München – Der Albtraum bei Krauss Maffei ist noch nicht ausgestanden. Am 20. November bemächtigten sich Hacker großer Teile des Computer-Netzwerks des Münchner Maschinenbauers. Sie infizierten es mit Schadsoftware, die zentrale Dateien des Computersystems verschlüsselten und es damit lahmlegten. Sowohl die Verwaltung des Unternehmens als auch die Produktion in München liefen nur eingeschränkt – und tun es bis heute.
„Wir sind auf dem Weg zum Normalzustand“, sagte ein Sprecher des Unternehmens gestern. Klingt gut. Doch diesen Satz sagte er bereits vor mehreren Wochen. Das Unternehmen will auch kein Datum nennen, wann alles wieder reibungslos läuft. „Es kann schnell gehen“, heißt es. Das lässt Interpretationen offen bis hin zu: „Es kann noch lange dauern.“
Auch der Umfang der Beeinträchtigungen ist nicht klar. „Es war nie völliger Stillstand“, ist eine der Aussagen des Konzerns. Das bedeutet: Nach dem Angriff konnte ein Notbetrieb aufrechterhalten werden. Und es seien nicht alle Standorte des Konzerns betroffen gewesen. Hauptangriffsziel war offenbar die Zentrale in München-Allach. Doch auch im Werk Treuchtlingen stockte zumindest zeitweise die Produktion.
Warum aber dauern die Folgen des Angriffs so lange an? Zentrale Dateien, die das Computersystem für seine Arbeit braucht, wurden verschlüsselt. Sie sind in dieser Form für den Rechner nicht mehr zu verarbeiten. Das ist wie bei Geheimschriften. Nur wer den Schlüssel hat, kann sie entziffern. Dass Krauss Maffei bis heute daran knabbert, kann zweierlei bedeuten. Zum einen: Das Unternehmen hat Erpressungsversuchen der Cyber-Kriminellen nicht nachgegeben. Es kann aber auch heißen: Lösegeld ist geflossen. Doch die nicht identifizierbaren Erpresser rückten trotzdem den Schlüssel nicht raus.
In jedem Fall ist die Entschlüsselung jetzt detektivische Feinarbeit im Detail. Man kann beispielsweise eine Datei – das können Bilder sein, Texte oder Software –, die standardmäßig auf jedem Windows-Rechner installiert ist, mit ihrem verschlüsselten Pendant vergleichen – und so versuchen, an den Schlüssel zu kommen. Vielleicht aber gibt es verschiedene Schlüssel im System. Spezielle Entschlüsselungs-Software kann helfen. So lässt sich in kleinen, mühsamen Schritten die Architektur mit viel Glück rekonstruieren. Je komplexer ein Netzwerk aufgebaut ist, desto schwieriger ist es, das System nach einem erfolgreichen Angriff wieder neu aufzubauen.
Wie aber können Angreifer in das Computersystem eines Hightech-Unternehmens eindringen? Absolute Sicherheit gibt es nicht. Jeder E-Mail-Anhang kann Schadsoftware enthalten, Jeder unbedacht angeklickte Link eine Katastrophe verursachen. Beides ist weit verbreitet.
Doch es gibt auch andere Angriffspunkte: Schwachstellen im Netzwerk. So ein Netz ist eben nicht nur ein System, in dem Rechner, wie sie auf jedem Schreibtisch stehen, miteinander in Verbindung treten können. Es gibt Router, Drucker, Scanner, Kameras, Telefone bis hin zu rechnergesteuerten Lichtschaltern. Sie alle enthalten selbst Rechner, von denen manche nur lausig abgesichert in Unternehmensnetzwerke eingebunden sind. Das sind Geheimtüren zum System. Auch Heimarbeitsplätze oder Laptops, mit denen man von unterwegs ins Firmennetzwerk kann, bieten sich als illegale Zugänge oft an.
Wer Schwachstellen kennt und die Befehlscodes, die die entsprechenden Geräte steuern, kann sich damit Schritt für Schritt durch ein Firmen-Netzwerk vorarbeiten und oft auch Passwörter abgreifen, die die Tore zu gut abgesicherten Bereichen öffnen.
Man darf sich das durchaus vorstellen, wie eine Einbrecherbande, die durch das Lüftungssystem eines Gebäudes robbt, und sich dabei den Zutritt zu Hochsicherheitsbereichen verschafft.
Cybersicherheit ist immer auch ein Wettbewerb zwischen der einen Seite, die alles daran setzt, EDV-Systeme sicherer zu machen und der anderen, die mit allem Mitteln versucht, die Sicherheitsbarrieren zu überwinden. Gegenwärtiger Stand in diesem Duell: Unentschieden.