Professionelle Cyber-Attacke auf IHK-Organisation erkannt und unterbrochen

Dortmund – 06.09.2022. Anfang August trennte die IHK-GfI, IT-Servicedienstleister der IHK-Organisation, die IT-Systeme der 79 Industrie- und Handelskammern vom Internet. Wie aktuelle Erkenntnisse nun zeigen, war dies der richtige Schritt, um die IHK-Organisation und ihre Mitgliedsunternehmen vor gravierenden Schäden zu bewahren. Hinter dem Cyber-Angriff stecken nach Erkenntnissen der IT-Forensiker und des Bundesamtes für Sicherheit in der Informationstechnik extrem professionelle Hacker. Die Vorgehensweise der Hacker deutet auf einen Angriff zum Zweck der Spionage oder Sabotage hin, auch wenn sie einen finanziell motivierten Hintergrund des Angriffs noch nicht ausschließen können.

Von langer Hand vorbereitet

Die IHK-GfI entdeckte am 3. August 2022 ein auffälliges Verhalten in ihren IT-Systemen. Die Expert*innen des IHK Cyber Emergency Response Teams (IHK-CERT) der IHK-GfI haben den Vorfall daraufhin unverzüglich untersucht. In Zusammenarbeit mit externen IT-Sicherheitsexperten entschied die IHK-GfI, aus Sicherheitsgründen die Verbindung aller Industrie- und Handelskammern zum Internet zu trennen. Ein solches Vorgehen verwehrt Angreifern den weiteren Zugriff auf die Systeme und verhindert somit eine weitere Fortführung des Angriffs, insbesondere den Diebstahl oder die mögliche Verschlüsselung von Daten. Dadurch konnte die IHK-GfI den Angriff stoppen. Die Ergebnisse der IT-Forensik zeigen, dass der Angriff von langer Hand vorbereitet wurde. Die von den Hackern eingesetzten Werkzeuge zur Manipulation sind hochentwickelt. „Bei der Cyber-Attacke auf die IHK-Organisation handelt es sich um einen extrem professionellen Angriff“, bestätigt Dr. Christoph Hebbecker, Staatsanwalt bei der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) in Köln.

Angriff erkannt und aufgehalten

Nach Einschätzung der externen Experten reagierte die IHK-GfI konsequent und unter dem Gesichtspunkt der wirtschaftlichen und politischen Rahmenbedingungen und aus der Erfahrung aus vergleichbaren Vorfällen absolut angemessen und alternativlos.
Aufgrund der Professionalität und Diskretion der Hacker bewertet die IHK-GfI das Risiko weiterer Angriffe als hoch. Daher werden die Software-Anwendungen und IT-Systeme der IHKs nur nach intensiver Prüfung schrittweise hochgefahren. Bis alle Industrie- und Handelskammern deutschlandweit wieder voll funktionsfähig arbeiten können, wird es folglich noch einige Wochen dauern. Für die Arbeit der IHKs essentielle Services werden derweil mit vorübergehenden Maßnahmen kurzfristiger zur Verfügung gestellt oder sind bereits wieder verfügbar.

Verschiedene IHK-Services wieder im Betrieb

Bisher konnte die IHK-GfI gemeinsam mit spezialisierten, vom BSI zertifizierten IT-Experten bereits einige Services wiederherstellen: So sind die Websites der meisten IHKs inzwischen wieder online erreichbar, 47 Industrie- und Handelskammern sind mit Stand 6. September wieder per E-Mail erreichbar. Weiterhin stehen die wesentlichen IHK-internen Anwendungen zur Verfügung.
„Bereits heute ist klar, dass alle Teile der IHK-Organisation ihre Lehren aus den Vorfällen ziehen müssen“, betont Jan Eder, Vorsitzender des Aufsichtsrates der IHK-GfI und Hauptgeschäftsführer der IHK Berlin. „So haben wir in den letzten Wochen sehr deutlich erlebt, dass die Sicherheit der Gesamtorganisation von jedem Einzelnen von uns abhängt.“
Die IHK-GfI kann derzeit keine weiteren Informationen zum Cyber-Angriff geben, um einerseits die IHK-Organisation weiterhin erfolgreich zu schützen und andererseits die laufenden Ermittlungen der Sicherheitsbehörden nicht zu gefährden.

Gefahr von Trittbrettfahrern

Außerdem warnt die IHK-GfI ausdrücklich vor Trittbrettfahrern. Der Bekanntheitsgrad des Vorfalls ruft mit hoher Wahrscheinlichkeit weitere Kriminelle auf den Plan: Diese könnten Phishing, Social-Engineering und andere Methoden einsetzen, um von der Situation zu profitieren. Daher sollte man besonders wachsam sein im Umgang mit (vermeintlichen) E-Mails der IHK. Zuletzt verschickten Kriminelle beispielsweise Phishing-E-Mails, die Mitgliedsunternehmen aufforderten, sich „neu zu identifizieren“, ansonsten würde der jeweilige Account nach einer gewissen Frist gesperrt werden. Wenn Zweifel bestehen, ob eine E-Mail tatsächlich aus der IHK stammt, so sollte zur Absicherung eine kurze telefonische Klärung stattfinden.