Cybersecurity bei thyssenkrupp: Die Jagd nach den Unbekannten

Die Gefahr durch Hacker und Cyberangriffe steigt seit Jahren. Im Fokus stehen dabei zunehmend Industrieunternehmen wie thyssenkrupp. Die Motivation der Angreifer:innen: Der Diebstahl von Industriegeheimnissen und Daten, Sabotage und Erpressung. Es sind Cybersecurity-Experten wie Marc Kleffmann und Florian Saager, die den Hacker:innen den Kampf angesagt haben. Ihr Gegner: Immer häufiger die organisierte Kriminalität. Entsprechend anspruchsvoll und spannend ist ihre Arbeit, die immer wieder an einen Thriller und echte Detektivarbeit erinnert. Die Herausforderungen werden dabei immer größer – und es gibt einen gefährlichen Trend.

Der Schaden durch den Diebstahl von IT-Daten, Industriespionage und Sabotage ist enorm. Der Branchenverband Bitkom schätzt den Schaden für die deutsche Wirtschaft 2023 auf 206 Milliarden Euro. Laut einer Bitkom-Studie haben Cyberangriffe durch die Organisierte Kriminalität dabei deutlich zugenommen. Die Attacken auf deutsche Unternehmen seien zunehmend bandenmäßig organisiert.

Das Cyber Defense Center bei thyssenkrupp

Marc Kleffmann und Florian Saager sind als Cybersecurity-Profis im Cyber Defense Center bei  thyssenkrupp für die Vermeidung und Abwehr von Cyberangriffen verantwortlich. Florians Bereich, das Offensive Security Team, übernimmt dabei die „Angreiferrolle“: Florian und seine Kolleg:innen simulieren IT-Angriffe mit dem Ziel, Schwachstellen in der IT-Infrastruktur aufzudecken, bevor es echte Angreifer:innen tun.

Cybersecurity bei thyssenkrupp: IT Expert:innen gegen Hackerangriffe
zoom

„Meine Aufgabe ist die Organisation und Durchführung sogenannter Penetration-Tests – eine Art Sicherheitsanalyse, bei der wir die eigenen Systeme manuell auf Sicherheitslücken testen“, verrät Florian. Ziel dieser simulierten Hackerangriffe sind etwa die Produktionsstandorte des Technologie-Unternehmens. „Wir versetzen uns in die Rolle des Angreifenden: Wir schauen uns zum Beispiel an, wie das Netzwerk segmentiert ist und welche Einstiegspunkte es in das Netz gibt? Wo kann ich mich ausbreiten und bis wohin komme ich? Kann ich das System vielleicht komplett ownen, also übernehmen? Das alles natürlich mit dem Ziel, die eigene Verteidigung zu stärken“.

Die „Verteidigerrolle“ übernimmt Marc Kleffmann mit dem Computer Emergency Response Team, dem sogenannten CERT. Zwei der wichtigsten Aufgaben: Die Threat Intelligence und die Incident Response. „Im Bereich der Threat Intelligence beobachten und analysieren wir die  Bedrohungslandschaft“, berichtet Marc. „Wir analysieren beispielsweise, wie große Angreifergruppen arbeiten, wie wir uns auf etwaige Angriffe vorbereiten und wie wir reagieren können“.

Kontinuierlich auf neue Bedrohungen und Szenarien einstellen

Das Cyber Defense Center muss sich dabei kontinuierlich auf neue Bedrohungen und Szenarien einstellen. „Es gibt nicht den einen Angriffssektor, der typisch ist für thyssenkrupp“, so Marc. „Wir müssen unterscheiden zwischen einzelnen Business-Segmenten. Marine Systems etwa funktioniert völlig anders als Automotive oder Steel und da sind auch die Angriffsmotive entsprechend anders. Aus diesem Grund müssen wir uns mit anderen Angreifer:innen, mit anderen Angriffstypen auseinandersetzen“. Die Motivation der Angreifenden kann also genauso gut Industriespionage mit dem Diebstahl von Patenten oder Baukonstruktionen, als auch Erpressung sein. Marc: „Es gibt durchaus Angreifer:innen, die sich überhaupt nicht für die Art der Daten interessieren, sondern die versuchen, auf möglichst viele Systeme Zugriff zu erlangen, diese zu verschlüsseln und ein Lösegeld für die Freigabe zu verlangen.“

Und häufig geht es auch gar nicht primär um die kritischen Server, weiß Marc. „Es gibt durchaus Angreifer:innen, die versuchen, einfach irgendeinen Mitarbeitenden auszutricksen, um Zugriff auf den Account zu bekommen und von da aus entweder weiter zu springen oder die Zugangsdaten im Darknet zu verkaufen. Kriminelle können diesen Account dann kaufen und ihn übernehmen und von da aus eigene Ziele verfolgen.“

