Wilhelm Reimann (r.) und Marcel Sitran

EDV

Elektronische Datenverarbeitung. Gleichnamige Abteilung (auch bekannt als IT) kümmert sich um das Nervensystem jedes Unternehmens: die IT-Netze und -Geräte. Im IW damit betraut, dass die digitale Infrastruktur den Erfordernissen entspricht, modern und funktionsfähig ist – und gesichert gegen Angriffe von außen.

Der IW-Verbund scheint für Hacker ziemlich attraktiv zu sein: 94 Prozent der rund 2,5 Millionen monatlich eingehenden E-Mails an @iwkoeln.de-Adressen sind Spam. Der weltweite Durchschnitt beträgt „nur“ 50 Prozent. Und bei diesen unerwünschten Nachrichten handelt es sich schon lange nicht mehr nur um Werbung oder die jüngste Betrugsmasche mit angeblichen afrikanischen Prinzen.

„Es gibt permanent Hackerangriffe. Täglich versuchen Fremde, auf unser Netzwerk zuzugreifen“, sagt Wilhelm Reimann, Leiter der EDV-Abteilung im IW. „Dabei ist die E-Mail das Haupteinfallstor, über das Cyber-Kriminelle versuchen, Malware oder Ransomware in das IT-Netzwerk einzuschleusen.“

Erpressen und manipulieren

Häufig geht es ums Geld. Mit Ransomware, einer Art digitalem Erpressungsprogramm, versuchen Hacker, lokale Dateien oder ganze Laufwerke zu verschlüsseln und verlangen dann Geld, um sie wieder zu entschlüsseln. Die Opfer sollen in der Cyberwährung Bitcoin bezahlen, meist zwischen 0,5 und 1 Bitcoin. Mitte April 2018 war 1 Bitcoin 7.000 Euro wert. Adressen und andere auf IW-Laufwerken vorhandene persönliche Daten sind dabei genauso interessant wie noch unveröffentlichte Forschungsergebnisse. „In seltenen Fällen sind Cyber-Angriffe auch politisch motiviert. Dahinter könnte beispielsweise jemand stecken, der unseren Content manipulieren will“, sagt Reimann. Und die Gefahr wächst: Im Jahr 2016 registrierte das Bundeskriminalamt 972 Fälle von Ransomware-Attacken. 2015 waren es noch 500.

Längst sind Hacker keine einsamen Kellerkinder mehr, sondern treten in organisierten Banden auf. Die arbeiten professionell und entwickeln immer komplexere Programme, deren Code sie permanent umschreiben und so die Abwehrarbeit immer mühseliger machen. „Für uns wird es schwieriger, diese zu erkennen“, erklärt Marcel Sitran, Netzadministrator und im IW ebenfalls für die IT-Sicherheit zuständig. „Es ist ein Katz-und-Maus-Spiel. Die Hacker sind immer weiter als die Sicherheitsexperten. Wir können nur versuchen, uns vor Angriffen zu schützen.“

Mehrere Sicherheitsringe

Um die IT-Sicherheit zu gewährleisten, betreibt das IW einen enormen Aufwand. Zur Grundausstattung gehören zwei Firewalls. „Die verhindern schon mal, dass keine direkte Kommunikation mit dem Internet und dem IW-Netzwerk stattfindet“, sagt Sitran. „Hier laufen Hacker also sprichwörtlich gegen Wände.“

Die Firewalls sind umgeben von der sogenannten Demilitarisierten Zone (DMZ), einem Sicherheitsring, der für Angreifer von außen nicht erkennbar ist. Sitran: „Die DMZ bildet einen Ring um unser Intranet. Geräte darin können aus dem Internet erreicht werden – zugleich schützt die DMZ unser Intranet aber vor direktem Zugriff.“ Und damit es nicht dazu kommt, dass Mitarbeiter virenverseuchte Seiten besuchen, wappnet sich das IW mit einem Filter. „Die Mitarbeiter können bestimmte Seiten gar nicht ansteuern, sondern erhalten stattdessen eine Meldung, dass diese blockiert wurden.

Das sind zum Beispiel Anbieter von Online-Spielen sowie Seiten mit pornografischen oder rechtsextremen Inhalten“, erklärt Sitran. Solche Seiten sind häufig Virusfallen, wer sie besucht, fängt sich leicht und meist unbemerkt Schadprogramme ein.

