Cybersecurity ist vergleichbar mit der Burg „Helms Klamm“ im Herr-der-Ringe-Film: Riesige Steinmauern können das Burginnere vor Angriffen schützen. Es gibt aber auch in der stärksten Trutzburg immer irgendwo eine Schwachstelle (im Falle von Helms Klamm ein Abwasserkanal), den Angreifer:innen finden und von dort aus in die Burg gelangen können.
Diesen Vergleich zieht Alexander Wörndl-Aichriedler, Vice President Global ICT bei PALFINGER. Das internationale Technologie- und Maschinenbauunternehmen wurde Anfang 2021 Opfer einer Ransomware-Attacke. Ransomware ist eine Schadsoftware mit der Hacker:innen Daten verschlüsseln, Passwörter ändern und/oder Berechtigungen ändern, um den Zugriff auf Daten zu verhindern, mit dem Ziel Lösegeld einzufordern.
Da Produktionsanlagen wie bei PALFINGER immer vernetzter werden, können die Auswirkungen eines Hackerangriffs schwerwiegend sein. Die Anzahl der Partnerunternehmen, die extern zugreifen, steigt, weil sie zum Beispiel Wartungen durchführen oder Systeme überwachen. „Das öffnet potenzielle neue Einfallstore für Hacker:innen“, sagt Alexander Wörndl-Aichriedler. Aber auch die Produkte von PALFINGER, die Kräne, sind smart und vernetzt. „Ein Angreifer könnte sich Zugriff auf einen Kran verschaffen und ihn damit lenken, das könnte massive negative Auswirkungen haben.“ Die Zugänge zu vernetzten Systemen müssen daher so sicher als möglich gemacht werden.
Angriffe sind gezielt und geplant
Doch auch bei großen Security-Anstrengungen gibt es keine hundertprozentige Sicherheit. „Die Frage ist, wie viel Aufwand betrieben wird, eine Schwachstelle im System zu finden“, erklärt Alexander Wörndl-Aichriedler. Denn bei einer Ransomware-Attacke greifen Hacker:innen nicht zufällig Unternehmen an, sondern suchen gezielt nach dem Abwasserkanal in Helms Klamm.
Dringen Angreifer:innen in ein System ein, legen sie auch nicht sofort los, sondern schauen sich erstmal um und verschaffen sich einen Überblick über die IT-Umgebung: wo sind Rechenzentren, welche Netzwerke und sensiblen Daten gibt es? So ein Angriff wird ca. 2 bis 6 Monate im Vorhinein geplant.
Auch der Zeitpunkt des Angriffs ist kein zufälliger. In den meisten Fällen handelt es sich um ein sensibles Datum, um Unternehmen zum Zahlen des Lösegelds zu zwingen. Im Fall von PALFINGER war das ein Samstag, Ende Jänner: der Jahresabschluss und die Gehaltszahlungen fielen an. Üblicherweise sind die Unternehmen am Wochenende auch nicht stark besetzt.
Die Bombe wurde gezündet
Daten wurden verschlüsselt, zentrale Systeme waren betroffen – mit Auswirkungen auf viele PALFINGER-Werke auf der ganzen Welt. Der Großteil der Produktion stand somit still.
Wie reagiert man auf so einen Angriff? „Zuallererst versuchten wir die Ausbreitung der Attacke einzudämmen bzw. zu verhindern, indem wir die Verbindung zu anderen Systemen und Standorten kappten“, so Alexander Wörndl-Aichriedler. Danach verschafften sich die IT-Mitarbeiter:innen von PALFINGER einen Überblick über den Schaden. „Ransomware-Attacken haben eines gemeinsam: sie greifen Basisdienste an. Diese haben wir Schritt für Schritt wieder hochgefahren“. Nach zwei Tagen funktionierte zum Beispiel das Verschicken und Empfangen von E-Mails wieder.
Trotzdem entschied sich PALFINGER dazu, das Lösegeld zu bezahlen. „Das war vor allem eine kommerzielle Überlegung: wie lange dauert es Daten aus Backup-Systemen wiederherzustellen? Es war eine Abwägung zwischen einem potentiellen Datenverlust oder einer möglichen Entschlüsselung mithilfe der Hacker:innen“. Dabei handelte es sich um Datenmengen im 100sten Terrabyte-Bereich: Konstruktionsdaten, Bestellungen, Rechnungen, die fakturiert wurden und vieles mehr. Aber auch die Entschlüsselungsprozesse sind aufwändig und gehen nicht von heute auf morgen. PALFINGER wählte einen gemischten Ansatz mit Entschlüsselung, Widerherstellung aus dem Backup und kompletten Neuaufsetzen. Daten sind bei diesem gewählten Ansatz keine verloren gegangen.
Security vs. Betriebsfreundlichkeit
Welche Konsequenzen zog PALFINGER aus dem Hackerangriff? „An der Cybersecurity-Strategie hat sich nichts geändert. Der Hackerangriff hat die Prozesse nur noch mehr beschleunigt, indem früher finanzielle Mittel für weitere Maßnahmen frei gemacht wurden“, sagt Alexander Wörndl-Aichriedler. Er vergleicht den Prozess mit einem Pendel, das einmal Richtung Security und einmal Richtung Betriebsfreundlichkeit ausschlägt. Fakt ist, mehr Security-Maßnahmen machen Prozesse langsamer und komplizierter, sie sind aufwändig und kostenintensiv. Doch aktuell schlägt das Pendel Richtung Security aus.
Anderen Unternehmen rät er, das Thema nicht auf die leichte Schulter zu nehmen. Man solle auf externe Partner:innen vertrauen, die die IT-Umgebung regelmäßig kontrollieren und Schwachstellen aufzeigen. Und falls es doch zu einem Angriff kommt: Transparenz. Viele Unternehmen verschweigen Cyberangriffe, weil sie nicht zugeben wollen, Opfer eines Angriffs geworden zu sein, die Gründe dafür mögen vielfältig sein. PALFINGER hat sich für einen anderen Weg entschieden und erntet dafür viel Zuspruch. Alexander Wörndl-Aichriedler und seine Kolleg:innen berichten auf vielen Security-Veranstaltungen darüber. Damit auch andere Unternehmen ihre Abwasserkanäle besser schützen können.
Wann soll man Lösegeld bezahlen und wann nicht?
„Ob ein Unternehmen das Lösegeld bezahlen soll oder nicht, hängt vom konkreten Fall ab“, sagt der IT-Experte Dominik Engel von der Fachhochschule Salzburg. Die Kosten-Nutzen-Rechnung sprach im Falle PALFINGERs dafür. Doch es sollte immer die Ultima Ratio sein: „Wenn es andere (ökonomisch) sinnvolle Möglichkeiten gibt, wie das Zurückgreifen auf Backup-Systeme, sollte man die zuerst ausreizen.“ Denn das Bezahlen von Lösegeld stärkt das Geschäftsmodell der Hacker:innen. Dominik Engel ist aber der Meinung, dass man den Unternehmen diesen ethischen Aspekt nicht umhängen kann, denn: „Zuallererst müssen sie den eigenen Betrieb aufrechterhalten.“
Eine Frage, die bei Dominik Engel immer wieder aufschlägt, ist, ob Unternehmen sich bereits mit Kryptowährung eindecken sollen, um im Falle eines Angriffs schnell bezahlen zu können (denn Lösegeld wird üblicherweise mit zum Beispiel Bitcoins bezahlt). „Nein, auf keinen Fall. Das lädt Hacker:innen ja geradezu ein, das Unternehmen anzugreifen.“
Zu Digitales Salzburg