Mit Playbooks gegen die Angreifenden

Diese kleinen Angriffsversuche – etwa per Phishing-Mail - werden in der Regel von automatischen Filtermöglichkeiten und Virenscannern abgefangen. Bei einem größeren Verdachtsfall ist das Vorgehen immer gleich: : „Wenn wir Anomalien bemerken, wenn also in der Infrastruktur etwas passiert, das typischerweise nicht auftreten sollte, kommen unsere Playbooks zum Einsatz“, berichtet Marc. Anhand eines festgelegten Vorgehens analysieren die Cybersecurity-Profis die festgestellte Anomalie. Sollte es sich tatsächlich um einen Angriff handeln, gilt es, keine Zeit zu verlieren.

Nachdem Management und Fachabteilung informiert wurden, werden zunächst Personal und sonstige Ressourcen geplant, um den Angriff abzuwehren. Dann heften sich die IT-Profis an die Spur des Angreifenden. Dann greifen Routinen, die moderner Detektivarbeit in nichts nachstehen. Es kommen Prozesse zum Einsatz, die einem Thriller gleichen. Marc: „Wir beginnen sofort mit der Analyse: Was macht der Angreifende? Welche Techniken verwendet er? Welche Möglichkeiten und Motive hat er? Was hat er schon an Systemen und Accounts übernommen?“

Cybersecurity bei thyssenkrupp: IT Expert:innen gegen Hackerangriffe
zoom

Bei ihrer Ermittlungsarbeit müssen Marc und Co. extrem vorsichtig zu Werke gehen. Denn: „Solange er uns nicht bemerkt, haben wir die Chance, ihn zu analysieren, was er macht, was er kann. In dem Moment, in dem wir ihn aufschrecken, wird er sehr wahrscheinlich etwas völlig anderes machen. Dann besteht auch das Risiko, ihn nicht mehr aufspüren zu können. Wir müssen den richtigen Zeitpunkt abpassen, um zurückzuschlagen, bevor er sein Ziel erreicht hat.“ Dazu werden alle Ressourcen des Cyber Defense Centers zusammengezogen. Nicht nur intern wird extrem eng zusammengearbeitet. Auch die Zusammenarbeit mit den Behörden gehört dazu: Polizei, Staatsanwaltschaft, Landes- und Bundeskriminalamt.

„Teambuilding in Reinform“

Große Hackerangriffe sind laut Florian durchaus eine „intensive Erfahrung“, eine fachliche Herausforderung – und deshalb eben auch „sehr spannend“. Nicht selten nehmen die Security-Profis so einen Angriff persönlich, wie Marc zugibt. Schließlich hängt vieles dran: „Es kommt immer schnell der Punkt, an dem einem bewusst wird, dass so ein Angriff bei einer Unternehmensfamilie wie thyssenkrupp schnell sehr teuer werden kann. Wenn die Produktion eines Automobilzulieferers ausfällt, geht es schließlich um Millionen. Das ist für unser Team schon eine enorme Motivation“. Die enge Zusammenarbeit mit den Kolleg:innen, zumal unter Zeit- und Hochdruck, sei „Teambuilding in Reinform“, ist Marc überzeugt.

Wenn der Angriff abgewehrt wurde, ist für die IT-Expert:innen die Arbeit längst noch nicht zu Ende. Marc: „Dann fängt die Aufräumarbeit an. Das heißt, alle Systeme, die kompromittiert sind und alle Accounts müssen neu aufgesetzt werden. Da reden wir schon mal über Monate, bis das erneuert ist." Über Arbeit können sie sich im Cyber Defense Center also nicht beklagen. Und über neue Herausforderungen auch nicht.

Cyber-Angriffe als Service-Pakete

„Bis vor rund fünf Jahren war es so, dass die großen Angreifergruppen sehr professionelle Angriffe gefahren haben. Und es gab sehr viele sehr kleine Angreifer:innen, die mit kleineren Maßnahmen wie Phishing-Mails gearbeitet haben. Seit ein paar Jahren jedoch sind viele „As-a-Service“-Anbieter:innen (SaaS) auf den Plan getreten, die Ransomware-as-a-Service oder Phishing-as-a-Service, also regelrechte Dienstleistungspakete, anbieten“. Bedeutet: Seit Neuestem haben auch fachlich nicht sonderlich versierte Kriminelle die Möglichkeit, für relativ wenig Geld sehr professionelle Cyber-Angriffe einzukaufen oder zu mieten.

Dann wird es im Cyber Defense Center Zeit für die nächste Teambuilding-Maßnahme.