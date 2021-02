INTERNETKRIMINALITÄT «In acht von zehn Fällen kommen wir rein» – Im Kampf gegen Verbrecher attackieren gute Hacker Unternehmen in deren Auftrag Cyberangriffe nehmen zu, in der Schweiz und weltweit. Stefan Mettler von der Thurgauer Firma Cryptron Security kennt die Schwachstellen. Er testet mit Attacken die IT-Sicherheitsarchitektur von Unternehmen auf Schwachstellen. Und ob Mitarbeitende die Finger lassen von dubiosen E-Mails. Thomas Griesser Kym 13.02.2021, 05.00 Uhr

In der Industrie werden immer mehr Systeme vernetzt. Das bietet Cyberkriminellen eine grössere Angriffsfläche. So wurde auch Stadler gehackt, im Mai 2020. Im Bild das spanische Stadler-Werk in Valencia. Bild: Pau Barrena/ Bloomberg (22. November 2016)

Stefan Mettler ist ein Hacker. Aber kein Krimineller, sondern einer von den Guten. Der 37-jährige Gründer und Chef der Aadorfer IT-Sicherheitsfirma Cryptron Security und sein Team attackieren Unternehmen in deren Auftrag. Das Ziel: Testen der IT-Sicherheitsarchitektur, Identifizierung von Schwachstellen bei Cyberangriffen und Analyse der Risiken. Er sagt:

«In acht von zehn Fällen kommen wir rein.»

An einer Onlineveranstaltung des Kaufmännischen Verbands Ostschweiz gab Mettler am Dienstagabend Einblick in seine Tätigkeit. Seine Kunden stammen aus allen Branchen, von der Industrie über Pharma, Banken, Versicherungen und Medien bis hin zu Spitälern und der öffentlichen Hand.

Der Gute attackiert im Stile eines Bösen

Mehrheitlich wird Mettler zwecks Prävention gebucht. Dann setzt er zum Beispiel zu einem Penetrationstest der IT-Systeme des Kunden an. Dazu verschickt er beispielsweise Phishingmails mit einem maliziösen Link und schaut, wie viele Mitarbeitende drauf klicken. Oder er unterzieht das System einem Stresstest und stoppt die Minuten, bis das E-Banking oder der Webshop abstürzen. Mettler sagt:

«Das kann versicherungstechnisch eine wichtige Rolle spielen.»

Kontakt hatte Mettler auch schon zu Stadler. Der Ostschweizer Schienenfahrzeughersteller wurde im Mai 2020 von unbekannten Cyberkriminellen attackiert. Diese griffen das Unternehmen mit der Schadsoftware Nefilim an und stahlen eine erhebliche Menge Daten. Die Täter erpressten Stadler auf sechs Millionen Dollar Lösegeld in Form von Bitcoin und veröffentlichten zwei Mal Daten im Darknet, um ihrer Forderung Nachdruck zu verleihen.

Haben Phishing Mails und flinke Finger eine Rolle gespielt?

Mettler kontaktierte Stadler nach dem Cyberangriff und bot seine Dienstleistungen an. Tatsächlich kam es Mitte August 2020 zu einem Vorstellungsgespräch mit Stadlers IT-Führung am Hauptsitz in Bussnang, jedoch zu keinem Projekt oder Mandat. An der Onlineveranstaltung des Kaufmännischen Verbands zeigte Mettler indessen eine Folie, wonach laut seinen Angaben die Täter sich mit Hilfe von Phishing Mails Zugang zu Stadlers IT-Netzwerk verschafft hatten. Diese E-Mails seien an verschiedene Mitarbeitende gesendet worden, darunter solche mit erhöhten Rechten, beispielsweise in IT-Schlüsselpositionen oder im Management. Mettler sagt:

«Nicht alle haben den maliziösen Link in dem E-Mail angeklickt, aber einige.»

Ob diese Behauptung Mettlers stimmt, bleibt offen. Stadler jedenfalls hat den Fall ad acta gelegt und will sich dazu nicht mehr äussern. Auch hat das Unternehmen laut eigenen Angaben kein Lösegeld gezahlt, was Mettler als richtig erachtet. Vielmehr empfiehlt er, in einem solchen Fall sofort die Behörden und externe IT-Fachleute einzuschalten.

Auch ältere Dokumente können brisante Informationen enthalten

Dokumente aus dem Darknet zeigten zudem, dass die Täter wohl in erster Linie ältere Daten erbeuteten und solche, die wenig sensitiv zu sein scheinen: Jahresabschlüsse, Budgets, ein Konsortialkreditvertrag mit der UBS, das Ruling mit dem Kanton Thurgau hinsichtlich Steuererleichterungen sowie Dokumente im Zusammenhang mit Stadlers Revisionsgesellschaft KPMG, Bauprojekte am Standort Altenrhein oder einem Landkauf in Erlen.

