Der Vorfall
Am 3. August 2022 passierte etwas bisher Einmaliges in der deutschen Wirtschaftslandschaft: Alle 79 Industrie- und Handelskammern (IHKs) in Deutschland gingen gleichzeitig offline. Von Flensburg bis München, von Aachen bis Dresden – überall dasselbe Bild: Websites nicht erreichbar, E-Mail-Systeme tot, telefonische Erreichbarkeit eingeschränkt.
Die IHK-Organisation betreut rund 3,6 Millionen Mitgliedsunternehmen in Deutschland. Prüfungen, Berufsausbildungen, Außenhandelsdokumente, Existenzgründungsberatungen – all das kam zum Stillstand. Auszubildende konnten sich nicht für Prüfungen anmelden. Unternehmen erhielten keine Ursprungszeugnisse für den Export. Gewerbetreibende konnten ihre gesetzlich vorgeschriebenen Mitgliedsbeiträge nicht bezahlen.
Die Dachorganisation DIHK (Deutsche Industrie- und Handelskammertag) hatte nach Erkennung des Angriffs die drastische Entscheidung getroffen, alle IHK-Systeme präventiv vom Internet zu trennen. Diese Notmaßnahme war verständlich – man wollte eine weitere Ausbreitung verhindern – aber die Konsequenzen waren enorm.
Die Wiederherstellung zog sich über Wochen hin. Einige IHKs waren erst nach Monaten wieder vollständig arbeitsfähig. E-Mail-Adressen mussten neu eingerichtet werden, Daten aus Backups wiederhergestellt, Systeme komplett neu aufgesetzt. Die Kommunikation lief zwischenzeitlich über provisorische E-Mail-Adressen und soziale Medien.
Das BSI stufte den Vorfall als schwerwiegend ein. Es war einer der größten koordinierten Cyberangriffe auf eine deutsche Wirtschaftsorganisation.
Wie der Angriff funktionierte
Die genauen technischen Details wurden aus ermittlungstaktischen Gründen nicht vollständig offengelegt. Bekannt ist jedoch, dass die Angreifer über die zentrale IT-Infrastruktur eindrangen, die von der IHK Gesellschaft für Informationsverarbeitung (IHK-GfI) betrieben wird. Diese zentrale Struktur versorgt alle 79 Kammern.
Stufe 1 – Initialer Zugang zum zentralen System: Die Angreifer verschafften sich Zugang zur gemeinsamen IT-Infrastruktur. Ob über eine Phishing-E-Mail, eine Schwachstelle in einer Webanwendung oder kompromittierte Zugangsdaten – der erste Schritt war ein kleiner Fuß in der Tür. Ein unauffälliger Loader oder eine Backdoor etablierte die Verbindung zu den Angreifern.
Stufe 2 – Erkundung der zentralen Infrastruktur: Von einem kompromittierten System aus erkundeten die Angreifer die Netzwerkarchitektur. Sie erkannten die zentrale Struktur, die alle 79 Kammern verbindet. Statt 79 einzelne Angriffe durchzuführen, mussten sie nur die zentrale Infrastruktur kontrollieren.
Stufe 3 – Ausweitung der Kontrolle: Mit nachgeladenen Werkzeugen – Remote-Access-Tools, Credential-Dumper, Netzwerkscanner – arbeiteten sich die Angreifer durch das System. Jedes dieser Werkzeuge hinterließ Spuren auf den Systempartitionen der kompromittierten Rechner: ausführbare Dateien, Konfigurationsdateien, Log-Daten.
Stufe 4 – Angriff auf alle Kammern gleichzeitig: Die zentrale Infrastruktur ermöglichte es den Angreifern, alle 79 Kammern gleichzeitig zu treffen. Was normalerweise 79 einzelne Angriffe erfordert hätte, war durch die zentrale Architektur ein einziger Schlag.
Warum Virenscanner versagten
Die IHK-GfI als zentrale IT-Dienstleisterin hatte professionelle Sicherheitslösungen im Einsatz. Doch die Angreifer waren professioneller.
