4 min
Lesezeit
Der Tag der Trennung
Es ist der 3. August 2022, 10.00 Uhr: Der Himmel über Dortmund ist blau, doch in den Räumen der IHK-GfI mbH herrscht Alarmstufe rot: Hacker haben die IHK ins Visier genommen. (Von Dominik Dopheide)
Was ist passiert?
Noch hat die IHK-GfI (IHK-Gesellschaft für Informationsverarbeitung), der IT-Dienstleister der 79 IHKs, die Details zum Hergang des Angriffs nicht veröffentlicht. Das Thema sei noch nicht ganz abgeschlossen, begründet Geschäftsführer Dr. Dirk Nölken. So viel gibt er preis: Nachdem er und sein Team die verdächtige Aktion bemerkt haben, nehmen sie weitergehende Analysen vor. Sie zeigen, dass der Zugriff von einem kompromittierten Administrator-Account ausgeht. Es wird bald klar: Hier sind Profis aus der „Champions-League“ der Cyber-Kriminalität am Werk.
Wie haben IHK-Gfi und IHK reagiert?

Eine weitreichende Entscheidung steht wahrlich bevor, denn am Nachmittag tagt der Krisenstab, in dem auch die externen Spezialisten zu Wort kommen. Ihre Diagnose: Die Angreifer haben sich auf dem Server umgesehen und versucht, administrative-Rechte zu ergattern. Der Krisenstab beschließt, alle 79 IHKs sofort physikalisch vom Internet trennen. „Der Druck war erheblich, wir wussten ja, dass rund 8.000 User auf den Systemen schauen“, erinnert sich Nölken. Die IHK-GfI informiert noch Kunden und Presse, dann zieht das Team die Kabel – rechtzeitig, bevor die Täter personenbezogene Daten erbeuten oder irgendetwas verschlüsseln können. „Wir haben sie auf der Türschwelle erwischt“, sagt Nölken. Nicht nur in Dortmund laufen sofort die Handys heiß. Denn jetzt ist der Mail-Traffic, die wichtigste Verbindung zwischen den IHKs und ihren Kunden, gekappt. „Alle IHKs sind in ihrer Arbeitsfähigkeit stark beeinträchtig worden“, berichtet Klaus Hillebrands, IT-Leiter der IHK Nord Westfalen. Er nennt beispielhaft die Dokumente für die Exportgeschäfte, die Unternehmen bei der IHK normalerweise digital anfordern und erhalten können.
Der IT-Leiter ordnet damals die Workflows neu. Nicht nur die Drucker, auch Stift und Papier stehen in dieser Zeit bei der IHK hoch im Kurs. Unterdessen lässt Nölken am Tag zwei nach dem Angriff ein beinahe vergessenes SMS-Portal wieder aufleben, um für den Dialog mit den IHK-Spitzen und den IT-Leitern eine alternative Kommunikationslinie zu schaffen. „Das war archaisch, aber es hat funktioniert“, erinnert er sich. Noch am Abend nimmt in Dortmund die „AG Wiederanlauf“ ihre Arbeit auf. Ende Februar 2023 sind 240 Systeme wieder am Netz, sechs werden noch bearbeitet.
Welche Konsequenzen ziehen IHK-Gfi und IHK?
Der Wiederanlauf war zeitaufwendig, weil die IHK-Gfi die Systeme nicht nur gescannt, sondern auch gehärtet, das heißt sicherer gemacht hat. Doch hatten die Aufräumarbeiten einen Synergieeffekt. Sie haben Nölkens Team gezeigt, wo noch etwas verbessert werden kann. Jetzt hat der IHK-Verbund einem Angriff mehr entgegenzusetzen, etwa ein stärkeres Firewalling und „Cold-Standby-Lösungen“, also redundante, cloudbasierte Systeme, die nur im Notfall manuell aktiviert werden.
Zudem arbeitet die IHK-GfI mit sogenannten White-Hat-Hackern zusammen. Diese Profis führen mit ihren Attacken nur Gutes im Schilde: Sie testen die IT-Sicherheit von Unternehmen und Institutionen, damit Schwachstellen rechtzeitig identifiziert werden. Auch Software stellt die Sicherheit der IHK-Systeme permanent auf den Prüfstein: Die IHK-Gfi setzt jetzt ein sogenanntes Attack-Path-Management ein. Darunter versteht man einen Prozess, in dem ein Netzwerk fortlaufend aus dem Blickwinkel eines potenziellen Angreifers betrachtet wird. Natürlich sind auch die Mitarbeitenden gefordert. Die Routinen im Umgang mit IT sind in den IHKs laut Nölken und Hillebrands unkomfortabler geworden. Von den Admin-Rechten bis zur Passwortrichtlinie gelten deutlich härtere und strengere Standards. Die gute Nachricht: Auch die „dunkle Seite“ hat es somit schwerer.
Kontakt
Redaktion Wirtschaftsspiegel