Mettler mahnt aus seiner Erfahrung mit anderen Fällen dennoch zur Vorsicht. So könnten auch ältere Dokumente wie etwa Berichte der internen Revisionsstelle beispielsweise Hinweise auf Risiken enthalten, die nicht für die Öffentlichkeit bestimmt seien.

Aufräumen kostet immer Geld

Stadler hatte nach dem Cyberangriff geltend gemacht, die Produktion der Züge und die Erbringung der Serviceleistungen sei nie beeinträchtigt gewesen, und man verfüge von allen entwendeten Daten über funktionierende Back-ups. Mettler bringt auch hier Vorbehalte an:

«Stadler hat Glück gehabt und ist mit einem blauen Auge davongekommen.»

Aber: Gewisse Teile der Organisation seien mehrere Tage weltweit offline gewesen. Und generell gelte:

«Auch die Back-ups zurückzuspielen, kostet viel Geld und erfordert Know-how.»

Finanzieller Schaden ist das eine, Reputationsschaden das andere

Mettler verweist auf den Fall der Mitte 2017 attackierten dänischen Reederei Maersk, die 4000 Server und 45'000 PCs auf der ganzen Welt neu installieren sowie 2500 Programme neu aufsetzen musste. Normalerweise würde das sechs Monate dauern, doch Maersk konnte sich einen solchen Stillstand nicht leisten. Man schaffte es schliesslich in einer «heldenhaften Kraftanstrengung» in zehn Tagen doch: Der Cyberangriff kostete Maersk ein paar hundert Millionen Dollar.

Bei Stadler dürften die finanziellen Folgen viel glimpflicher gewesen sein. Mettler schätzt den Betrag für interne Ressourcen und externe Partner zur Reparatur des Schadens am IT-Netzwerk aus seiner Erfahrung und aufgrund ähnlicher Fälle auf einen «mittleren sechsstelligen Betrag», also eine Summe irgendwo um eine halbe Million Franken. Gravierender sei jedoch der Reputationsschaden, urteilt Mettler. Dies weniger in der Schweiz, sondern vielmehr im Ausland.

Als die Jäger zum Wild wurden

Stadler wurde von Internetkriminellen angegriffen, Huber+Suhner ebenfalls, auch Meier Tobler oder die Spitäler Limmattal und Wetzikon. Müssen sich diese und andere attackierte Unternehmen Versäumnisse in der IT-Sicherheit vorwerfen? Mettler relativiert:

«Einen hundertprozentigen Schutz gibt es nicht.»

Mettler nennt in diesem Zusammenhang auch das Beispiel von FireEye aus den USA, eine der renommiertesten IT-Sicherheitsfirmen der Welt, die Hacker jagt, Ende 2020 aber selber gehackt wurde. Ausserdem sagt Mettler, eine solche Attacke rüttle ein Unternehmen wach:

«Firmen lernen normalerweise aus einem Cyberangriff, und zwar bis hinauf ins oberste Management. Sie sehen, dass die Gefahr real ist und sie widerstandsfähiger werden müssen.»

Spitäler vermehrt im Visier von Internetkriminellen

Generell beobachtet Mettler, dass Cyberangriffe weltweit laufend zunehmen, und oft stünden staatliche Stellen hinter den Attacken, von der nordkoreanischen Regierung bis zum russischen Auslandgeheimdienst. Russland steht auch im Verdacht, hinter einem Hackerangriff im Dezember 2020 auf die Europäische Arzneimittelbehörde EMA zu stehen, bei dem Coronaimpfstoff-Dokumente von Pfizer und Biontech erbeutet wurden. Mettler sagt:

«Ich gehe davon aus, dass diese Daten im Darknet auftauchen und dort zum Kauf angeboten werden.»

Seit Beginn der Coronapandemie beobachtet Mettler zudem, dass vermehrt Spitäler mit Ransomware (Verschlüsselungstrojaner) attackiert werden, um sie zur Zahlung eines Lösegelds zu zwingen. Dass immer öfter auch Industriebetriebe angegriffen werden, führt Mettler auf die Digitalisierung zurück:

«Immer mehr Systeme werden miteinander vernetzt.»

Auch Handwerker müssen sich Gedanken machen

Dabei sei indessen nicht nur die IT-Infrastruktur grösserer Unternehmen durch Hacker gefährdet. Auch kleine Handwerker hätten eine IT, zum Beispiel für die Kommunikation mit den Kunden, die Offertstellung oder den Einkauf. Mettler sagt:

«Das setzt einen Grundschutz voraus.»

Denn, so der Experte:

«Cyberkriminalität ist eines der drei grössten Risiken weltweit, vom Schreiner bis zum multinationalen Konzern.»