Wolfgang Straßer legt kriminellen Hackern das Handwerk – und gibt Tipps, wie Sie sich schützen.

Von Björn Boch

Solingen. Immer wieder werden Unternehmen im Bergischen Land zur Zielscheibe von kriminellen Hackern. Die Industrie- und Handelskammer hat es schon erwischt, die Bergische Universität in Wuppertal – und jüngst einen IT-Dienstleister unserer Zeitung. Wird so ein Angriff bemerkt, kommt oft Wolfgang Straßer mit seinen Leichlinger Spezialisten von @-yet zum Einsatz. Er repariert nicht nur Schäden, sondern legt auch Kriminellen das Handwerk.

Herr Straßer, Sie waren 2023 an der Zerschlagung eines weltweit operierenden Hackerrings beteiligt. Wie läuft so etwas ab?

Wolfgang Straßer: Wenn wir zu einer Firma gerufen werden, kommt es immer mal wieder vor, dass wir ein neues Angriffsszenario mitbekommen. In diesem Fall war das bei einem Unternehmen in Baden-Württemberg – und wir haben eng mit Polizei, Landeskriminalamt und sogar dem FBI zusammengearbeitet. Weil wir sehr früh Spuren entdeckt und neue Angreifer identifiziert haben, konnten wir die Basis und die Forensik liefern, um den Hackern das Handwerk zu legen. Das bestätigen auch die Behörden – und es ist uns mittlerweile zum zweiten Mal gelungen.

Was bedeutet in dem Zusammenhang Forensik?

Straßer: Es ist, wie bei anderen Ermittlungen auch, eine Spurensuche. Wir steigen ganz tief in die Computersysteme der Kunden ein. Was sind das für Angriffe? Wie ist die sogenannte Malware, die den Schaden verursacht, aufgebaut? Welche Lücken werden ausgenutzt? Was sind die Angriffsszenarien? Kurz gesagt: Wo ist er reingekommen, wie – und wer ist es? Wenn wir Spuren finden, mit denen sich Rückschlüsse auf die Angreifer ziehen lassen, geben wir das sofort an die Behörden weiter und arbeiten eng zusammen.

Wie sind die digital aufgestellt? Man hat ja sofort die Amtsstube samt Bergen von Akten vor Augen.

Straßer: Die beiden Landeskriminalämter, mit denen wir meistens zusammenarbeiten – das sind Nordrhein-Westfalen und Baden-Württemberg – leisten herausragende Arbeit. Sie haben auch die internationalen Kontakte. Und ein FBI kommt schnell ins Spiel, wenn es um kritische Infrastruktur in den USA geht. In dem Fall war die Verbindung ein deutscher Mittelständler mit Aufträgen in den USA. Die LKA-Leute sind super engagiert und richtig gut, haben aber das gleiche Problem wie alle anderen auch: Sie sind zu wenige.

Wie sind die Kriminellen organisiert?

Straßer: Es gibt unendlich viele Angreifergruppen. Der Ablauf ist fast immer derselbe: Ein Angreifer dringt ins System ein, sichert Daten, verschlüsselt sie und erpresst die Firma oder Privatperson. Es gibt homogene Gruppen, die vom Suchen der Lücke im System über das Schreiben der schädlichen Programme fast alles selbst machen. Und es gibt Gruppen, die den ganzen Tag nichts anderes machen, als Lücken zu suchen. Die verkaufen sie dann. Dann schreiben andere Programme, um diese Lücken auszunutzen. Dritte wiederum scannen das Internet, um diese Lücken auch anderswo zu finden und für Angriffe zu nutzen. Wieder andere manipulieren die IT, ziehen die Daten der Unternehmen ab, verschlüsseln und erpressen dann.

„Russland ist einer der drei großen Angreifer – und führend bei Erpressungen.“

Was ist mit einem Angriff per E-Mail?

Straßer: Ein anderer Weg sind diese sogenannten Phishing-Attacken. Mitarbeiter einer Firma oder Privatpersonen werden angeschrieben und sollen auf einen Link klicken oder ein PDF öffnen. Dahinter verbirgt sich aber ein schädliches Programm. So öffnet sich den Angreifern eine Lücke, die sie vorher nicht gefunden haben.

