Menü
Oberhessische Presse | Ihre Zeitung aus Oberhessen
Anmelden
Marburg Frank Sommerlad: „Erpressung ist das Kerngeschäft der Hacker“
Marburg Frank Sommerlad: „Erpressung ist das Kerngeschäft der Hacker“
Partner im Redaktionsnetzwerk Deutschland
14:00 14.07.2021
Immer häufiger nehmen Hacker Unternehmen ins Visier, um diese zu erpressen.
Immer häufiger nehmen Hacker Unternehmen ins Visier, um diese zu erpressen. Quelle: Sina Schuldt
Anzeige
Marburg

Eine Hacker-Attacke sorgte vergangene Woche für weltweites Aufsehen: Die Gruppe „REvil“ hatte eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya genutzt, um dessen Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld verlangt. Für die Rekordsumme von 70 Millionen Dollar wollte die Gruppe den „Generalschlüssel“ zum Entsperren der Daten herausgeben. Durch den Angriff war unter anderem die schwedische Supermarktkette Coop lahmgelegt worden: Mehr als 800 Filialen mussten nach dem Hack geschlossen bleiben.

In Deutschland waren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge ein IT-Dienstleister und mehrere seiner Kunden betroffen. Es handele sich um einige tausend Computer bei mehreren Unternehmen, hatte ein Sprecher erläutert. Bundesbehörden und Einrichtungen der kritischen Infrastruktur „von einer meldepflichtigen Größe“ seien nach Kenntnis der Regierung nicht betroffen, sagte eine Sprecherin des Bundesinnenministeriums noch am Montag vergangener Woche.

Auch, wenn dieser Hackerangriff durchaus spektakulär ist: Es trifft nicht nur Großunternehmen. Das haben zwei Beispiele in den vergangenen Wochen und Monaten in Mittelhessen gezeigt: Zunächst war die Supermarktkette Tegut Ende April ins Visier von Cyberkriminellen geraten, dann die Möbelhaus-Gruppe Sommerlad (die OP berichtete jeweils). Vom Angriff auf Tegut sind zwischenzeitlich auch gestohlene Kundendaten im „Darknet“ aufgetaucht. Damit wollen die unbekannten Täter den Druck auf das Unternehmen erhöhen und „Verunsicherung bei Kunden, Mitarbeitenden und Lieferanten provozieren (...), um ihre Forderungen durchzusetzen“, wie Tegut-Geschäftsführer Thomas Gutberlet damals erklärte. Zu Details dieser Forderungen machte das Unternehmen keine Angaben.

Kundendaten von Sommerlad sind noch nicht aufgetaucht

Kundendaten von Sommerlad sind bisher noch nicht aufgetaucht, wie Geschäftsführer Frank Sommerlad im Gespräch mit der OP erläutert. Zwar hatte das Unternehmen seine Kundschaft aus Sicherheitsgründen dazu aufgefordert, ihre Passwörter zu ändern. „Aber insgesamt sind die hinterlegten Kundendaten wie Adresse und Telefonnummer für die Hacker eher uninteressant. Es sind ja keine Kontodaten oder Ähnliches hinterlegt“, so Sommerlad. „Es ging nur darum, unseren Betrieb lahmzulegen. Denn Erpressung ist das Kerngeschäft der Hacker.“ Immerhin sei das Unternehmen „relativ schnell wieder handlungsfähig“ gewesen, sagt er. Doch sei insgesamt die Wiederherstellung der Struktur „ein Marathonlauf und kein Sprint“, bis alles wieder zu 100 Prozent einsatzfähig sei, „wird es schon noch seine Zeit dauern“, so der Geschäftsführer. Gerade die automatisierten Systeme, „an die man sich gewöhnt hat und die das Arbeiten vereinfachen – wie etwa das automatische Scannen von Rechnungen – laufen noch nicht komplett wieder“. Sommerlad konkretisiert: „Das Kernsystem funktioniert wieder. Aber es gibt dann entsprechende Subprogramme für die Automatisierung, die erst später wieder online gehen.“ Datenbanken müssten reaktiviert und rekonstruiert werden, „dahinter steckt ein Riesenaufwand und eine gewaltige Arbeit“.

Relativ schnell sei nach dem Angriff klar geworden, wie die Hacker eindringen konnten: Durch eine manipulierte Mail – und zwar eine, die augenscheinlich aus einer bereits laufenden Kundenkorrespondenz abgegriffen wurde. „Darauf wäre jeder hereingefallen, denn es war keine dummdreiste Spam-Mail, sondern ein echter Dialog“, sagt Sommerlad. Dieser sei quasi gekapert worden. Mit der Folge, dass die Hacker der Gruppe „Darkside Inc.“ es schafften „80 unserer Server auf einen Schlag zu verschlüsseln und die Back-ups in drei Rechenzentren zu löschen“. Die Datenforensiker, die mit der Wiederherstellung der Daten beschäftigt sind, hatten zwischenzeitlich auch eine entsprechende Textdatei gefunden, dass man dem Unternehmen nichts Böses wolle – sondern ein Lösegeld für die Freigabe der Daten fordere.

Darauf ließ sich Sommerlad nicht ein – denn es gab noch ein Back-up, auf das die Hacker keinen Zugriff hatten. Dieses lässt sich zwar laut dem Unternehmer nicht einfach 1:1 wieder herstellen. „Zur Sicherheit werden alle Daten fünffach gescannt“, so Frank Sommerlad. Denn die Hacker seien schon „länger als zehn Tage vor dem echten Angriff in unserem System aktiv. Man muss also alles abreißen und nach und nach wieder aufbauen, weil man nicht weiß, wo noch kompromittierender Code versteckt sein könnte“.

Zwar werde das Unternehmen jetzt weitere Schutzvorkehrungen treffen – etwa durch die Anbindung an ein unabhängiges, externes Security Operations Center und die Einführung einer noch umfangreicheren Policy zum Umgang mit Zugangsdaten, externen Datenträgern und Verhaltensregeln im Umgang mit Anhängen und Links in E-Mails. „Wir werden unsere Schutzmauer jetzt noch höher bauen. Aber letztlich wird sie nie hoch genug sein – die Hacker finden immer einen Weg“, befürchtet er. „Daher baue ich zwei Häuser auf: Eines, in dem ich arbeite und lebe und ein leeres Haus, in dem nur meine Struktur steht und wo ich dann meine Daten einspielen muss“, bleibt Sommerlad bei der Analogie. Ziel müsse es sein, „binnen 24 Stunden handlungsfähig zu sein“. Was der Hack Sommerlad letztlich kosten wird, „kann ich noch gar nicht sagen. Wir mussten binnen kürzester Zeit Hunderte Festplatten austauschen“. Zudem seien die Datenforensiker seit Wochen bei der Arbeit und man baue eine neue Infrastruktur auf. „Wir werden noch bis Ende des Jahres damit beschäftigt sein.“

Von Andreas Schmidt