Wie Cyberkriminelle die IHKs lahmlegten

Der Tag beginnt mit einer Fehlermeldung. Leona-Marie Schneider kann sich am Morgen des 3. August 2022 nicht wie gewohnt an ihrem Arbeitsplatz anmelden. Sie arbeitet im Service-Center unserer IHK Lüneburg-Wolfsburg (IHKLW), das, wie sie sagt, „der erste Kontakt für alles“ ist: In der Zentrale der Geschäftsstelle gehen alle Anrufe über die allgemeine Durchwahl ein, zu Schneiders Job gehört es, diese, wie auch alle zentral einlaufenden E-Mails an die entsprechenden Fachabteilungen weiterzuleiten. Aber an diesem Mittwoch funktioniert ihr Computer auch nach etlichen Versuchen nicht so wie er soll. Von Kolleg*innen hört sie, dass es im ganzen Haus Schwierigkeiten gibt. Später informiert Hauptgeschäftsführer Michael Zeinert alle Angestellten: Es gab eine Cyberattacke auf die IHK-Organisation.

Am frühen Morgen hatte das zentrale IT-Dienstleistungsunternehmen für die IHKs in Deutschland, die IHK Gesellschaft für Informationsverarbeitung (IHK-GfI) mit Sitz in Dortmund, auffälliges Verhalten in ihren IT-Systemen bemerkt. Die gesamte Informationstechnik der IHK-Organisation wird per Monitoring-Software und durch geschulte Expert*innen überwacht. In der Regel werden dabei standardisierte Überwachungsprotokolle analysiert. Bei Auffälligkeiten wie etwa besonders großen Datenmengen, die über den Server bewegt werden, wird Alarm geschlagen.
Illustration zeigt Menschen an einem Tisch, im Hintergrund einen Hacke mit Hoodi, der hinter einem Server steht.
IT-Forensiker*innen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind sich einig: Hinter der Cyberattacke auf die IHKs stecken professionelle Hacker*innen. © Thomas Escher

Die IHK-GfI vermutet sofort einen Hackerangriff. Diesen Verdacht leitet sie an den Sicherheitsleitstand der IHK-Organisation weiter. Gemeinsam mit externen IT-Sicherheitsexpert*innen entscheidet die IHK-GfI, aus Sicherheitsgründen die Verbindung aller Industrie- und Handelskammern zum Internet zu trennen. Ein solches Vorgehen verwehrt Angreifern sofort den weiteren Zugriff auf die Systeme und verhindert insbesondere den Diebstahl oder die mögliche Verschlüsselung von Daten. Beides ist der „worst case“ für Unternehmen.

Das Telefon klingelt ununterbrochen
Im IHKLW-Service-Center funktioniert einzig noch das Telefon – und es klingelt ununterbrochen. Leona-Marie Schneider ist die folgenden Tage damit beschäftigt, zu erklären, vertrösten und sich per Hand Notizen zu besonders wichtigen Anliegen zu machen. Die meisten Anrufenden sind verständnisvoll. Schneider kann zwar Anrufe annehmen, sie aber weder an Kolleg*innen durchstellen, noch elektronische Rückrufnotizen einstellen.

Grundsätzlich ist die IHK-Organisation schon lange auf mögliche Angriffe vorbereitet. IT-Spezialist*innen arbeiten eng vernetzt in sogenannten Cyber Emergency Response Teams (IHK-CERT), um Angriffe möglichst im Vornherein zu verhindern oder notfalls umgehend reagieren zu können. Doch ein gewisses Restrisiko bleibt immer. Gerade bei einer Organisation wie der IHK mit 79 Standorten, unterschiedlichen IT- und Service-Partner*innen und 11.000 Mitarbeitenden ist ein Hackerangriff trotzdem „nie 100-prozentig auszuschließen“, so Julian Krings von der IHK-GfI.

Das Problem: Viele Trojaner und Spähprogramme tarnen sich beispielsweise als harmlose E-Mails mit Anhang oder Downloadlink. Wird dieser dann angeklickt oder heruntergeladen, kann sich ein Virus im schlimmsten Fall in einer gesamten Unternehmens-IT verbreiten. Deshalb muss schnell reagiert werden.
Illustration zeigt Mann, der an Nullen und Einsen herumschraubt.
Die Trennung der IHKs vom Internet war nach Einschätzung von Expert*innen notwendig, um Datenspionage und Sabotage zu verhindern. © Thomas Escher

Durch das Trennen des IHK-Systems vom Internet kann die IHK-GfI den Angriff stoppen. Jedoch ist damit auch für alle anderen der Zugriff unmöglich. Die IHK-CERT macht sich sogleich daran, das Geschehen zu untersuchen. Wer waren die Angreifenden? Und was wollten sie?

Unterdessen ist Schneider im Service-Center damit beschäftigt, längst digitalisierte Prozesse plötzlich wieder analog anzugehen. Für den Außenwirtschaftsbereich muss alles wieder auf Papier gemacht werden. Formulare treffen in den Tagen plötzlich wieder per Post statt als Mail ein, Schneider muss Unterschriften kontrollieren, Kopien anfertigen und abheften. Ursprungszeugnisse und andere Außenwirtschafts-Bescheinigungen können nur noch über entsprechende Vordrucke beantragt werden. Da es strenge Bestimmungen für manche Vorgänge gibt, dauert alles viel länger als gewohnt. Und: Der IHK-Bezirk Lüneburg-Wolfsburg ist groß – manche Mitgliedsunternehmen fahren in diesen Tagen zig Kilometer hin und her, um Dokumente persönlich in einer Geschäftsstelle abzugeben oder abzuholen. Immerhin: Die IHK-Prüfungen finden nach Plan statt, Anmelde- und Einreichfristen werden aus Rücksicht lockerer gehandhabt als sonst.