Wie schnell wird so ein Angriff bemerkt?

Straßer: Das kann Monate dauern. In der Regel versuchen Angreifer, sich möglichst viele Daten zu sichern, Rechte innerhalb des Systems zu erlangen und Warnsysteme zu manipulieren.

Oft werden russische Hacker hinter solchen Angriffen vermutet. Haben wir einen neuen Kalten Krieg im Internet?

Straßer: Angriffe gibt es eigentlich von allen. Aber Russland ist einer der drei großen Angreifer – und führend bei den Erpressungsszenarien. Quasi staatliche Hacker generieren so nicht zuletzt Einnahmen. Dasselbe gilt für Nordkorea, das Russland da mindestens zuarbeitet. Und dann gibt es noch China. Diese Hacker sind allerdings nicht so sehr auf der Erpresserseite unterwegs, sondern haben Interesse an Industriespionage. Ein Eindringen bemerkt eine Firma manchmal zwei, drei Jahre nicht. Und natürlich gibt es auch Angreifer aus allen anderen Teilen der Welt – auch aus dem befreundeten Westen.

Wie können sich Firmen schützen – und wie Privatpersonen?

Straßer: Ich bin da gnadenlos: Wenn ich E-Mails bekomme von jemandem, den ich gar nicht kenne, lösche ich die ganz einfach, wenn irgendwas verdächtig ist – ein Link, ein Anhang, sonst etwas. Wenn es wichtig ist, wird er sich wieder melden. Oder einen anderen Weg finden, mich zu kontaktieren. Ansonsten müssen die Systeme wirklich immer auf dem neuesten Stand sein, ebenso die Virenscanner. Werden vom Anbieter Updates angeboten, muss man die auf jeden Fall machen, denn die schließen immer irgendwelche Lücken. Nie zu alte Technik einsetzen, ist das A und O. Und wenn es keine Updates mehr gibt für ein Programm, dann muss man das ablösen. Auch die Firewall und andere Sicherheitssysteme müssen immer eingeschaltet sein – und auf dem neuesten Stand.

Also ist präventiv einiges möglich?

Straßer: Ja. Neben der Forensik ist Prävention schon immer unser Schwerpunkt. Wie macht man die IT der Unternehmen sicherer – dazu gehören auch Cloudlösungen. Man muss sich darum genauso kümmern, als wenn man es selbst betreibt. Das gilt auch für Portale, Webshops und andere internetbasierte Applikationen. Wir machen klar, wie angreifbar das Ganze ist. Klar ist aber auch: Absoluten Schutz gibt es nicht.

Weil der Faktor Mensch das unmöglich macht?

Straßer: Ja. Jeder und jede muss beim Surfen wirklich ständig aufpassen. Wo klicke ich da drauf? Welchen Anhang, der mitgeschickt wurde, öffne ich da eigentlich? Nichts ist mehr sicher, auch Fotos oder PDF-Dateien nicht. Oft wird man auch aufgefordert, eine Homepage zu besuchen und seine Daten einzugeben – vermeintlich von der eigenen Bank oder der eigenen Firma. Machen Sie so etwas nie! Das sind die Phishing-Attacken, um an Daten und Passwörter zu kommen. So beginnt es. Und wenn es irgendwie geht und Sie sich das leisten können, sollten Sie verschlüsselte Festplatten benutzen. Und wenn Sie öffentlich Ihren Laptop benutzen, in einem Café oder so: Lassen sie niemals etwas offen herumstehen.

Persönlich

Wolfgang Straßer hat als Programmierer angefangen und war in den 80er Jahren bei der Entstehung der PC-Branche dabei. Aus der Position des Mitglieds der Geschäftsleitung „eines der größten IT-Systemhäuser Deutschlands“ machte er sich 2002 selbstständig und gründete @-yet. Zu inzwischen 80 Mitarbeitern gehören auch Sohn Florian (Technik) und Tochter Lucia (Rechtsabteilung).