Erpressung, Datendiebstahl und Betrug sind die Hauptbedrohungen durch Cyberkriminelle. Die schlechte Nachricht: Alle Händler können Opfer werden. Die gute: Es gibt Schutz, wenn auch nicht zu hundert Prozent.
Patric Spethmann war erst ein paar Tage als Chief Operating Officer beim Modehersteller Marc O’Polo, da schlugen die Cyberkriminellen zu. Wie sich später herausstellte, waren sie schon ein halbes Jahr in den Systemen unterwegs gewesen und hatten sich diesen Freitag, den 13. September 2019, wohl mit Bedacht ausgesucht: Am Tag vorher hatte das Unternehmen Betriebsfest gefeiert, der Angriff mit Ransomware (also Erpresser-Software) in den frühen Morgenstunden traf Marc O’Polo sozusagen leicht verkatert.
Aber mit voller Wucht: Alle Systeme waren verschlüsselt, auch die Back-ups. Kein einziger Computer ging mehr, keine Kasse in den eigenen Läden. „Wir hatten nichts“, sagte Spethmann im Mai während der „EHI-Session Cybersecurity“ des EHI Retail Instituts. Nicht mal E-Mail und Telefon. Vor den Läden standen die Kunden, vor den Lagern stauten sich die Lkw.

© IMAGO / Shotshop
Durchschnittlich dauert es sieben Monate, bis Unternehmen einen Einbruch in ihre Systeme bemerken – viel Zeit für Angreifer zu sondieren, womit am besten Geld zu machen ist, und eine Attacke zu starten.
Für zehn Tage lahmgelegt
Zehn Tage später, am 23. September 2019, konnte Marc O’Polo den Neustart verkünden. Die wichtigsten Faktoren dieser zehn Tage: Einsatz externer Experten für Forensik und Recht, Notfallbetrieb mit Papierarbeit und Ausrüstung aus dem nächsten Elektronikmarkt, Aussortierung sämtlicher Hardware in der Zentrale, Einrichtung einer völlig neuen Domäne, Nutzung einer im Safe gelagerten Monatssicherung als Grundlage für die Rekonstruktion.
Einfallstor der Attacke sei ein Mitarbeiter gewesen, der am Flughafen unter Stress mit dem Diensthandy auf einen falschen Link geklickt habe, erzählt Spethmann. Über das so installierte Einfallstor konnten die Eindringlinge sich vortasten und Admin-Rechte sammeln. Denn ein adäquates Firewall-Konzept habe ebenso gefehlt wie vernünftige Antiviren-Software und eine Segmentierung der Netzwerke.
Zu viele Nutzer hätten Admin-Rechte gehabt, und die Passwort-Policy sei zu lasch gewesen. „Die Attacke war nichts Persönliches“, resümiert Spethmann. „Wir waren zu blöd.“
Wissen um offene Systeme wird im Darknet gehandelt
Die Geschichte von Marc O’Polo zeigt deutlich, wie professionell Kriminelle vorgehen. „Sobald Angreifer im System sind, schauen sie sich gründlich um, zum Beispiel in den Bilanzen und den Verteidigungssystemen. Dann wird überlegt, womit am besten Geld zu machen wäre. Dann wird der Angriff designt“, sagt Richard Werner, Business Consultant beim IT-Sicherheitsspezialisten Trend Micro.

© Der Handel
Branchenvergleich: Der E-Commerce ist überproportional von Bot-Attacken betroffen.
Laut Michael Deissner, CEO des IT-Sicherheits-Hauses Comforte, dauert es im Durchschnitt sieben Monate, bis Unternehmen einen Einbruch in ihre Systeme bemerken, zum Beispiel eben mit Ransomware. „Irgendwo läuft jetzt gerade der nächste große Dateneinbruch, wir kennen ihn nur noch nicht“, sagt Deissner.
Wissen um offene Systeme werde zudem im Darknet gehandelt, fügt Felix Steinmann hinzu, Co-Geschäftsführer des Betrugsbekämpfungsspezialisten Risk Ident. „Und es wird so lange genutzt, um Daten abzuziehen, bis die Lücke geschlossen ist.“
Erpressung per Ransomware ist eine der größten Bedrohungen für Unternehmen, aber bei Weitem nicht die einzige: Datendiebstähle und eine ständig wachsende Palette an Betrugsmaschen greifen Unternehmen von allen Seiten an.
Geld und Daten: Der Handel hat beides
Und der Handel gehört zu den lohnenden Angriffszielen: „Cyberkriminelle wollen Geld und Daten. Händler haben beides“, sagt Richard Werner von Trend Micro. Einheitliche Meinung aller Experten: Alle Händler haben mit Angriffen jeglicher Art zu rechnen. Einen hundertprozentigen Schutz gibt es nicht.
Das klingt bedrohlich, ist es auch, aber die gute Nachricht lautet: Man kann sich vorbereiten. „Es wird wieder geschehen“, sagt Patric Spethmann von Marc O’Polo, nachdem er die IT des Hauses umfassend umgestellt hat. „Aber nie wieder mit solcher Wucht.“
Dieser Artikel erschien zuerst in Der Handel.