Erweiterte Suche

Cybersecurity

Cybersichere Wirtschaft

IHK-Hack – Welche Rolle spielt ein zentraler IT-Dienstleister?

Seit einem Cyberangriff Anfang August sind viele der Industrie- und Handelskammern sowie der Dachverband DIHK nur eingeschränkt erreichbar. Wie verwundbar sind große Organisationen, die – wie in diesem Fall – zentral über einen einzigen IT-Dienstleister verwaltet werden?

image

von Simon Frost

veröffentlicht am 25.08.2022

aktualisiert am 31.08.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen
Kein Internet, keine E-Mails, nur telefonische Erreichbarkeit. So stellt sich die Lage bei den meisten der 79 Industrie- und Handelskammern und ihrem Dachverband DIHK seit 3. August noch immer dar. Gerade erst habe man ein weiteres Update eingespielt, sagt ein Sprecher des zentralen IT-Dienstleisters IHK-GfI während eines Gesprächs mit Tagesspiegel Background vor wenigen Tagen. „Das ist ein weiterer Schritt, um die volle Funktionalität der Internetseiten wiederherzustellen.“

Diese „volle Funktionalität“ war verlorengegangen, nachdem der IT-Dienstleister die Systeme der Kammern nach eigenen Angaben selbst heruntergefahren hatte. Aus Sicherheitsgründen, wie der Sprecher betont. Die IHK-GfI habe damit auf Aktivitäten reagiert, die Mitarbeitende der IHK- und DIHK-Tochtergesellschaft, bemerkt hätten. Weitere Details will der Sprecher nicht nennen.

Die Staatsanwaltschaft hat Hinweise auf eine Cyberattacke, die zuständige Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen geht dem Anfangsverdacht der Computersabotage nach. Damit schließt sie einen Ransomware-Angriff aus, es gebe kein Erpresserschreiben. Ob die Angreifenden Daten erbeutet haben sei Gegenstand der Ermittlungen.

Kammern müssen analoge Lösungen finden

In der Praxis sind die Folgen der erzwungenen Onlinepause erheblich – immerhin zählen die IHK in Deutschland rund 3,5 Millionen Unternehmen als Mitglieder. Das Herunterfahren der Systeme zwingt die Kammern zu kreativen – und analogen – Lösungen, sind sie doch Ansprechpartner für die Unternehmen in ihrer Region. Weil viele bereits digitalisierte Dienstleistungen derzeit nicht möglich sind, heißt ein Motto für Mitarbeitende „Raus aus den Büros!“. So hat etwa die IHK Heilbronn-Franken so genannte Präsenzpunkte in Rathäusern und Stadtverwaltungen in ihrem Zuständigkeitsbereich eingerichtet, um Unternehmen direkt und zu beraten und bei Anliegen persönlich zu unterstützen.

Die Kammern tauschten sich stetig über solche Best-Practice-Beispiele aus, sagt eine Sprecherin des DIHK. Es herrsche eine hohe Transparenz innerhalb der Organisation. Eine Direktive aus Berlin, wie die einzelnen IHK mit der Situation umzugehen hätten, gebe es aber nicht, betont die Sprecherin. Die Kammern wüssten am besten selbst, was für die Mitglieder in den ihrer jeweilige Region wichtig sei.

Doch nicht alle Kammern sind gleich schwer betroffen vom zwischenzeitlichen Ausfall der zentralen Systeme. Die IHK Reutlingen ist „zum Großteil arbeitsfähig“, wie sie auf ihrer Internetseite informiert. Der Grund: Sie nutzt den IT-Tochter der Gesamtorganisation „nur teilweise“, telefonisch und über E-Mail, aber auch über die Webseite sei man gut erreichbar.

