Informationen

Die IHKs in Deutschland und ihre Mitgliedsunternehmen sind von einem besonders ausgefeilten Phishing-Angriff betroffen. Ziel des Angriffs ist nach aktuellen Erkenntnissen das Erlangen von Daten der betreffenden Unternehmen, darunter Kontoinformationen. Vom Öffnen der in den E-Mails enthaltenen Links oder einer Dateneingabe ist daher dringend abzuraten. Ein gezieltes Blockieren dieser E-Mails seitens der IHKs ist technisch nicht möglich, weshalb die IHK-GfI die IHK-Mitgliedsunternehmen zu besonderer Wachsamkeit aufruft.

Zahlreiche Unternehmen in Deutschland erhalten im Rahmen des Angriffs vorgeblich von den IHKs versendete E-Mails mit dem Betreff Industrie- und Handelskammer | Aktualisierung der Unternehmensdaten. In der Nachricht fordern die Angreifer unter dem Vorwand einer angeblichen Änderung in der Datenschutzrichtlinie der IHKs zu einer Dateneingabe auf. Mit Klick auf den in den E-Mails hinterlegten Link öffnet sich ein Website-Formular, das dem Design der IHKs nachempfunden ist und neben allgemeinen Unternehmensdaten die Namen von Ansprechpersonen sowie Kontoinformationen abfragt.

Nach aktuellem Kenntnisstand werden im Rahmen der Phishing-Kampagne zwar keine hochsensiblen Daten wie beispielsweise Kennwörter abgefragt, ebenfalls wird der Betrugsversuch scheinbar nicht zum Verteilen schadhafter Software genutzt. Von einem Öffnen der Links oder gar einer Dateneingabe rät die IHK-GfI jedoch dringend ab. Es ist nicht auszuschließen, dass die Betreiber der Phishing-Kampagne die so erlangten Daten für künftige Angriffe auf die Wirtschaft verwenden. Dazu zählen insbesondere sogenannte Social-Engineering-Angriffe, bei denen sich Angreifer ihr zuvor erlangtes Wissen für Betrugsversuche, das Erschleichen sensibler Informationen oder andere kriminelle Zwecke zunutze machen.

Die IHK-GfI hat in ihrer Rolle als zentraler IT-Dienstleister der IHKs den Hosting- sowie Domaindienstleister der Betrugswebsite bereits kontaktiert und über den Betrugsversuch informiert. In der Regel deaktivieren Dienstleister solche Websites nach begründeten Hinweisen innerhalb weniger Tage. Da das erneute Aufsetzen derartiger Websites für Angreifer keine große technische Herausforderung darstellt, empfiehlt die IHK-GfI den Mitgliedsunternehmen der IHKs weiterhin eine dauerhaft hohe Wachsamkeit für Phishing-E-Mails, Social-Engineering- und weitere Betrugsversuche.

Dortmund – 06.09.2022. Anfang August trennte die IHK-GfI, IT-Servicedienstleister der IHK-Organisation, die IT-Systeme der 79 Industrie- und Handelskammern vom Internet. Wie aktuelle Erkenntnisse nun zeigen, war dies der richtige Schritt, um die IHK-Organisation und ihre Mitgliedsunternehmen vor gravierenden Schäden zu bewahren. Hinter dem Cyber-Angriff stecken nach Erkenntnissen der IT-Forensiker und des Bundesamtes für Sicherheit in der Informationstechnik extrem professionelle Hacker. Die Vorgehensweise der Hacker deutet auf einen Angriff zum Zweck der Spionage oder Sabotage hin, auch wenn sie einen finanziell motivierten Hintergrund des Angriffs noch nicht ausschließen können.

Die IHK-GfI entdeckte am 3. August 2022 ein auffälliges Verhalten in ihren IT-Systemen. Die Expert*innen des IHK Cyber Emergency Response Teams (IHK-CERT) der IHK-GfI haben den Vorfall daraufhin unverzüglich untersucht. In Zusammenarbeit mit externen IT-Sicherheitsexperten entschied die IHK-GfI, aus Sicherheitsgründen die Verbindung aller Industrie- und Handelskammern zum Internet zu trennen. Ein solches Vorgehen verwehrt Angreifern den weiteren Zugriff auf die Systeme und verhindert somit eine weitere Fortführung des Angriffs, insbesondere den Diebstahl oder die mögliche Verschlüsselung von Daten. Dadurch konnte die IHK-GfI den Angriff stoppen. Die Ergebnisse der IT-Forensik zeigen, dass der Angriff von langer Hand vorbereitet wurde. Die von den Hackern eingesetzten Werkzeuge zur Manipulation sind hochentwickelt. „Bei der Cyber-Attacke auf die IHK-Organisation handelt es sich um einen extrem professionellen Angriff“, bestätigt Dr. Christoph Hebbecker, Staatsanwalt bei der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) in Köln.

