Cybercrime: „Dieser Angriff hätte unser Ende sein können“
Das Smartphone in der Hosentasche, ein Chip in der Smartwatch oder eine SIM-Karte im Auto: Was im Alltag mehr Flexibilität oder bessere Erreichbarkeit bedeutet, birgt oft unbemerkte oder versteckte Risiken. Welche Gefahren das konkret sind und wie sich Privatpersonen und Unternehmen vor Angriffen auf Computersysteme und Daten schützen können, kann man lernen. Der Campus der Fachhochschule Oberösterreich in Hagenberg etwa bietet einen solchen Studiengang an. In der 3000-Einwohnergemeinde im Mühlviertel werden aber nicht nur künftige IT-Fachkräfte ausgebildet, im März 2022 wurde eine Firma unweit des Campus selbst Opfer eines digitalen Angriffs.
Meist ist es ruhig im Mühlviertel. Daran ändert auch die Polykrise aus Coronapandemie und dem russischen Angriffskrieg auf die Ukraine am 24. Februar 2022 nicht viel. Doch während die Pandemie gerade abklingt und die Welt zu begreifen beginnt, dass an den Toren Europas Krieg herrscht, planen Hacker den Angriff auf die Systeme des Forschungsunternehmens SCCH, die Software Competence Center Hagenberg GmbH. Am 1. März ist es mit der Ruhe im Softwarepark in Hagenberg plötzlich vorbei. Und das liegt nicht am Faschingsdienstag und den anstehenden Festen. Nein, seit Mitternacht befinden sich Hacker im System des Forschungsunternehmens.
„Ich habe rasch überlegt, ob es in meinem Bekanntenkreis jemanden gibt, der uns da helfen könnte. Da geht es ja auch um Vertrauenswürdigkeit.“
„Die Erstinformation habe ich um sechs Uhr in der Früh per SMS bekommen“, sagt Ernst Eibensteiner, Leiter der IT bei SCCH. Bereits zu diesem Zeitpunkt zeichnete sich ab, dass Eibensteiner und sein Team von Faschingskrapfen, Getränken und guter Stimmung relativ wenig mitbekommen werden. Das Monitoringsystem schlägt Alarm, einige Systeme des Unternehmens sind nicht mehr erreichbar. Eibensteiner startet seinen Laptop, richtet sich von zuhause aus eine VPN-Verbindung ein, viel weiter kommt er aber nicht. „Hello. All your servers are encrypted“, steht da auf seinem Bildschirm. Die Server des Unternehmens wurden verschlüsselt, für die Entsperrung fordern die Angreifer acht Bitcoins mit dem damaligen Wert von circa 40.000 Euro pro Stück. Ein Ransomware-Angriff also. Für 320.000 Euro hätte man sich freikaufen können.
Eibensteiner informiert die Geschäftsführung, anschließend erfährt die Belegschaft, dass ein Cyberangriff stattfindet. Um neun Uhr, die ersten Notfallmaßnahmen sind da bereits ergriffen, treffen sich die Bereichsleiter zur Aufgabenverteilung. „Da war mir schon klar, dass wir externe Hilfe brauchen werden“, sagt Markus Manz, der kaufmännische Geschäftsführer des SCCH. All jene, die in der Firma über die nötigen Fähigkeiten verfügen, helfen. Für alle anderen wird die Faschingsparty vorgezogen. „Eigentlich hätten wir das erst ab dem späten Nachmittag geplant, aber weil der Großteil der rund 100 Mitarbeiterinnen und Mitarbeiter eh nicht arbeiten konnte, haben wir die Feier gestartet“, erinnert sich Manz. Krapfen und Getränke also, statt KI- und Softwaresysteme für die Kunden und Partner in der heimischen Industrie zu entwickeln.
Noch vor der Mittagszeit holt sich das Forschungsunternehmen aus Hagenberg Hilfe von außen. „Ich habe rasch überlegt, ob es in meinem Bekanntenkreis jemanden gibt, der uns da helfen könnte. Da geht es ja auch um Vertrauenswürdigkeit“, sagt Manz. Und so dauert es nicht lange, bis Datenforensiker vom Beratungsunternehmen PwC Österreich Eibensteiners IT-Einheit unterstützen. Auch die Kommunikation mit den Angreifern wird an das Expertenteam von PwC ausgelagert.
