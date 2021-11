Erst lief die Maschine langsamer, dann blieb sie stehen. „Ein Erpresser war ins Firmennetzwerk des Lebensmittelherstellers eingedrungen und hatte das Rezept verändert. Die Masse härtete in der Maschine aus, und die Produktion stand“, sagt Tobias Ruthe. Der Gütersloher ist Mitinhaber des Hildesheimer Sicherheitsunternehmens InCyTect und darauf spezialisiert, Unternehmen in Krisen zu unterstützen – oder es im besten Fall gar nicht erst zu einer Krise kommen zu lassen.

Der Ostwestfale war Soldat bei der Marine, studierte Politik und arbeitete einige Jahre beim Bundesnachrichtendienst (BND). Das half ihm, als er vor mehr als zehn Jahren den Staatsdienst verließ und in einem klassischen Unternehmen für Krisenmanagement anheuerte. „Ich habe oft im Auftrag von Reedereien mit nigerianischen Piraten verhandelt, um die Crews freizubekommen“, sagt Ruthe. Aber auch mit klassischen Lebensmittelerpressern, die Produkte in Supermärkten vergiften, hatte der Gütersloher regelmäßig zu tun.

Piraterie und Lebensmittelerpressung gibt es nach wie vor, und Ruthe ist weiter als Fachmann gefragt. Unlängst verhandelte er für einen niederländischen Reeder in Afrika mit den Entführern eines Frachtschiffs. Aber der Schwerpunkt seiner Arbeit, sagt Ruthe, sei heute ein anderer – und da werde das Lösegeld auch nicht mehr bar überbracht. „Vor mehr als zehn Jahren nahm das an Fahrt auf, was wir heute Cyber-Kriminalität nennen. Die beginnt mit Millionen einfacher Phishing-Mails, die jemand in der Hoffnung verschickt, dass irgendein Empfänger einen Link in der Mail anklickt und ihm so den Zugang zu sensiblen Daten wie der Konto-PIN ermöglicht. Aber Cyber-Kriminalität kann eben auch viel subtiler sein und bedeuten, dass jemand gezielt ein Unternehmen oder einen Mitarbeiter aus der Abteilung Forschung und Entwicklung angreift, um Geld zu erpressen oder Forschungsergebnisse zu stehlen.“

Sicherheitsberater Tobias Ruthe. Foto: Christian Althoff

Als er erkannt habe, dass dieses Kriminalitätsfeld boome, habe er in diesem Jahr mit Partnern die InCyTect GmbH gegründet.

Jedes Unternehmen wisse, dass es angegriffen werden könne, und die meisten täten auch etwas dagegen, sagt Tobias Ruthe. „Aber oft ist die Geschäftsführung mit Fragen zur IT-Sicherheit überfordert. Sie verlässt sich auf ihren IT-Leiter, der aber in den seltensten Fällen das Wissen eines Top-Hackers hat.“ Und mit solchen Tätern sei die Wirtschaft zunehmend konfrontiert. „Dort, wo wir eine große Start-Up-Szene haben, etwa in Israel und Teilen Osteuropas, bilden sich Hacker-Kollektive mit einer enormen Kreativität.“

Um annähernd Waffengleichheit herzustellen, setze InCyTect Datenexperten ein, „die sicher zum Top-Segment zählen“, wie Ruthe sagt. Sie würden nicht erst bei Angriffen tätig, sondern idealerweise vorher. „Wir haben kürzlich ein Maschinenbauunternehmen überprüft und etwa 40 Schwachstellen entdeckt, über die jemand in die Firmen-IT hätte eindringen können.“ Gelegentlich seien das Schwachstellen, die die wenigsten im Fokus hätten. „Das sogenannte Internet of Things kann für Firmen eine Bedrohung darstellen – etwa ein moderner Kühlschrank, der mit dem Firmen-WLAN verbunden, aber unzureichend gesichert ist.“

In einem anderen Unternehmen sei die Dateninfrastruktur zwar gut gegen Angriffe aus dem Internet geschützt gewesen, aber eine Schwachstelle habe es trotzdem gegeben: „Die Überwachungskameras an den Außenwänden hingen direkt am Netzwerk. Man konnte ihren Stecker nutzen, um einen Laptop anzuschließen.“

Krisenkommunikation gefragt

Legten Erpresser mit ihrem Angriff Teile eines Unternehmens lahm, indem sie etwa Datenbanken verschlüsselten, sei Krisenkommunikation gefragt, sagt Tobias Ruthe. „Auf keinen Fall sollte man sofort Lösegeld zahlen.“ Auch, weil in Fällen, in denen die Erpressung früh publik geworden sei, Trittbrettfahrer versucht hätten, an Geld zu kommen.

Ruthe: „Wir nehmen als Erstes Kontakt mit den Tätern auf und verlangen von ihnen den Beweis, dass sie die Verschlüsselung rückgängig machen können. Parallel dazu suchen wir nach den Einfallstoren, durch die die Hacker hereingekommen sind.“ Außerdem werde der Schaden berechnet, der durch den Angriff entstanden sei oder noch entstehen könne. „So kann man abschätzen, in welcher Höhe eine Lösegeldzahlung vertretbar sein kann.“ Aber auch die Zahlung selbst sei für manches Unternehmen ein Fallstrick: „Die US-Regierung hat Wirtschaftssanktionen gegen bestimmte Länder und Organisationen verhängt. Zahlt ein Unternehmen direkt an einen Täter aus so einem Umfeld, kann es auf die Sanktionsliste kommen. Deshalb müssen wir dann andere Wege finden.“

Neben finanziellen Interessen gehe es bei IT-Angriffen auch um Wirtschaftsspionage – auch durch Staaten, die ihre eigenen Unternehmen fördern wollten. Der Maschinenbau sei für diese Täter eine besonders interessante Branche. „Dabei erleichtern soziale Netzwerke Angreifern oft die Arbeit“, sagt Ruthe. „Wenn ich bei Xing oder ­LinkedIn lesen kann, wer bei einem Maschinenbauer in der Entwicklung arbeitet, habe ich es einfacher.“ Solche Mitarbeiter seien auf Geschäftsreisen potentielle Ziele: „Gelegentlich wird die Laptop-Festplatte schon am Flughafen kopiert. Es gibt aber auch Fälle, in denen der Gast ein präpariertes Hotelzimmer bekommt, in dem Kameras ihn beim Bedienen seines Laptops filmen. So kommen Spione an Passwörter.“

Schwachstellen könnten in Einzelfällen auch entstehen, wenn es Forschungskooperationen zwischen Unternehmen und Universitäten gebe und beide Partner nicht den gleichen Sicherheitsaufwand betrieben. „Wir haben kürzlich in einer Universität eine Sicherheitslücke entdeckt, weil sich eine Fakultät ihren Server mit Festplatten aus dem Media Markt selbst zusammengebaut hatte. Zum Glück waren das Geisteswissenschaftler, die keine sensiblen Daten gespeichert hatten.“