittlerweile nicht nur einmal von einem Cyber-Vorfall betroffen, sondern mehrfach: Einen Versicherungsnehmer der Allianz traf es gleich siebenmal. Grundsätzlich sieht Dietsche für 2020 einen Trend zu deutlich mehr Cyber-Erpressungsfällen, während die Schäden im E-Payment-Bereich zurückgingen.

Arbeiten in der IT nur Dilettanten?

Das Erschütternde an diesen Zahlen ist, dass die Cyber-Schäden oft durch einfachste Maßnahmen zu verhindern gewesen wären. So lesen sich die Schadensfälle häufig wie ein Tagebuch von IT-Dilettanten:

  • Computer mit unverschlüsselten Gesundheitsdaten werden gestohlen

  • Web-Server mit Software aus 2007 werden gehackt. Der Hersteller der Software ist längst insolvent

  • Nicht separierte Backups werden von Verschlüsselungs-Trojanern befallen

  • Von mehreren Mitarbeitern gemeinsam genutzter Ebay-Account eines Retailers wird übernommen

  • Die komplette Personalliste mit Gehältern und Steuernummern wird an Externen verschickt

  • Aufgrund deaktivierten Mail-Filters legt Emotet-Angriff große Teile eines Versicherungsnehmers lahm.

Patchen - nicht notwendig?

Und nach wie vor sind viele deutsche Unternehmen Patch-Muffel. Anders kann sich der BSI-Präsident nicht erklären, warum in Deutschland noch immer Tausende von Server zu finden sind, auf denen sicherheitskritische Patches - etwa für Microsoft oder Citrix - noch nicht aufgespielt sind, obwohl sie teilweise seit neun Monaten und länger verfügbar sind.

So fand das BSI, so eine Presseerklärung vom 7. Oktober 2020, in Zusammenarbeit mit dem Unternehmen Rapid 7 in Deutschland noch immer rund 40.000 Exchange-Server, auf denen ein kritisches Sicherheits-Update vom Februar 2020 noch nicht installiert war. Und im September 2020 wiesen noch immer 80 Netze von deutschen Unternehmen Sicherheitslücken in ihren Citrix-Lösungen auf, für die es seit Januar 2020 einen Patch gibt. Das CERT-Bund (Computer Emergency Response Team) kontaktiert die betroffenen Unternehmen mittlerweile per Briefpost.

Über eine nicht gepatchte VPN-Software griffen Hacker das Uniklinikum Düsseldorf an. Dabei war die Klinik lediglich ein Kollateralschaden, denn eigentlich wollten die Angreifer die Uni selbst treffen.
Über eine nicht gepatchte VPN-Software griffen Hacker das Uniklinikum Düsseldorf an. Dabei war die Klinik lediglich ein Kollateralschaden, denn eigentlich wollten die Angreifer die Uni selbst treffen.
Foto: igorstevanovic - shutterstock.com

Diese Patch-Nachlässigkeit forderte in Deutschland im September 2020 den ersten Cyber-Toten. Hacker hatten damals über eine nicht gepatchte Citrix-Software das Universitätsklinikum Düsseldorf (siehe "Hacker kamen über VPN-Schwachstelle") mit Malware aus der Familie DoppelPaymer angegriffen und wollten umgerechnet 870.000 Euro in Bitcoins erpressen.

Das Krankenhaus musste seinen Betrieb einstellen und deshalb Patienten verlegen, wobei es zu einem Todesfall kam. Mittlerweile ermittelt nach einem Bericht des WDR die Zentral- und Ansprechstelle Cybercrime (ZAC) bei der Staatsanwaltschaft Köln wegen fahrlässiger Tötung gegen Unbekannt. Dabei war die Klinik lediglich ein Kollateralschaden, denn eigentlich wollten die Angreifer die Uni selbst treffen.

Allerdings ist der fahrlässige Umgang mit dem Thema Cybersecurity kein rein deutsches Problem, wie ein Blick auf die Liste erfolgreicher Hacks allein im September 2020 zeigt. Zu den prominenten Opfern zählten dabei nach einem Bericht des ORF etwa der Schweizer Uhrenbauer Swatch (37.000 Beschäftigte, rund 8,5 Milliarden CHF Umsatz), die französische Großreederei CMA CGM (29.000 Beschäftigte, über 30 Milliarden Dollar Umsatz), die US-amerikanischen Krankenhauskette Universal Health Services (90.000 Beschäftigte, über 11 Milliarden Dollar Umsatz, über 400 Krankenhäuser) sowie mit Arthur J. Gallagher (31.000 Beschäftigte, rund 6 Milliarden Dollar Umsatz) einer der weltweit größten Versicherungsbroker.