Als Opfer von Hackerangriffen und Erpressungen steht kein Unternehmenslenker gerne im Blickpunkt der Öffentlichkeit. Die Tatsache an sich ist schon unerquicklich. Obendrein passiert es gern an einem Freitagabend. „Wana Decrypt0r 2.0“ist so ein Beispiel.

„Was geschah mit meinem Computer?“, stand pünktlich zum Beginn des zweiten Maiwochendes auf den Monitoren von insgesamt über 300.000 betroffenen Rechnern zu lesen, die meisten davon in Russland, Taiwan, der Ukraine und Indien. Es folgte die Antwort: „Ihre wichtigen Dateien wurden verschlüsselt.“ Sodann beantwortete der Erpresser die auch in Deutschland häufig gestellten Fragen: „Kann ich meine Daten wiederherstellen? Wie bezahle ich?“ Daneben liefen zwei Countdowns. In 2 Tagen, 23 Stunden, 59 Minuten ohne Zahlungseingang verdopple sich das Schutzgeld. Vier Tage später, so die zweite Drohung, seien die Daten endgültig perdu.

In Deutschland hielt sich der Schaden am Ende in Grenzen. „Sicherheitskritische Systeme“, betont ein Sprecher eines betroffenen Unternehmens, „waren nicht involviert.“ Weniger glimpflich kam der staatliche britische Gesundheitsdienst NHS davon. Der Computervirus Wana Decrypt0r, einem breiten Publikum besser bekannt als „Wanna Cry“ („es ist zum Heulen“), verbreitete sich epidemisch in den lokalen Netzen Dutzender Kliniken und begann, auf allen angeschlossenen Laufwerken die Patientendaten zu verschlüsseln. Plötzlich waren die Ärzte nicht einfach nur in die prädigitale Ära zurückgeworfen, in der sie in analogen Krankenakten blättern mussten. Schmerzhaft erlebten sie die Schattenseite des Fortschritts: Fällt ihnen in einem modernen, also weitgehend papierlosen Krankenhaus plötzlich der Rechner aus, stehen sie ganz ohne Anamnesen und aktuelle Diagnosen da. Eigentlich hätten die britischen Mediziner gewarnt sein sollen. Deutschen Kollegen war im Februar 2016 genau das Gleiche passiert; nur die von den Erpressern eingesetzte Malware war eine andere. Der Fall am Neusser Lukaskrankenhaus galt in der Fachwelt als Weckruf. Beim NHS verhallte er unbeachtet.

„Leider Gottes tendieren viele Verantwortliche dazu, durch Schmerzen zu lernen“, seufzt Derk Fischer, Experte für Datensicherheit bei PwC in Düsseldorf, „es muss erst heftig wehtun.“ Das Lukaskrankenhaus verlor zwar letztlich nicht viele Daten, weil das meiste sich aus Back-ups rekonstruieren ließ. Das Hospital sei jedoch, so Fischer, nach der Attacke nicht weit vom funktionalen Stillstand entfernt gewesen, und die vermeidbaren Kosten waren beträchtlich. Dieses Schicksal droht im Zeitalter der Digitalisierung jedem Unternehmen, dessen Chefs sich zu wenig um den Zustand ihrer IT-Infrastruktur kümmern – etwa weil sie nur die erwünschten Effekte der Vernetzung im Blick haben – und keine Vorsorge für den Ernstfall treffen. Fachleute sind sich einig: Bei der sogenannten Security Awareness, dem Bewusstsein für die vielfältigen Gefahren aus der Datenleitung, herrscht in vielen Chefetagen noch erheblicher Nachholbedarf. Auf der dunklen Seite des Mondes gehört gewaltsame Datenverschlüsselung noch zu den harmloseren Delikten, verglichen mit dem unbemerkten Ausspähen von Passwörtern, Kundendaten, Konstruktionsplänen und anderen Geschäftsgeheimnissen.

Die Risikobetrachtung bei Digitalisierungsprojekten sei leider nicht immer hinreichend, sagt Matthias Gärtner, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), diplomatisch: „Man muss an der Unternehmensspitze das Bewusstsein verankern, dass Sicherheit von Anfang an mitgedacht werden muss.“ Solche Aufklärungsarbeit leistet nicht nur die Bonner Behörde, deren Haupt-Zielgruppe andere Dienststellen des Bundes sind. Derk Fischer und seine Kollegen bei PwC organisieren Trainings, in denen ihre Klienten lernen, durch die Brille eines Hackers zu schauen.