Cyberangriff in Hagenberg
Am Campus der Fachhochschule Oberösterreich in Hagenberg werden nicht nur künftige IT-Fachkräfte ausgebildet, im Softwarepark haben zahlreiche Digitalunternehmen ihren Firmensitz. Auch das Software Competence Center Hagenberg. Im März 2022 haben Hacker die Systeme des Forschungsunternehmens lahmgelegt.
Tabuthema Cybercrime
Das Forschungsunternehmen aus Hagenberg ist nur eine von vielen Firmen, die in den vergangenen Jahren von einem Cyberangriff betroffen waren. Mit der Anzahl der Angriffe steigt auch das Bewusstsein für die Prävention. „In den letzten zehn Jahren ist die Awareness für Cybercrime gestiegen, wenn auch natürlich je nach Branche in unterschiedlicher Ausprägung“, erzählt Roland Pucher, Cybersicherheits-Experte von PwC. Allein 2023 gab es 20.951 Anzeigen wegen Cybercrime. Besonders oft ist von Ransomware die Rede, also von Erpressungsprogrammen, die Daten absaugen und verschlüsseln. Wie in Hagenberg. 148 Anzeigen gab es in diesem Zusammenhang im Vorjahr, wobei Experten von einer viel höheren Dunkelziffer ausgehen. Auch, weil betroffene Unternehmen kaum darüber sprechen wollen.
Auch profil bekam im Zuge der Recherche nach einer betroffenen Firma zahlreiche Absagen. Börsennotierte oder große bekannte Unternehmen halten den Ball nach einem Cyberangriff meist flach, kommuniziert wird nur so viel wie unbedingt notwendig. „Da würde sonst wahrscheinlich sehr schnell das Vertrauen sinken und jede kleine Information, die negativ sein könnte – selbst, wenn sie in der Vergangenheit liegt – wirkt sich zum Beispiel auf den Aktienkurs aus“, versucht der damals betroffene Geschäftsführer Manz eine Erklärung. In Hagenberg war das nicht der Fall, zum einen notiert das SCCH nicht an der Börse, zum anderen fokussierte sich auch die mediale Berichterstattung im März 2022 eher auf die kriegerischen Handlungen in Kyiv und im Donbass als auf den Hackerangriff im unteren Mühlviertel.
Auswirkungen hatte der Cyberangriff aber trotzdem, sagt Manz: „Unsere Systeme waren teilweise so stark betroffen, dass wir manche Partner nicht einmal anschreiben konnten, und sie agierten aufgrund des Angriffs mit Vorsicht, bei einigen waren wir auf der Blacklist. Das war wirklich mühsam, alle wieder ins Boot zu holen“, so der Geschäftsführer. Aber wie konnte es überhaupt so weit kommen? Hätte man das alles verhindern können? Und wenn ja, wie?
„Viele Unternehmen wollen vorsorgen, aber es ist aus ihrer Perspektive immer eine Abwägungssache: Was muss, kann und was will ich mir leisten?“
Bereits am Tag nach der Cyber-Attacke, am 2. März 2022, können die Datenforensiker von PwC erste Ergebnisse auswerten und analysieren, wo die Angreifer eingedrungen sind. „Das waren Lücken, wo es fehlende Sicherheitsupdates gegeben hat. Und darüber haben sich die Angreifer dann Schritt für Schritt höchste Administratorenrechte in der Firma gesichert“, sagt IT-Chef Eibensteiner. Übersetzt bedeutet das, dass von den rund 100 Servern ein extern erreichbarer Server mit einem fehlenden Sicherheitsupdate in der Anwendung ausreicht, um sich Schritt für Schritt Zugriff auf die Kerninfrastruktur zu verschaffen. Da das Unternehmen in Publikationen von Forschungsergebnissen teilweise auch auf die eigenen Systeme verlinkt hat, war ein Zugriff von außen möglich. Heute geht das nicht mehr. Ungeklärt ist jedoch nach wie vor, aus welchem Land der Cyberangriff ausgeführt wurde.