Oberstes Ziel: Kontrolle über sensible Daten

Angesichts dieser unterschiedlichen Auswirkungen stellt sich die Frage, wie sinnvoll eine zentrale IT-Verwaltung für große Organisationen ist. „Im Falle eines Angriffs ist ein Single Point of Attack natürlich eine Achillesverse: Wenn der Angriff Erfolg hat, ist der Schaden eben auch viel größer“, sagt Sebastian Schreiber, der mit seiner IT-Sicherheitsfirma Syss andere Betriebe testet und berät. Es könne aber dennoch sinnvoll sein, mit einem externen IT-Sicherheitsdienstleister zu arbeiten. „Dann nämlich, wenn der Dienstleister sich in Fragen der IT-Sicherheit besser auskennt.“

Als Unternehmen oder Organisation stehe man anfangs immer vor einer Make-or-Buy-Entscheidung, sagt Schreiber. „Also, kümmere ich mich selbst um die IT oder kaufe ich die Dienstleistung ein.“ Dabei sollte dem Experten zufolge nicht allein eine Rolle spielen, ob ein externer Dienstleister über mehr Wissen, Personal und Technologie verfügt. Vielmehr komme es auch darauf an, wie sensibel die verarbeiteten Daten und wie wichtig diese Daten für Existenz des Unternehmens sind. „Je mehr mein Geschäftsmodell auf sensiblen Daten basiert, umso mehr sollte ich bemüht sein, die volle Kontrolle über die IT-Sicherheit im eigenen Haus zu behalten.“

Noch bedeutsamer sei der Aspekt der Datensicherheit, wenn ein Unternehmen auf cloudbasierte Dienste zurückgreife. „Jeder, der Dienste wie Software-as-a-Service nutzt, muss sich darüber im Klaren sein, dass er nicht nur Daten an Dritte abgibt, sondern auch Kontrolle über die IT-Sicherheit verliert.“ Dabei sei es völlig unerheblich, von welchem der großen Anbieter – von Amazon über Google, Microsoft bis zu SAP – die Dienste stammten. Die Cloud ist die Zukunft, weiß auch Schreiber. Es sei aber die Frage, ob damit alles sicherer wird. „Ich sage ganz klar: nein.“

„Riesige Unterschiede“ bei präventiver IT-Sicherheit

Die Gründung einer eigenen IT-Tochter, wie im Fall von DIHK und den IHK, stellt eine Alternative zwischen dem Alles-Selbermachen und dem kompletten Outsourcing dar. Aber auch, wer sich für diese Möglichkeit entscheidet, könne sich nicht zurücklehnen, sagt Schreiber, sondern müsse darauf achten, dass die IT-Sicherheit regelmäßig überprüft wird. Denn: „Für die verarbeiteten Daten verantwortlich bleibt man in jedem Fall selbst.“ Dabei reicht es nach Ansicht des Experten nicht, sich zertifizieren zu lassen. Eine Zertifizierung nach ISO 27001 etwa sei wichtig und notwendig, könne „Unternehmen aber auch in trügerische Sicherheit wiegen.“ Externe Schwachstellentests seien deshalb absolut zu empfehlen.

Ähnlich beurteilt Christoph Hebbecker, Sprecher der Zentral- und Ansprechstelle Cybercrime (ZAC) NRW, die Situation. „Ob eine große Organisation ihre IT über einen zentralen Dienstleister managt oder dezentral organisiert, ist nicht so entscheidend.“ Beides habe Vor- und Nachteile, sagt der Staatsanwalt. „Wichtig ist aber, dass sie auf Cyberangriffe vorbereitet ist – mit eingeübten Abläufen, Notfallplänen und so weiter.“ In seiner beruflichen Praxis stelle er noch immer „riesige Unterschiede“ fest. Unabhängig davon, wie gut Betroffene auf einen Cyberangriff vorbereitet sind, gelte zudem: „Im Ernstfall herrscht anfangs meist blanke Panik.“ Umso notwendiger seien gute Präventivmaßnahmen.

Zum konkreten Fall der angegriffenen IHK-IT will sich Hebbecker zwar nicht äußern. Es muss in seinen Augen aber nicht per se ein schlechtes Zeichen sein, wenn ein Unternehmen oder eine Organisation die Systeme herunterfährt. „Es kann ja auch bedeuten: Wir haben zu einem sehr frühen Zeitpunkt eine Anomalie entdeckt und tun alles, damit es gar nicht erst zu einem Ausbreiten von Schadsoftware kommt.“

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen