Quicklinks
Die meisten Angriffsversuche auf Logistik-IT schlagen fehl, andere jedoch verursachen Schäden in Millionenhöhe. Die Branche kontert mit Abwehr- und Reaktionskonzepten, und auch die HHLA gibt spezielle Antworten auf die großen Sicherheitsfragen.
Der Logistik-Dienstleister Raben, die Intralogistiker von Ferag und das Frachtunternehmen Hellmann Worldwide haben nicht nur die Branche gemeinsam. Sie gehören zu den deutschen Logistik-Unternehmen, die zuletzt unter Cyberbeschuss lagen. Das passiert immer wieder - und immer häufiger!
Der IT-Sicherheitsmanager der HHLA, Alfredo Khanji, bestätigt: „Es gibt einen eindeutigen Anstieg über die letzten fünf Jahre.“ Er schränkt anderseits ein, der Anstieg sei vor allem quantitativ zu sehen. Täglich prallen automatisierte Attacken an den Sicherheitssystemen ab. Der Anstieg hat generell drei Gründe. Der Erste liegt im zunehmenden Ausbau der Digitalisierung auch in der Logistik. Umso stärker sich die Branche vernetzt, desto mehr Schnittstellen müssen abgesichert werden.
Das ist eine Chance für Cyberkriminelle, die Geld mit Daten erbeuten wollen. Diese Daten zu verschlüsseln und somit Geschäftsprozesse zu stören, ist nur selten das Hauptziel. Vielmehr versuchen kriminelle Hacker, sensible Daten zu stehlen und verbinden das mit der Drohung, sie zu veröffentlichen. Eine Verschlüsselung für das Unternehmen wichtiger Daten kann als zusätzliches Druckmittel dienen, sofern der Angreifer einen Zugang zum Unternehmensnetzwerk gefunden hat.
Der zweite Grund liegt darin, dass Hacking-Software über das Darknet und findige Programmierer eine weitere Verbreitung findet. Es ist mittlerweile sehr viel einfacher, einen solchen Angriff vorzubereiten und auszuführen, als es noch vor zehn Jahren der Fall war. Khanji spezifiziert, die Angebote aufseiten der Angreifer seien auf ein bedrohliches Niveau gestiegen. Ganze Plattformen bieten „Software as a Service“ für Hacker und ermöglichen auch kleinen Akteuren großflächige Angriffe.
Drittens muss erwähnt werden, dass auch staatlich gelenkte Akteure sich im sogenannten „Cyber War“ befinden. Einige aktuelle Angriffe stehen im Verdacht, von Russland oder Nordkorea aus geführt zu werden. Es ist nicht auszuschließen, dass auch kritische Infrastruktur zunehmend in ihren Fokus gerät.
Unternehmen, die Logistikzentren mit einem Aufkommen von über 17,55 Millionen Tonnen Gütern oder 53,2 Millionen Sendungen gehören zur Gruppe der kritischen Infrastruktur. Das gilt auch für Leitzentralen des Schiff- und Bahnverkehrs sowie Frachtabfertiger im Flugverkehr mit einem bestimmten Mindestaufkommen. Die Liste hat der Gesetzgeber mit der KRITS-Verordnung von 2021 gerade aktualisiert. Sie ist ein bestimmender Teil des IT-Sicherheitsgesetz 2.0, das am 1. Januar 2022 in Kraft trat.
Unternehmen in einer bestimmten Größenordnung waren aufgerufen zu prüfen, ob sie diese Schwellenwerte überschritten. Sie mussten sich bis spätestens 1. April 2022 registrieren. Wer unter die KRITIS fällt, muss spezielle technische Vorgaben sowohl für den IT-Schutz als auch für das Verwenden bestimmter Komponenten einhalten.
Auf der anderen Seite erhalten sie spezifische Hilfen in Form von Leitlinien, Empfehlungen, Workshops und persönlicher Beratung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dient hier nicht nur als Überwachungsbehörde, sondern auch als Beratungsstelle.
Die HHLA gehört aufgrund des Container-Umschlags zu den KRITIS und hat Notfallpläne vorbereitet. Sollte ein solcher Fall eintreten, bietet das BSI eine digitale Rettungskette, die von der Selbsthilfe per Online-Ratgeber bis zum Kontakt zu IT-Sicherheitsexperten für solche Fälle reicht.
