Die digitale Erste Hilfe

Karlsruhe Als Dr. Alfons Schmid vor seinem Computer sitzt, geht plötzlich so gut wie nichts mehr. Der niedergelassene Arzt kommt nicht mehr an die Daten seiner Patienten heran. Sie sind plötzlich verschlüsselt. Honorare für seine bereits geleistete Arbeit kann er deshalb nicht abrechnen. Und dann auch noch das: In einem digitalen Schreiben fordern Kriminelle ihn auf, mehr als 5000 Euro Lösegeld in Form von der digitalen Währung Bitcoin zu bezahlen. Nur dann erhalte er einen Code, um seine Daten wieder zu entschlüsseln. Schmid zahlt nicht. Stattdessen sucht er mit dem Handy im Internet nach Hilfe und wählt eine Notfallnummer, die er findet. Er landet in Karlsruhe.

In der Fächerstadt, beim Forschungszentrum Informatik (FZI), sitzt die Cyberwehr. Sie besteht aus drei Mitarbeitern, die sich seit nunmehr fünf Monaten um Anrufe wegen IT-Angriffen kümmern. Das neue Angebot richtet sich vor allem an Mittelständler, aber auch an Dienstleister wie Ärzte, Steuerberater und selbstständige Ingenieure, die sich keine eigenen IT-Spezialisten leisten können und Opfer eines Hackerangriffs oder eines Schadprogramms geworden sind.

Initiiert hat die Cyberwehr der Innen- und Digitalisierungsminister des Landes, Thomas Strobl. Der CDU-Politiker sieht darin die Chance, einen Standortvorteil zu generieren. Baden-Württemberg sei die Innovationsregion Nummer eins in Europa und habe viele heimliche Weltmarktführer, sagt er. Das Wissen und der Vorsprung müssten geschützt werden, man habe „richtig was zu verlieren“. Gerade viele kleine und mittlere Unternehmen unterschätzen aus Sicht des Ministers die Gefahren und Risiken von IT-Sicherheitslücken. Und dringen Kriminelle erst mal in das System einer Firma ein und klauen oder verschlüsseln sensible Daten, ist es meistens zu spät – und der Schock bei den Betroffenen gewaltig.

„Es gibt offensichtlich eine Hemmschwelle, die Polizei einzuschalten“, sagt Innenminister Strobl. Studien aus den vergangenen Jahren belegen dies. Die Zentrale Ansprechstelle Cybercrime (ZAC), also für digitale Kriminalität, beim Landeskriminalamt (LKA) in Stuttgart geht deshalb von einer hohen Dunkelziffer von Fällen aus, in denen sich geschädigte Unternehmen nicht trauen, eine Strafanzeige zu stellen. Die einen schämen sich, Opfer geworden zu sein. Andere fürchten, dass ihr Ruf beschädigt werden könnte, falls Geschäftspartner oder Kunden davon erfahren und sich um ihre Daten sorgen.

Im Gegensatz zur ZAC, die Täter ermitteln und Straftaten aufklären will, konzentriert sich die Cyberwehr auf die Geschädigten und hilft ihnen ganz diskret. Geht ein Anruf ein, nehmen Christoph Frohneberg, Tobias Müller oder Marc Nemes den Telefonhörer ab. Sie beruhigen – sofern nötig – den Anrufer und versuchen, anhand von standardisierten Fragen die IT-Architektur des Unternehmens zu erfassen und das Problem möglichst präzise zu diagnostizieren. „Wir klopfen die Situation auf Schwachstellen ab“, sagt Frohneberg, der Leiter der Cyberwehr. Am Ende steht eine Situationsanalyse, in der die Mitarbeiter zusammenfassen, wie der Schaden aussieht und wie er sich entwickeln könnte. „Auf dieser Grundlage geben wir dem Betroffenen auch schon erste Handlungsempfehlungen“, ergänzt sein Kollege Müller. So könne man zumindest verhindern, dass der Schaden sich weiterverbreite.

Die Cyberwehr-Mitarbeiter weisen in den Gesprächen ebenso auf Meldepflichten bezüglich des Datenschutzes hin wie auf die Möglichkeit, eine Strafanzeige zu erstatten. „Wir erklären, was passiert, wenn Betroffene sich ans Landeskriminalamt wenden“, sagt Frohneberg. Das reduziere die Hemmschwelle. Ob die Anrufer die polizeilichen IT-Spezialisten kontaktieren, bleibt letztlich aber ihnen selbst überlassen. Die Cyberwehr wahrt in allen Phasen absolute Vertraulichkeit und gibt die einzelnen Fälle nicht weiter.