Die Wirksamkeit der Vorkehrungen lässt das IW durch externe Sicherheitsspezialisten überprüfen. Dabei werden unter anderem Hackerangriffe simuliert. „Entsprechend müssen unsere Schutzmaßnahmen immer auf dem neuesten Stand sein“, erklärt Sitran.

E-Mails und Endgeräte als Einfallstore

Der einfachste Weg für Hacker, in ein fremdes Netzwerk zu gelangen, bleibt die E-Mail. Adressen sind leicht herauszufinden, zumal sie in Unternehmen meist Konventionen folgen wie nachname@iwkoeln.de. Haben Hacker die Adressen, versenden sie massenhaft Mails mit schädlichen Anhängen in der Hoffnung, dass mindestens ein Empfänger sie öffnet. „Um es den Hackern so beschwerlich wie möglich zu machen, setzen wir seit Ende 2017 das sogenannte Business-Mail-Protect ein“, sagt Reimann. Dieses System überprüft Dateianhänge, bevor sie überhaupt zugestellt werden und klassifiziert sie anschließend als gut oder böse. „Das ist sehr aufwendig, aber ohne geht es nicht.“

Erschwerend kommt die wachsende Anzahl an Endgeräten im Haus hinzu. Zusammengezählt nutzen die IW-Mitarbeiter rund 600, dazu zählen Windows-PCs und Macs, Notebooks, Surface-Tablets und Smartphones. Im Jahr 2013 waren es noch 546. Auch über solche Endgeräte können Viren ins Haus gelangen. „Deswegen aktualisieren wir die Virenscanner auf den Endgeräten permanent. Denn wenn hier Schadsoftware zum Beispiel durch einen USBStick auf einen PC gelangt, bekommt das die Firewall im Serverraum nicht mit“, betont Sitran. Geräte wie Drucker, Telefone und Router wiederum sind Teil des geschützten Intranets mit der DMZ außen herum.

Auch die menschliche Firewall ist wichtig

Das Sicherheitskonzept der IT-Abteilung geht auf. „In den vergangenen Jahren hatten wir nur einen ernst zu nehmenden Sicherheitsvorfall. Ein Hacker hatte einem Mitarbeiter eine E-Mail mit dem Lockey-Virus als Dateianhang zugesendet, einer Ransomware. Den hat der Mitarbeiter dann leider ohne Plausibilitätsprüfung geöffnet“, erzählt Reimann. Die Folge war ein verschlüsseltes Laufwerk. „Auf die Zahlungsaufforderung sind wir aber nicht eingegangen.“ Das war auch nicht nötig, denn es gab Back-ups: Täglich erstellen die IT-Spezialisten im IW Sicherungskopien, aus denen sich Laufwerke und die Daten darauf wiederherstellen lassen.

Es ist daher nicht die Technik alleine, die vor Viren und Malware schützt, betonen die Experten. Wichtig ist, dass die Mitarbeiter sensibilisiert sind und aktiv als eine quasi menschliche Firewall und Teil der Sicherheitsstrategie mitwirken. Dazu gehören regelmäßige Schulungen und Workshops. „Denn der erste Angriffspunkt für Hacker ist und bleibt der Mensch vor dem Computer“, sagt Reimann.

E-Mail
Über das Internet versandte Textnachricht. Einfachster Weg für Hacker, auf Netzwerke zuzugreifen. Enthält häufig sensible Informationen, häufiger Smileys.

End|ge|rät
Internetfähige Geräte wie Computer, Tablets, Smartphones. Laut Prognosen soll sich die Anzahl der Endgeräte in einem Fünfjahreszeitraum weltweit verdoppeln – von 25 Milliarden im Jahr 2015 auf 50 Milliarden 2020. Je mehr Endgeräte, desto mehr potenzielle Angriffsziele.

Er|pres|sung
Zweck der Ransomware, eingeschleuster Schadprogramme, die die Daten eines Rechners verschlüsseln und nur gegen Lösegeldzahlung freigeben. Bekanntes Beispiel: WannaCry, ein Programm, das 2017 die Rechner der Deutschen Bahn befiel.

Ex|plo|rer
Webbrowser von Microsoft. Einer der meistgenutzten Browser weltweit. Sicherheitslücken waren in der Vergangenheit immer wieder Einfallstor für Hacker.