Einer der entscheidenden Gründe für zunehmende Angriffe auf das Transportgewerbe: mit vergleichsweise niedrigen Aufwand kann großer Schaden erzeugt werden. Viele Transport- und Logistikunternehmen gehören zum Mittelstand. Ihre IT-Abteilungen sind kleiner, unternehmensweite Updates seltener. Ganoven sehen eine größere Chance, Schlupflöcher zu finden und darüber erfolgreicher anzugreifen.
Hacker haben zudem spätestens seit den corona-basierten Nachschubproblemen die hohe Relevanz von globalen Lieferketten erkannt. IT-Experten aus dem Logistikbereich sagen, die ganze Branche stehe derzeit im Mittelpunkt, weil die Versorgungsproblematik seit Monaten durch die Nachrichten wandert.
Die berüchtigte Lazarus-Gruppe hat eine spezielle Hintertür-Software namens Vyveva für Logistikunternehmen entwickelt. Allerdings gibt es kaum noch einen Wirtschaftssektor, der nicht im Visier von Cyberkriminellen steht. Viele suchen die Netze gezielt nach Schlupflöchern ab, scannen IP-Adressen und pingen Ports an, mit Hilfe automatisierter Programme. Wie sagte es der ehemalige IT-Sicherheitsexperte des dänischen Logistik-Konzerns Maersk, Gavin Ashton, dem Nachrichtenmagazin CNBC so schön: „Es ist unvermeidlich, dass eines Tages einer durchkommt.“
Hellmann Worlwide ist mit einem Umsatz von rund 4 Milliarden Euro eines der Schwergewichte in der Logistikbranche. Letztes Jahr traf den Konzern ein harter Schlag: Im Dezember griffen Hacker das IT-System an und versuchten, die Daten zu verschlüsseln. Der nächste Schritt ist normalerweise, das Unternehmen zu erpressen. Geld oder alle Daten sind dann verloren.
Erkennt man einen solchen Ransomware-Angriff frühzeitig, bleiben Optionen. Hellmanns Chief Information Officer Sami Awad Harmann entschied: Wir gehen offline. Er erinnert sich an seine dunkelsten Stunden: „Sobald man diesen Schritt macht, hört man auf. Du arbeitest nicht mehr.“ Doch ein Ziel erreichte er damit: Er stoppte die Ausbreitung und verhinderte die Verschlüsselung der Daten.
Jetzt stehen zwar 70 Gigabyte Unternehmensdaten im Darknet, aber es hätte viel schlimmer kommen können. Damit der Angriff nicht weiter in die Infrastruktur eindringen konnte, zog er den Stecker und kappte Verbindungen zu Rechenzentren. Dem Container-Gigant Maersk gelang das 2017 nicht. Der damalige Top-Manager von Maersk, Jim Hagemann Snabe, gab im Nachhinein zu, man habe 10 Tage lang komplett analog gearbeitet. Er schätzte den Schaden auf 200 bis 300 Millionen US-Dollar, den der angeschlossenen Unternehmen nicht mitgerechnet. Doch soweit muss es nicht kommen.
IT-Sicherheitsforscher haben den Hacker-Markt genau im Auge. Liest man ihre Analysen, kann man eine Quintessenz herauslesen. Egal wieviel mehr Hackersoftware jährlich auf den Markt kommt und wie ausgefeilt die neuesten Tools auch sein mögen, die Mehrzahl der Angriffe macht sich alte Schwachstellen zunutze.
So stellte die Hackergruppe „REvil“ein bösartiges „Update-Paket“ zur Verfügung, das eine bekannte Schwachstelle in der Fernzugriffs-Software (RMM) „VSA“ von Kaseya nutzte. Das heißt einerseits, dass Hacker sich neuerdings auf Softwaresuiten der Logistik-Branche stürzen. Zum Anderen gilt für alle Branchen: Nicht beseitigte Sicherheitslücken machen die meisten Ransomware-Angriffe erst möglich.
Die andere Seite im Kampf um die Netzwerke darf nicht unerwähnt bleiben: Es für viele Angriffe und Angriffsarten mittlerweile bewährte Abwehrkonzepte. Die globale IT-Sicherheit ist immer weiter zusammengerückt, und zugleich unterstützen Bund und Länder Unternehmen stärker als je zuvor im Kampf gegen die Hacker. Zusätzlich arbeiten alle Akteure daran, einen der kritischsten Einfallstore in die IT für Gefahren und Methoden zu sensibilisieren: Den Menschen.
Die Mehrzahl der Angriffe macht sich alte Schwachstellen zunutze.