Nach Einschätzung der externen Experten reagierte die IHK-GfI konsequent und unter dem Gesichtspunkt der wirtschaftlichen und politischen Rahmenbedingungen und aus der Erfahrung aus vergleichbaren Vorfällen absolut angemessen und alternativlos.

Aufgrund der Professionalität und Diskretion der Hacker bewertet die IHK-GfI das Risiko weiterer Angriffe als hoch. Daher werden die Software-Anwendungen und IT-Systeme der IHKs nur nach intensiver Prüfung schrittweise hochgefahren. Bis alle Industrie- und Handelskammern deutschlandweit wieder voll funktionsfähig arbeiten können, wird es folglich noch einige Wochen dauern. Für die Arbeit der IHKs essentielle Services werden derweil mit vorübergehenden Maßnahmen kurzfristiger zur Verfügung gestellt oder sind bereits wieder verfügbar.

Bisher konnte die IHK-GfI gemeinsam mit spezialisierten, vom BSI zertifizierten IT-Experten bereits einige Services wiederherstellen: So sind die Websites der meisten IHKs inzwischen wieder online erreichbar, 47 Industrie- und Handelskammern sind mit Stand 6. September wieder per E-Mail erreichbar. Weiterhin stehen die wesentlichen IHK-internen Anwendungen zur Verfügung.

„Bereits heute ist klar, dass alle Teile der IHK-Organisation ihre Lehren aus den Vorfällen ziehen müssen“, betont Jan Eder, Vorsitzender des Aufsichtsrates der IHK-GfI und Hauptgeschäftsführer der IHK Berlin. „So haben wir in den letzten Wochen sehr deutlich erlebt, dass die Sicherheit der Gesamtorganisation von jedem Einzelnen von uns abhängt.“

Die IHK-GfI kann derzeit keine weiteren Informationen zum Cyber-Angriff geben, um einerseits die IHK-Organisation weiterhin erfolgreich zu schützen und andererseits die laufenden Ermittlungen der Sicherheitsbehörden nicht zu gefährden.

Die IHK-GfI warnt ausdrücklich vor Trittbrettfahrern der aktuellen Cyber-Attacke. Der Bekanntheitsgrad des Vorfalls ruft mit hoher Wahrscheinlichkeit weitere Kriminelle auf den Plan: Diese könnten Phishing, Social-Engineering und andere Methoden einsetzen, um von der Situation zu profitieren. Daher sollte man besonders wachsam sein im Umgang mit (vermeintlichen) E-Mails der IHK. Zuletzt verschickten Kriminelle beispielsweise Phishing-E-Mails, die Mitgliedsunternehmen aufforderten, sich „neu zu identifizieren“, ansonsten würde der jeweilige Account nach einer gewissen Frist gesperrt werden. Wenn Zweifel bestehen, ob eine E-Mail tatsächlich aus der IHK stammt, so sollte zur Absicherung eine kurze telefonische Klärung stattfinden.

Die zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen hat inzwischen mitgeteilt, dass sie dem Anfangsverdacht der Computersabotage nachgeht. Ob bei dem Vorgfall Daten abgeflossen sind, ist Gegenstand der Ermittlungen. Ein Erpresserschreiben liegt nicht vor.

Um möglichen Schaden zu vermeiden und Datensicherheit zu gewährleisten , wurden infolge des Vorfalls die IT-Systeme der IHK-organisation vorsorglich vom Internet getrennt. Derzeit wird sehr sorgfältig daran gearbeitet, nach intensiven Prüfungen sukzessive wieder online zu gehen. Hierbei steht selbstverständlich die Sicherheit im Mittelpunkt. Mittlerweile sind die vorübergehend abgeschalteten IHK24-Websites wieder erreichbar. Die E-Mail-Kommunikation wird zurzeit aufgebaut.

Am Abend des 03.08.2022 erfolgte mutmaßlich ein Angriff auf die Infrastruktur der IHKs. Durch die Sperrung des zentralen Internetzugangs direkt am Abend des 0308. konnte dies abgewehrt werden, sodass nach derzeitigem Stand keine Daten abgeflossen sind. Über den Angreifer und seine Ziele ist gegenwärtig nichts bekannt. Die forensischen Analysen laufen.