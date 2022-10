Cyberattacke Noch immer keine Mails: Hacker legen seit zwei Monaten deutsche IHKs lahm – Ostschweizer Kammern nicht betroffen Bei der IHK Hochrhein Bodensee in Konstanz ist die Cyberattacke, die am 3. August entdeckt wurde, noch immer nicht ausgestanden. Die Dienste sind nur eingeschränkt verfügbar. Die beiden Ostschweizer IHKs sind allerdings nicht attackiert worden. Stefan Borkert Jetzt kommentieren 18.10.2022, 05.00 Uhr

Cyberkriminelle haben die deutschen IHKs angegriffen und lahmgelegt. Die Reparatur dauert noch immer an. Bild: Getty

Cyberkriminelle schlagen immer öfters bei Unternehmen zu. Nun sind auch die deutschen IHKs Opfer eines Hackerangriffs geworden. Bei der IHK Thurgau kennt man die Situation. IHK-Direktor Jérôme Müggler sagt:

Jérôme Müggler, Direktor IHK Thurgau. PD

«Die Industrie- und Handelskammer Thurgau war vor knapp zwei Jahren von einem Cyberangriff betroffen. Dabei wurden alle Daten auf unseren Servern verschlüsselt. Es ging damals aber keine Geldforderung oder ähnlich bei uns ein.»

Dank eines starken Back-up-Systems sei der Betrieb der IHK Thurgau nach einem Tag wieder aufgenommen worden. «Dabei gingen zum Glück keine relevanten Daten verloren und über 99 Prozent der Dokumente konnte wiederhergestellt werden.»

Müggler erklärt weiter, dass die Industrie- und Handelskammern in der Ostschweiz nicht im gleichen Zug angegriffen wurden. Zwar habe man teilweise ähnliche, teils aber auch andere Rollen und Aufgaben wie die deutschen Kollegen. Aber die Kammern in der Schweiz seien komplett eigenständige und unabhängige Organisationen.

Ein grosser Unterschied sei die Zwangsmitgliedschaft für Unternehmen in Deutschland, wohingegen in der Schweiz eine Mitgliedschaft auf Freiwilligkeit basiere. «Jede der 18 Kammern in der Schweiz ist eigenständig und organisiert sich entsprechend selbstständig.»

Ähnlich äussert sich auch Markus Bänziger, Direktor der IHK St.Gallen-Appenzell. Die IHK St.Gallen-Appenzell sei noch nie von Hackern attackiert worden:

Markus Bänziger, Direktor der IHK St.Gallen-Appenzell. PD

«Wir legen sehr viel Wert auf umfassenden Schutz und investieren daher auch laufend in Cybersecurity. Wir setzen unter anderem auf einen «Managed Firewall Service» und Virenschutz inklusive Ransomwareprotection auf allen Geräte und Servern der IHK.»

Zusätzlich würden alle Daten doppelt extern gesichert. Das bedeute, bei einer Verschlüsselung des Servers könne auf das Ransomware geschützte Back-up zurückgegriffen und die Server wiederhergestellt werden. Er ergänzt:

«Das grösste Risiko ist und bleibt wohl der Faktor Mensch, daher versuchen wir mit regelmässigen Inputs und Schulungen die Mitarbeiter in diesem Thema, insbesondere Phishing und Maleware beim E-Mail-Verkehr, bestmöglich zu sensibilisieren.»

79 deutsche IHKs professionell angegriffen

Noch immer ist die IHK in Konstanz nur eingeschränkt erreichbar. Screenshot

Bei den deutschen IHKs einschliesslich der IHKs am Bodensee, der IHK Hochrhein-Bodensee und der IHK Bodensee-Oberschwaben läuteten Anfang August die Alarmglocken. Am 3. August 2022 schaltete die IHK-Gesellschaft für Informationsverarbeitung (IHK-GfI), IT-Dienstleister der IHK-Organisation in Deutschland, die bei ihr gehosteten IT-Systeme der IHKs ab. Dadurch ging die Website der IHKs offline und die Mitarbeitenden waren weder telefonisch noch per E-Mail erreichbar.

Verschiedene interne und externe Softwareanwendungen der IHK funktionierten nicht mehr. In unterschiedlicher Form waren die IT-Systeme aller 79 Industrie- und Handelskammern in Deutschland betroffen. In Konstanz beispielsweise ist bei der IHK Hochrhein-Bodensee zwei Monate nach der Cyberattacke noch immer kein Mailverkehr möglich.

Hinter dem Cyberangriff stecken nach Erkenntnissen der IT-Forensiker Profis. Weiter heisst es bei der IHK Bodensee-Oberschwaben, die Vorgehensweise der Hacker deute auf einen Angriff zum Zweck der Spionage oder Sabotage hin, auch wenn sich ein finanziell motivierter Hintergrund des Angriffs noch nicht ausschliessen lasse.

Die IHK Konstanz ist wie alle deutschen IHKs Opfer eines Hackerangriffs geworden. Bild: Achim Mende/Konstanz.de

In Zusammenarbeit mit externen IT-Sicherheitsexpertinnen und -experten entschied die IHK-GfI am 3. August, aus Sicherheitsgründen die Verbindung aller Industrie- und Handelskammern zum Internet zu trennen. Weit heisst es bei der IHK, ein Vorgehen verwehre Angreiferinnen und Angreifern den weiteren Zugriff auf die Systeme und verhindere somit eine Fortführung des Angriffs, insbesondere den Diebstahl oder die mögliche Verschlüsselung von Daten.

Dadurch konnte die IHK-GfI den Angriff stoppen. Wie die IHK-GfI mitteilt, zeigen die Ergebnisse der IT-Forensik, dass der Angriff von langer Hand vorbereitet wurde. Die von den Hackerinnen und Hackern eingesetzten Werkzeuge zur Manipulation seien hochentwickelt. «Bei der Cyberattacke auf die IHK-Organisation handelt es sich um einen extrem professionellen Angriff», bestätigt Christoph Hebbecker, Staatsanwalt bei der Zentral- und Ansprechstelle Cybercrime in Köln.

Aufwendiger und zeitintensiver Säuberungsprozess

Mehr oder weniger eingeschränkt erreichbar sind inzwischen wieder die meisten der IHKs. Allerdings gibt es durch die zentrale Struktur auch Dokumente auf Servern der Deutschen Industrie- und Handelskammer in Berlin und diese seien weiterhin nicht erreichbar. Das betreffe beispielsweise zentrale Dokumente zu Ausbildungen und vieles andere, sagt Jens Fröhner von der IHK Südlicher Oberrhein gegenüber der Sonntagszeitung «Der Guller».

Unternehmen und Institutionen werden täglich mehrfach von Cyberkriminellen angegriffen. Bild: imago-images

Jürgen Neuschwander, Informatikprofessor an der Hochschule HTWG in Konstanz, begründet die lange Zeitdauer für die Säuberung der Systeme gegenüber dem «Südkurier». Er spricht von einem wahnsinnig aufwendigen Prozess, um die Lage nach einem Angriff zu bereinigen. Jede einzelne lokale IT-Anwendung müsse von Schadsoftwarebefall gereinigt werden. Erst dann werde alles wieder zusammengeführt. Andernfalls drohe die Gefahr, dass sich ein Virus erneut in einem Netzauftritt einnisten könne.