Die erste Tugend ist also, seine Software aktuell zu halten und Schwachstellen so schnell wie möglich zu patchen. Der Rat des HHLA-Experten Khanji geht darüber hinaus: „Grundsätzlich muss man die Systeme ständig auf State-of-the-art überprüfen. Das heißt Methoden und Konzepte, aber auch die Art, wie man Systeme aufsetzt oder Richtlinien erarbeitet, müssen ständig überprüft werden.“
Das Unternehmen richtet sich nach gängigen Standards wie ISO-Norm 27001 und dem IT-Grundschutz des BSI. „Das sind Rahmenwerke, die große Bereiche in der IT-Sicherheit abdecken. Aus Angreifersicht wird es immer schwieriger, technische Schnittstellen zu durchbrechen und dabei unentdeckt zu bleiben.“, erklärt Khanji.
Hacker sehen das anscheinend ähnlich, denn sie manipulieren immer häufiger die vermeintlich schwächste Stelle im System: den Menschen. Dazu gehen sie vor wie beim „klassischen“ Trickbetrug. Die Methode ist in IT-Kreisen als Social Engineering bekannt.
Kriminelle setzten sich unter einem Vorwand mit Zielpersonen oder indirekten Bezugspersonen in Kontakt. Unter Vortäuschung einer falschen Identität machen sie verlockende Angebote, suchen „Hilfe“, bieten „Geschäfte“ an, um die Opfer zu manipulieren. Sie nutzen Unwissenheit, Hilfsbereitschaft, Angst und Stress, um zu riskanten Aktionen zu verleiten. Dabei kann es sich um die Herausgabe von vertraulichen Informationen wie Logins handeln oder um das Herunterladen einer Datei, die heimlich Schadprogramme installiert.
Die Kriminellen geben sich beispielsweise als Techniker, Mitarbeitende, Dienstleister oder gar IT-Administratoren aus. Sie brachten in der Vergangenheit auch hochrangige Manager dazu, mittelbar geheime Unternehmensinformationen preiszugeben.
Auch bei der HHLA bestätigt Khanji Anrufe von angeblichen Microsoft-Mitarbeitern auf Nummern der HHLA. Der Sicherheitsexperte lobt: „Unsere Mitarbeitenden haben hervorragend reagiert. Sie gehören heute zum Schutzschild des Unternehmens, das darf man nicht vergessen.“
Die HHLA setzt auf Awareness-Maßnahmen und -Schulungen, um das Personal gegen solche Angriffe vorzubereiten. Khanji betont, dass diese nicht auf ein bestimmtes Szenario abzielen. Vielmehr soll beim Einzelnen das Feingefühl gestärkt werden, wann es sich um Informationen handelt, die außerhalb des Unternehmens nichts zu suchen haben. „Wer im Zweifel auf sein Bauchgefühl hört, falls ihm etwas komisch vorkommt, dem geben wir Maßnahmen an die Hand“, so Khanji. Er weist darauf hin, dass solche „komischen“ Gespräche sauber beendet werden können: „Man darf sich dabei nicht unter Druck setzen lassen, das vermitteln wir auch in den Schulungen.“
IT-Spezialist Gavin Ashton rät, angesichts der mächtigen Bedrohungslage von 32 neuen Ransomware-Suiten in den letzten 12 Monaten nicht einzuknicken. „Und natürlich sollte man für den Fall der Fälle einen Notfallplan haben. Das heißt aber nicht, dass man nicht versuchen sollte, einen verdammt guten Kampf zu führen, um diese Angriffe gleich zu Beginn zu stoppen,“ sagte er in einem Interview.
Er schließt mit den Worten: „Nur, weil man weiß, dass die Bösewichte kommen, heißt das nicht, dass man die Haustür offenlässt und ihnen eine Tasse Tee kocht, wenn sie reinkommen“. Damit spricht er zwei weitere Voraussetzungen an, um sich gegen Hackerangriffen wirksam zur Wehr zu setzen. Neben möglichst aktueller Software sollten auch Fachleute parat sein, die sich einer Attacke entgegenstellen.
Zum Zweiten hilft eine gute Vorbereitung enorm, um im Fall der Fälle richtig und vor allem schnell zu reagieren. Besonders bei Ransomware-Angriffen, die das komplette Unternehmenssystem verschlüsseln, spielt Zeit eine kritische Rolle – wie man am Fall Hellmann sehen kann. Der IT-Securitymanager der HHLA warnt jedoch, sich nur darauf zu verlassen: „Letztendlich reicht ein Notfallplan für ein bestimmtes Szenario einfach nicht aus. Damit in der Stresssituation eines tatsächlichen Angriffes alles reibungslos funktioniert, muss alles gründlich erprobt werden.“
Veröffentlicht am 11.10.2022