Immer mehr Firmen wollen es so weit erst gar nicht kommen lassen. „Viele Unternehmen wollen also etwas tun, aber es ist aus ihrer Perspektive immer eine Abwägungssache: Was muss, kann und was will ich mir leisten?“ Das sei wie eine Investition in Brandschutz – „Erst wenn es brennt, zeigt sich, ob die Investitionen ausreichend waren.“ Prävention ist also meistens eine undankbare Aufgabe.
EU-Auflagen gegen Cybercrime
Doch der vorsorgliche Schutz digitaler Systeme wird mittlerweile auch auf europäischer Ebene immer stärker vorgegeben. Etwa durch das Netz- und Informationssystemsicherheitsgesetz, kurz NIS2, das auf einer EU-Richtlinie beruht. Zwar ist die Überführung in nationales Recht im Parlament erst vor Kurzem gescheitert. Früher oder später wird die Richtlinie aber auch in Österreich umgesetzt werden und dann müssen bis zu 6000 öffentliche Stellen und Unternehmen ein Risikomanagement gegen Cyberangriffe erarbeiten. Dazu gehört unter anderem auch, die Belegschaft zu schulen oder ein sicheres Netzwerk zur Verfügung zu stellen. Erfüllen Firmen diese Auflagen nicht und werden dann gehackt, drohen Strafen in Millionenhöhe.
Auch der AI-Act, also die EU-Regulierung von Künstlicher Intelligenz, sieht neue Vorgaben für Firmen vor. Genauso wie DORA, der Digital Operational Resilience Act. Letzterer betrifft bestimmte Finanzunternehmen in Österreich, wobei Pucher davor warnt, dass viele Firmen indirekt davon betroffen sein könnten: „Bei DORA werden auch Cybersicherheits-Anforderungen der IT-Dienstleister sichergestellt werden müssen.“
Zurück nach Hagenberg im Mühlkreis. Dort blickt man den diversen EU-Richtlinien relativ entspannt entgegen. „Uns betrifft die NIS2-Richtlinie, wir zählen zwar nicht zur kritischen Infrastruktur, aber wir sind ein Forschungsunternehmen und dementsprechend auch davon betroffen. Wir sind beim Umsetzen dieser Vorgaben aber schon relativ weit, auch weil wir vieles nach dem Angriff bereits umgesetzt haben, schauen uns aber jetzt über den Sommer an, welche Punkte vielleicht noch adaptiert gehören“, sagt Eibensteiner. Konkret geht es um den physischen Zugang zu Serverräumen, Multi-Faktor-Authentifizierungen für die Belegschaft, Backup-Konzepte, Virenscanner und vieles mehr.
„Dieser Cyberangriff hätte auch das Ende des Software Competence Center Hagenberg sein können, inklusive der damals 100 Mitarbeiterinnen und Mitarbeiter.“
Die 320.000 Euro Lösegeld für die eigenen verschlüsselten Daten hat das SCCH übrigens nicht bezahlt. Dazu raten auch Expertinnen, denn zum einen gilt es, das Geschäftsmodell der Angreifer nicht zu unterstützen, zum anderen gibt es keine Garantie, dass nach Bezahlung der Forderung alles wieder funktioniert. Mit einem belegbaren Schaden von 150.000 Euro – Arbeitsstunden oder auch neue Geräte, die eindeutig dem Cyberangriff zugerechnet werden können – und ebenso hohen nachgelagerten Kosten liegt die Firma mit mehr als 300.000 Euro dennoch nahe an den Forderungen der Angreifer. Rückblickend spricht Manz von Glück. Zum einen sei der Imageschaden nicht so groß ausgefallen, zum anderen komme auch die positive Aufarbeitung des Vorfalls bei allen Partnern und Kunden gut an. „Das war damals aber nicht absehbar, das hätte auch das Ende des Software Competence Center Hagenberg sein können, inklusive der damals 100 Mitarbeiterinnen und Mitarbeiter“, sagt Manz.
Anderen Unternehmen empfiehlt der Geschäftsführer einen Offline-Notfallplan, der auch griffbereit ist, wenn man keinen Zugang mehr zu den digitalen Systemen hat. Und: „Sich jetzt Gedanken zu machen, wer der Partner für den Ernstfall sein könnte“, empfiehlt Manz, „weil, dass ich damals jemanden gekannt habe, war ein Zufall. Und dem Zufall würde ich jetzt echt nichts mehr überlassen.“