Der Angriff erinnert verdächtig an die Attacken auf das iranische Atomprogramm mit Hilfe des Computerwurms Stuxnet. In diesem Jahr infizierten Cyberkriminelle die Software eines deutschen Maschinenbauers mit Schadsoftware. Kunden, die die Maschinen betrieben und die dazugehörige Software auf den neuesten Stand brachten, luden sich den Schadcode ins System.

Die Aktion war kein Einzelfall, sagt Steve Durbin vom Information Security Forum, einer Nicht-Regierungsorganisation, die sich mit IT-Sicherheit beschäftigt. Angriffe auf Lieferanten als verlängerte Werkbank nehmen zu. "Die Zulieferer werden mehr und mehr zum Ziel - als Weg in große Unternehmen."

Vernetzung als Einfallstor

Das Problem ist die wachsende Vernetzung der Wirtschaft: Wenn Firmen inzwischen mit gemeinsamen Bestellsystemen oder anderer Software arbeiten, kann das ein Einfallstor für Hacker sein. "Das Argument, ich bin zu klein, ist entkräftet", sagt Marc Fliehe, IT-Sicherheitsexperte beim Branchenverband Bitkom. Kleine Ingenieurbüros seien sehr attraktive Angriffsziele, um beispielsweise in die Systeme von Autoherstellern zu gelangen und dort zu spionieren. "Gefährdung entsteht immer dort, wo Werte vorhanden sind", heißt es beim Bundesamt für Sicherheit in der Informationstechnik (BSI) - also selbstverständlich auch bei kleinen, innovativen Firmen.

Nach Daten der Sicherheitsfirma Symantec zielen rund 27 Prozent der Angriffe auf kleine und mittelgroße Firmen mit weniger als 250 Mitarbeitern. Gut die Hälfte der Attacken haben Großunternehmen mit mehr als 2500 Beschäftigten im Visier. "Dieser Anteil war in den vergangenen Jahren weitgehend stabil" sagt Symantec-Virenjäger Candid Wueest. Aber: "Im Moment sprechen nur wenige über Angriffe, jeder muss seine Fehler selbst machen."

Sind - anders als beim jüngsten Hacker-Angriff auf Sony Pictures - keine Kundendaten oder private Informationen von Mitarbeitern betroffen, werden die Vorfälle in der Regel nicht öffentlich. Bei der vom BSI und dem IT-Branchenverband Bitkom ins Leben gerufenen Allianz für Cybersicherheit, wo Firmen Hackerangriffe freiwillig bekannt geben, haben sich bislang rund 1000 Firmen angemeldet. Aber lediglich 160 Vorfälle wurden in zwei Jahren gemeldet. Die Bundesregierung plant nun ein IT-Sicherheitsgesetz, in dem eine Meldepflicht zumindest für Vorfälle vorgesehen ist, die kritische Infrastrukturen wie Versorger oder Telekom-Unternehmen betreffen.

Doch während viele Firmen Probleme verschweigen, zählt das BSI täglich weitere Attacken. "Die Angriffe werden immer ausgefeilter", beobachtet Steve Durbin. Besondere Kopfschmerzen macht Sicherheitsexperten die aktuell im Umlauf befindliche Schadsoftware "Regin", die die grundlegenden Konzepte gängiger Antivirenprogramme aushebelte. Sicherheitsexperten vermuten als Urheber der entsprechenden Angriffe einen oder mehrere Geheimdienste. Hinzu kommt, dass Hacker-Gruppen finanziell gut ausgestattet sind und deshalb auch mehr Zeit in einen Angriff investieren können. Haben sie sich einmal Zugang zum System verschafft, verhalten sie sich zunächst möglichst ruhig, um die größtmögliche Beute zu ergattern.

Nach wie vor sind gezielte Attacken ein beliebtes Angriffsmittel. Auf persönliche Interessen zugeschnittene und mit Spähsoftware gespickte E-Mails werden an Zielpersonen geschickt, die Zugriff zu relevanten Informationen haben. Für die Ziele interessante Seiten werden mit Schadsoftware gespickt. Die wiederum installiert sich nur, wenn die IP-Adresse des Opfers interessant für die Hacker ist. "Häufig ist menschliches Versagen ein Problem", sagt Wueest. So werden Passwörter für mehrere Accounts verwendet. Weil sie in der Regel digitalen Zugriff auf wertvolle Daten haben, werden Manager häufig Ziel gezielter Attacken. Solche Angriffe gleichen einem gut geplanten Einbruch, bei dem die Datendiebe sich bemühen, möglichst wenig Spuren zu hinterlassen. Die Hacker suchen dabei nach Schwachstellen im System, das können zum Beispiel ausgespähte Passwörter sein.

Unter den Begriff "Social Engineering" fallen besonders perfide ausgearbeitete Angriffe, bei denen mit Hilfe sozialer Medien wie Facebook , aber auch mit Telefonanrufen die Vorlieben der Zielpersonen ausspioniert werden. Mit Schadsoftware gespickte E-Mails werden dann mit den interessanten Informationen angereichert, damit der Angegriffene auch ganz sicher anbeißt und unfreiwillig Trojaner und andere Spähprogramme installiert.

Zugenommen haben außerdem Strategien mit infizierten Webseiten. Für die Zielpersonen interessante Seiten werden mit Schadsoftware präpariert. Die springt allerdings oft nur an, wenn die Seite die IP-Adresse des Computers eines Opfers als relevant erkennt.

bsi.bund.de