Weil die Cyberwehr als Forschungsprojekt angelegt ist und das Land es während der rund eineinhalb Jahre dauernden Pilotphase mit 1,8 Millionen Euro finanziert, ist die Erste Hilfe am Telefon vorerst sogar kostenlos. Und die reicht oftmals sogar aus. Das Gros der Fälle habe man bislang am Hörer abarbeiten können, sagt Müller. Ist ein Angriff gravierend und wünscht sich ein Unternehmen Spezialisten vor Ort, vermitteln die Cyberwehr-Mitarbeiter gleichwohl erfahrene IT-Sicherheitsexperten von vier ausgewählten und zertifizierten Dienstleistern aus Karlsruhe und der Umgebung. Anders als vom Ministerium im Konzeptstadium der Cyberwehr zunächst suggeriert, übernimmt aber nicht der Steuerzahler die Kosten für den Vor-Ort-Einsatz, sondern der Auftraggeber. Es handele sich um eine Dienstleistung eines privaten Unternehmens, insofern müsse diese nicht staatlich finanziert werden, erläutert der Geschäftsführer des Projektpartners Cyber-Forum in Karlsruhe, David Hermanns: „Wenn ich einen Notschlosser brauche, muss ich den ja auch bezahlen.“

Die Notfallteams, die Strobl „digitale Tatortreiniger“ nennt, gehen stets nach einem einheitlichen Muster vor. So identifizieren sie zum Beispiel das Einfallstor für den Cyberangriff, versuchen – sofern das möglich ist – die Daten wiederherzustellen und beraten über Möglichkeiten, wie sich das geschädigte Unternehmen vor Angriffen besser schützen kann.

Von August bis Ende Dezember 2018 hat die Cyberwehr bereits 36 Fälle bearbeitet. Die meisten davon seien – wie bei Dr. Schmid – sogenannte Ransomware gewesen, also Verschlüsselungstrojaner. Solche digitalen Erpressungen sind selbst für Experten aussichtslos, ohne aktuelle Sicherungskopie sind die Daten in aller Regel verloren. Ein anderes weit verbreitetes Problem ist der digitale Betrug über falsche Identitäten und Rechnungen in E-Mails. Weil sich die Betrüger meist als Chefs ausgeben, um Firmen zu einer Überweisungen zu bewegen, werden diese Fälle in der Fachsprache CEO-Fraud, Geschäftsführer-Betrug, genannt.

Als Teil des Forschungszwecks sammelt die Cyberwehr Erkenntnisse über Sicherheitslücken und Angriffspunkte bei Unternehmen und leitet diese anonymisiert an Sicherheitsbehörden weiter. So soll das polizeiliche Dunkelfeld aufgehellt und die Prävention verbessert werden. Bundesweit ist das baden-württembergische Projekt einmalig. Eine vergleichbare Kontakt- und Beratungsstelle für Opfer von IT-Angriffen gibt es sonst nirgends. Strobl betont daher, dass man mit der Cyberwehr „absolutes Neuland“ betrete, und bittet um Geduld.

Eben weil das so ist, beschränkt sich das Einsatzgebiet derzeit auf Karlsruhe und die nähere Umgebung. Der Leiter des Kompetenzzentrums IT-Sicherheit am FZI und übergeordneter Chef von Frohneberg und seinen Kollegen, Dirk Achenbach, sagt, man strebe „ein seriöses Wachstum“ an. Es bringe niemandem etwas, wenn man ein Angebot für das ganze Land schaffe und man absaufe, weil man keine Partner habe und die Nachfrage nicht befriedigen könne.

Nach wie vor sind Frohneberg und seine Mitarbeiter dabei, zu lernen und Konzepte zu optimieren. Die Hotline im FZI ist derzeit nur tagsüber besetzt. Im Lauf des Januar soll die Cyberwehr durch die Zusammenarbeit mit einem Dienstleister aber rund um die Uhr und sieben Tage in der Woche erreichbar sein. Ab dem nächsten Jahr, so ist es geplant, soll das Projekt schrittweise in dezentralen Strukturen auf den ganzen Südwesten ausgeweitet werden.

Bei einem Besuch des FZI vor wenigen Wochen zeigte sich Minister Strobl überaus zufrieden von den ersten Eindrücken und Ergebnissen der Cyberwehr. Er habe zwar keine schlaflosen Nächte gehabt, sagt der Minister im Rahmen eines launigen Werkstattgesprächs, aber ganz zu Beginn habe er befürchtet, „dass dort jeder anruft, dessen Computermaus wackelt“. Das allerdings, beruhigt Cyberwehr-Leiter Frohneberg mit einem breiten Grinsen, sei bislang nicht vorgekommen.