Am 3. August 2022 schaltete die IHK-Gesellschaft für Informationsverarbeitung (IHK-GfI), IT-Dienstleister der IHK-Organisation in Deutschland, die bei ihr gehosteten IT-Systeme der IHK Bodensee-Oberschwaben ab. Dadurch ging die Webseite der IHK offline und die Mitarbeitenden waren weder telefonisch noch per E-Mail erreichbar. Verschiedene interne und externe Software-Anwendungen der IHK funktionierten nicht mehr. In unterschiedlicher Form waren die IT-Systeme aller 79 Industrie- und Handelskammern in Deutschland betroffen.
Wie aktuelle Erkenntnisse nun zeigen, war dies der richtige Schritt, um die IHK Bodensee-Oberschwaben und ihre Mitgliedsunternehmen vor gravierenden Schäden zu bewahren. Hinter dem Cyber-Angriff stecken nach Erkenntnissen der IT-Forensiker extrem professionelle Hacker. Die Vorgehensweise der Hacker deutet auf einen Angriff zum Zweck der Spionage oder Sabotage hin, auch wenn sich ein finanziell motivierter Hintergrund des Angriffs noch nicht ausschließen lässt.
Von langer Hand vorbereitet
Die IHK-GfI entdeckte am 3. August ein auffälliges Verhalten in ihren IT-Systemen. Die Expertinnen und Experten des IHK Cyber Emergency Response Teams (IHK-CERT) der IHK-GfI haben den Vorfall daraufhin unverzüglich untersucht. In Zusammenarbeit mit externen IT-Sicherheitsexpertinnen und -experten entschied die IHK-GfI, aus Sicherheitsgründen die Verbindung aller Industrie- und Handelskammern zum Internet zu trennen. Ein solches Vorgehen verwehrt Angreiferinnen und Angreifern den weiteren Zugriff auf die Systeme und verhindert somit eine Fortführung des Angriffs, insbesondere den Diebstahl oder die mögliche Verschlüsselung von Daten. Dadurch konnte die IHK-GfI den Angriff stoppen. Wie die IHK-GfI nun aktuell mitteilt, zeigen die Ergebnisse der IT-Forensik, dass der Angriff von langer Hand vorbereitet wurde. Die von den Hackerinnen und Hackern eingesetzten Werkzeuge zur Manipulation sind hochentwickelt. „Bei der Cyber-Attacke auf die IHK-Organisation handelt es sich um einen extrem professionellen Angriff“, bestätigt Dr. Christoph Hebbecker, Staatsanwalt bei der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) in Köln.
Angriff erkannt und aufgehalten
Nach Einschätzung der externen Expertinnen und Experten reagierte die IHK-GfI konsequent und unter dem Gesichtspunkt der wirtschaftlichen und politischen Rahmenbedingungen und aus der Erfahrung aus vergleichbaren Vorfällen absolut angemessen.
Aufgrund der Professionalität und Diskretion der Hackerinnen und Hacker bewertet die IHK-GfI das Risiko weiterer Angriffe als hoch. Daher werden die Software-Anwendungen und IT-Systeme der IHKs nur nach intensiver Prüfung schrittweise hochgefahren. Bis alle Industrie- und Handelskammern deutschlandweit wieder voll funktionsfähig arbeiten können, wird es folglich noch einige Wochen dauern. Dies gilt auch für die IHK Bodensee-Oberschwaben: Zwar ist die Webseite der IHK in Teilen wieder online und die Mitarbeitenden sind wieder weitgehend telefonisch erreichbar. Zudem stehen verschiedene Online-Services zwar zur Verfügung, die Bearbeitung von Anfragen und Anträgen kann aber noch nicht in allen Fällen erfolgen. Bis die IHK-Bodensee-Oberschwaben ihren Mitgliedsunternehmen wieder vollständig mit ihren digitalen Services zur Verfügung stehen kann, wird es noch dauern. Trotzdem ist die IHK arbeitsfähig. Unter www.ihk.de/bodensee-oberschwaben finden Mitgliedsunternehmen Informationen zu verfügbaren sowie eingeschränkten Services sowie die Ansprechpersonen für ihre Anliegen.
Gefahr von Trittbrettfahrern
Außerdem warnen die IHK Bodensee-Oberschwaben und die IHK-GfI ausdrücklich vor Trittbrettfahrerinnen und Trittbrettfahrern. Der Bekanntheitsgrad des Vorfalls ruft mit hoher Wahrscheinlichkeit weitere Kriminelle auf den Plan: Diese könnten Phishing, Social-Engineering und andere Methoden einsetzen, um von der Situation zu profitieren. Daher sollte man besonders wachsam sein im Umgang mit (vermeintlichen) E-Mails der IHK. Zuletzt verschickten Kriminelle beispielsweise Phishing-E-Mails, die Mitgliedsunternehmen aufforderten, sich „neu zu identifizieren“, ansonsten würde der jeweilige Account nach einer gewissen Frist gesperrt werden. Wenn Zweifel bestehen, ob eine E-Mail tatsächlich aus der IHK stammt, so sollte zur Absicherung eine kurze telefonische Klärung stattfinden.