Wer sich auch nur oberflächlich mit der Materie beschäftigt, kann zum Beispiel auf den Fotos betroffener Monitore auch bei großen Unternehmen erkennen, dass die Rechner nicht gezielt attackiert wurden. So verlangten die Erpresser unabhängig von der Zahlungskraft nur den Gegenwert von 300 Dollar, zahlbar in der digitalen Kunstwährung Bitcoin. Das ist der übliche Kleinkundentarif bei „Ransomware“, einer Spielart von Schadprogrammen, deren Name sich vom englischen Wort für Lösegeld ableitet. Schutzgelderpressung hat sich in den vergangenen drei Jahren zu einer Landplage des Internets entwickelt, denn die Täter brauchen dafür kein eigenes Kryptografie-Know-how mehr. Ein typisches Aha-Erlebnis haben die Workshop-Teilnehmer, wenn der Dozent ihnen zeigt, wie leicht Angreifer heute an die nötige Software kommen und wie einfach diese einzusetzen ist: Im Darknet, der digitalen Unterwelt, können sie für ein paar Bitcoins schlüsselfertige Verbrecher-Apps mieten. Kriminelle Hacker, sogenannte Black Hats, kopieren inzwischen komplette Geschäftsmodelle seriöser Firmen aus dem Cloud Computing. Statt „SaaS“ oder „IaaS“ (Software oder IT-Infrastruktur als Dienstleistung) vermarkten sie RaaS, also „Ransomware as a Service“. Sie bieten den Hobbygangstern sogar – ganz in der Tradition analoger Ganovenehre – Service Level Agreements an.

Solche kriminellen Aktivitäten sind zweifelsohne lästig. Größere Probleme bereiten sie aber meist nur auf Systemen, deren Software nicht auf dem neuesten Stand ist. Wer seinen Windows-PC immer brav à jour gehalten hatte, war immun gegen den Wanna-Cry-Virus. Dessen Erfinder – und die anderer in jüngster Zeit grassierender Schadprogramme – nutzten eine Sicherheitslücke aus, die Microsoft längst mit einem Update geschlossen hatte. Dieses gab es allerdings nur für aktuelle Versionen des Betriebssystems, nicht für das 2001 erschienene Windows XP. So kam ans Licht, dass in vielen Unternehmen Rechner im Einsatz waren, die entweder noch nicht den neuesten „Patch“ (Reparatursoftware von Microsoft) aufgespielt bekommen hatten oder sogar mit dem Uralt-System arbeiteten, für das der Hersteller keinen Support mehr anbot. Angesichts der globalen Verbreitung von Wanna Cry erbarmte sich Microsoft dann doch noch und stellte einen Patch für XP bereit. Die Cyber Security Teams und externe Spezialisten hatten jedenfalls tagelang alle Hände voll zu tun, bis alle Rechner wieder normal funktionierten und Monitore keine unangenehmen Erpressernachrichten mehr zeigten.

Was für PC-Normalverbraucher, die gerade von Windows 7 oder 8 auf Windows 10 umgestiegen sind, unfassbar klingt und deshalb selbst Intensiv-User unter den Managern überrascht: In der Industrie sind noch in großer Zahl Anlagen und Maschinen im Einsatz, deren Steuerungscomputer entweder aus der Windows-XP-Ära stammen oder sogar noch älter sind. „Produktionsanlagen haben nun mal eine sehr viel längere Lebensdauer als PCs“, erklärt Fischer. Nicht wenige stammen aus den Neunzigerjahren und sind nach 20 Jahren abgeschrieben, laufen aber noch tadellos, da sie robust und auf hohe Zuverlässigkeit ausgelegt sind. Bei ihrem elektronischen Innenleben handelt es sich aus IT-Sicht jedoch um „Legacy“- Systeme, also technische „Altlasten“ oder Fossilien, deren Software auf heutigen Rechnern auch gar nicht mehr laufen würde.

Das Problem ist, dass diese hochrentabel arbeitenden Oldies bisweilen indirekten Kontakt zur Außenwelt haben, weil sie mit neueren Teilen der Produktionsumgebung verbunden werden, die bereits über IP-Adressen kommunizieren. „Diese Systeme sind nicht darauf ausgelegt, eben mal schnell gepatcht oder ausgetauscht zu werden“, warnt Fischer, „ihnen fehlen auch die Rechenkapazitäten für eine Verschlüsselung.“ Ein gewiefter Hacker könnte eine komplette Fertigung lahmlegen.

Wer die digitale Transformation seines Unternehmens vorantreiben will, tut also gut daran, die betriebswirtschaftlichen Ziele des Projekts – wie Effizienzsteigerung oder Senkung von Wartungskosten – nicht isoliert zu betrachten. Das Schlüsselwort der Experten heißt „Cyber Resilience“: Wer seine Investitionsgüter vernetzen will, muss Vorsorge treffen, dass sie Angriffen standhalten oder nach einer Attacke rasch wieder verfügbar sind. BSI-Sprecher Gärtner rät dazu, sich ein Beispiel am Schiffsbau zu nehmen: Dringt irgendwo Wasser ein, kann der Kapitän die Schotten dicht machen, damit das Leck nicht das ganze Schiff zum Untergang bringt.

Das bedeutet freilich, die Verantwortung nicht mehr allein auf die „Techies“ abzuwälzen. „Das ist kein IT-Thema“, betont Fischer. „Sagt irgendjemand ‚Cyber Security‘, wird sofort auf den IT-Leiter gezeigt. Damit ist das Kind schon im Brunnen.“ Das Thema kann nicht hoch genug aufgehängt werden.