Der Tag der Trennung

Noch hat die IHK-GfI (IHK-Gesellschaft für Informationsverarbeitung), der IT-Dienstleister der 79 IHKs, die Details zum Hergang des Angriffs nicht veröffentlicht. Das Thema sei noch nicht ganz abgeschlossen, begründet Geschäftsführer Dr. Dirk Nölken. So viel gibt er preis: Nachdem er und sein Team die verdächtige Aktion bemerkt haben, nehmen sie weitergehende Analysen vor. Sie zeigen, dass der Zugriff von einem kompromittierten Administrator-Account ausgeht. Es wird bald klar: Hier sind Profis aus der „Champions-League“ der Cyber-Kriminalität am Werk.

Nölken gibt die Devise aus, Ruhe zu bewahren und systematisch nach der Notfall-Leitlinie vorzugehen, die das Unternehmen ausgearbeitet hat. Sie sieht als erste Maßnahme vor, die relevanten Kompetenzen in einem Krisenstab zu bündeln. Ihm gehören beispielsweise die Geschäftsführung und das „Computer Emergency Response Team“ (CERT) der IHK-GfI an. Dessen dringlichste Aufgabe ist die Schadensanalyse. Zugleich werden die Back-Up-Server vom Netz genommen. Nur wenig später schaltet Nölken externe Experten ein: Denn für solche, gezielte Angriffe starker Gegner gibt es staatlich anerkannte, hochqualifizierte Security-Spezialisten, die erfahren sind in der Analyse komplexer Attacken, so genannte APT-Response-Dienstleister. Den behördlichen Meldepflichten kommt die IHK-GfI fristgemäß nach, holt das LKA und das BSI (Bundesamt für Sicherheit in der Informationstechnik) ins Boot. Sämtliche Aktivitäten und Entscheidungen lässt er protokollieren und sichert somit Informationen, die für den Wiederanlauf wertvoll sind.

Eine weitreichende Entscheidung steht wahrlich bevor, denn am Nachmittag tagt der Krisenstab, in dem auch die externen Spezialisten zu Wort kommen. Ihre Diagnose: Die Angreifer haben sich auf dem Server umgesehen und versucht, administrative-Rechte zu ergattern. Der Krisenstab beschließt, alle 79 IHKs sofort physikalisch vom Internet trennen. „Der Druck war erheblich, wir wussten ja, dass rund 8.000 User auf den Systemen schauen“, erinnert sich Nölken. Die IHK-GfI informiert noch Kunden und Presse, dann zieht das Team die Kabel – rechtzeitig, bevor die Täter personenbezogene Daten erbeuten oder irgendetwas verschlüsseln können. „Wir haben sie auf der Türschwelle erwischt“, sagt Nölken. Nicht nur in Dortmund laufen sofort die Handys heiß. Denn jetzt ist der Mail-Traffic, die wichtigste Verbindung zwischen den IHKs und ihren Kunden, gekappt. „Alle IHKs sind in ihrer Arbeitsfähigkeit stark beeinträchtig worden“, berichtet Klaus Hillebrands, IT-Leiter der IHK Nord Westfalen. Er nennt beispielhaft die Dokumente für die Exportgeschäfte, die Unternehmen bei der IHK normalerweise digital anfordern und erhalten können.

Der IT-Leiter ordnet damals die Workflows neu. Nicht nur die Drucker, auch Stift und Papier stehen in dieser Zeit bei der IHK hoch im Kurs. Unterdessen lässt Nölken am Tag zwei nach dem Angriff ein beinahe vergessenes SMS-Portal wieder aufleben, um für den Dialog mit den IHK-Spitzen und den IT-Leitern eine alternative Kommunikationslinie zu schaffen. „Das war archaisch, aber es hat funktioniert“, erinnert er sich. Noch am Abend nimmt in Dortmund die „AG Wiederanlauf“ ihre Arbeit auf. Ende Februar 2023 sind 240 Systeme wieder am Netz, sechs werden noch bearbeitet.

Der Wiederanlauf war zeitaufwendig, weil die IHK-Gfi die Systeme nicht nur gescannt, sondern auch gehärtet, das heißt sicherer gemacht hat. Doch hatten die Aufräumarbeiten einen Synergieeffekt. Sie haben Nölkens Team gezeigt, wo noch etwas verbessert werden kann. Jetzt hat der IHK-Verbund einem Angriff mehr entgegenzusetzen, etwa ein stärkeres Firewalling und „Cold-Standby-Lösungen“, also redundante, cloudbasierte Systeme, die nur im Notfall manuell aktiviert werden.

Zudem arbeitet die IHK-GfI mit sogenannten White-Hat-Hackern zusammen. Diese Profis führen mit ihren Attacken nur Gutes im Schilde: Sie testen die IT-Sicherheit von Unternehmen und Institutionen, damit Schwachstellen rechtzeitig identifiziert werden. Auch Software stellt die Sicherheit der IHK-Systeme permanent auf den Prüfstein: Die IHK-Gfi setzt jetzt ein sogenanntes Attack-Path-Management ein. Darunter versteht man einen Prozess, in dem ein Netzwerk fortlaufend aus dem Blickwinkel eines potenziellen Angreifers betrachtet wird. Natürlich sind auch die Mitarbeitenden gefordert. Die Routinen im Umgang mit IT sind in den IHKs laut Nölken und Hillebrands unkomfortabler geworden. Von den Admin-Rechten bis zur Passwortrichtlinie gelten deutlich härtere und strengere Standards. Die gute Nachricht: Auch die „dunkle Seite“ hat es somit schwerer.