Ermittlungsverfahren gegen Unbekannt
Während andere Unternehmen Erpresserbriefe erhalten, beispielsweise mit Drohungen, sensible Daten zu veröffentlichen oder das IT-System zu sperren, passiert in den IHKs nach dem Herunterfahren des gesamten Systems erst einmal: nichts. Die Sicherheitsleitstelle der IHK-Organisation schaltet dennoch am 4. August das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein. Das BSI kann vielfältig unterstützen, zum Beispiel mit technischen Analysen oder sogar mit Vor-Ort-Einsatz des sogenannten Mobile Incident Response Teams (MIRT). Außerdem, so ein Sprecher des BSI, biete das Bundesamt „mit einer Liste an qualifizierten APT-Response-Dienstleistern eine Hilfestellung bei der Suche und Auswahl geeigneter Dienstleister, um die Unternehmen im Ernstfall von einem eigenen zeitintensiven Rechercheaufwand zu entlasten“.

Auch die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) in Köln wird eingeschaltet. Unter dem Aktenzeichen 240 UJs 70/22 läuft dort ab sofort ein Ermittlungsverfahren wegen Computersabotage gemäß Paragraf 303b des Strafgesetzbuchs. Das Verfahren richtet sich gegen Unbekannt.
Illustration zeigt Mann auf Leiter, der an einer Wolke herumschraubt.
Die IT-Spezialist*innen prüfen alle Systeme ausführlich. © Thomas Escher

Die IHK-CERT und das BSI standen schon vor dem Angriff in Kontakt. Experte Julian Krings weiß: „Bei der Aufklärung eines solchen Cyberangriffs geht es auch um Täterattribution.“ Das bedeutet: Jede Information, jede hinterlassene Spur, die zur Identifikation der Angreifenden nützlich sein kann, wird nun zurückverfolgt und ausgewertet. Das BSI kann in einem solchen Fall am besten helfen, weil dort schon umfangreiche Informationen zu anderen Vorfällen vorliegen.

Weil alle IHKs vom Internet getrennt sind, funktionieren viele Dinge auch in anderen Abteilungen wochenlang, manche sogar monatelang nicht wie gewohnt: Es können weiterhin keine Mails verschickt werden, auf Kalender- und Planungsfunktionen ist kein Zugriff, die Websites der IHKs sind nicht ansteuerbar, Anmeldungen zu Fort- und Weiterbildungen nicht möglich. Das alles ist jedoch immerhin nur eine Auswirkung der Abwehrmaßnahmen. Das Ausmaß der Einschränkungen ist laut Julian Krings bundesweit unterschiedlich. Die Systeme seien zwar bereits kurz nach Entdeckung des Angriffs wieder hochgefahren worden, der Prozess zieht sich allerdings bis ins laufende Jahr hinein.

Die IT-Spezialist*innen prüfen alle Systeme ausführlich. Erst als sie von ihrer Sicherheit überzeugt sind, werden die Systeme wieder in Betrieb genommen. Bestehende Ausbildungsunternehmen können – nach Vergabe eines neuen Passworts – online wieder Ausbildungsverträge ausfüllen. Während das Digitale Berichtsheft für Ausbildungsverantwortliche und Azubis nicht oder nur eingeschränkt nutzbar ist, können Ursprungszeugnisse für den Außenhandel wieder digital beantragt werden. Auch andere Abteilungen können nach und nach wieder wie gewohnt ihre Arbeit erledigen.

Leona-Marie Schneider kann erst Wochen später wieder einigermaßen wie vorher arbeiten – als eine der ersten in unserer IHKLW. Mit ihren Kolleg*innen kommuniziert sie bis dahin vor allem über die verschlüsselte „Signal“-App auf ihrem Privathandy.

Profis stecken hinter dem Angriff
Julian Krings ist bis heute überzeugt: „Es gab keinen Abfluss von IHK-Fachdaten auf den Systemen der IHK-GfI.“ Intern werden weiter entsprechende Schlüsse aus der Attacke gezogen. Unter anderem werden sämtliche Sicherheitsstandards in der gesamten Organisation noch einmal deutlich erhöht. Risiken sollen durch geeignete Maßnahmen im Vorfeld weiter begrenzt und Strategien für einen schnelleren Wiederanlauf bereitgestellt werden. Zu den Details hält man sich aus Sicherheitsgründen jedoch bedeckt.

Auch das BSI bewertet den „IT-Sicherheitsvorfall“, wie es den Angriff nennt, nicht öffentlich. Allgemein, heißt es von der Behörde, gingen aber nicht nur von Randomsoftware Gefahren aus.

Bis jetzt lassen sich manche Aufgaben von Schneider nur eingeschränkt erledigen. Um zum Beispiel für Rentenbescheinigungen in die Altdatenarchive zu gelangen, muss sie zum Teil das System wechseln. Überwiegend funktioniert Anfang März 2023 – sieben Monate nach dem Hackerangriff – aber alles wie vorher. Nach den bisherigen Erkenntnissen der IT-Forensiker und des BSI stecken Profis hinter dem Angriff. Ihre Vorgehensweise deutet auf versuchte Datenspionage und Sabotage hin. Die Frage nach der Intention lasse sich jedoch auch nach Abschluss der Datenforensik nicht beantworten, heißt es von den Spezialist*innen. Eine Lösegeldforderung, die einen finanziell motivierten Hintergrund vermuten lassen würde, liegt bis heute nicht vor.

Staatsanwalt Christoph Hebbecker von der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen in Köln bestätigt, dass es sich nach Stand der Ermittlungen „um einen extrem professionellen und technisch anspruchsvollen Angriff gehandelt hat“, die Ermittlungen dauern an. Anne Klesse