Der zentrale Punkt: Die Angreifer hatten Wochen oder Monate Zeit, sich unbemerkt im Netzwerk zu bewegen. Moderne Angreifergruppen – ob staatlich unterstützt oder kriminell organisiert – verfügen über die Ressourcen, ihre Werkzeuge kontinuierlich gegen aktuelle Virenscanner zu testen und anzupassen.
In einer IT-Umgebung wie der IHK-GfI, die hunderte Server und tausende Arbeitsplätze verwaltet, gibt es zudem eine enorme Angriffsfläche. Jeder einzelne Rechner, jeder Server, jeder Dienst ist ein potenzieller Einstiegspunkt. Der Virenscanner muss jeden einzelnen davon schützen – der Angreifer muss nur einen einzigen finden, der durchlässig ist.
Besonders problematisch: In zentralisierten IT-Umgebungen nutzen Administratoren regelmäßig Tools wie PowerShell, RDP und WMI. Genau dieselben Tools nutzen auch die Angreifer. Für einen Virenscanner ist es nahezu unmöglich zu unterscheiden, ob ein Administrator oder ein Angreifer gerade eine PowerShell-Session öffnet.
Die Tatsache, dass die DIHK als Reaktion alle 79 Kammern gleichzeitig vom Netz nehmen musste, zeigt, wie wenig Vertrauen in die Erkennungsfähigkeit der vorhandenen Sicherheitslösungen bestand. Man wusste schlicht nicht, wie weit die Angreifer bereits vorgedrungen waren.
So hätte Deep Freeze geschützt
Deep Freeze hätte den Angriff auf die IHK-Infrastruktur an seiner empfindlichsten Stelle getroffen: der Persistenz.
Der Loader verschwindet beim Neustart. Ein Mitarbeiter öffnet eine Phishing-E-Mail, der Loader installiert sich auf seinem Arbeitsplatzrechner. Am Abend fährt der Rechner herunter. Am nächsten Morgen startet er sauber – Deep Freeze hat alles zurückgesetzt. Die Angreifer haben ihren Zugang verloren.
Keine Erkundungsphase möglich. Die nachgeladenen Werkzeuge – Netzwerkscanner, Credential-Dumper, Remote-Access-Tools – existieren nur bis zum nächsten Neustart. Die Angreifer können das Netzwerk nicht erkunden, weil ihre Werkzeuge jede Nacht verschwinden.
Die zentrale Infrastruktur bleibt geschützt. Selbst wenn ein einzelner Rechner zwischen zwei Neustarts kompromittiert wird, reicht das Zeitfenster nicht aus, um die gesamte zentrale Infrastruktur zu unterwandern. Die mehrstufige Angriffskette, die Wochen oder Monate benötigt, wird bei jedem Neustart auf Null zurückgesetzt.
Kein Totalausfall. Statt alle 79 Kammern präventiv vom Netz zu nehmen, hätte ein koordinierter Neustart aller Arbeitsplatzrechner gereicht. Am nächsten Morgen wäre alles wieder normal gewesen. Die 3,6 Millionen Mitgliedsunternehmen hätten nichts bemerkt.
Die Lehre
- Zentrale IT-Infrastrukturen sind Hochwertziele. Wer die IHK-GfI kontrolliert, kontrolliert alle 79 Kammern. Deep Freeze hätte verhindert, dass die Angreifer überhaupt so weit kommen.
- Präventives Abschalten ist ein Zeichen des Versagens. Wenn die einzige Option ist, alles vom Netz zu nehmen, fehlt eine grundlegende Schutzschicht. Deep Freeze bietet diese Schicht.
- 3,6 Millionen Unternehmen waren betroffen. Der Schaden ging weit über die IHK-Organisation hinaus. Jedes Mitgliedsunternehmen, das auf IHK-Dienste angewiesen war, wurde in Mitleidenschaft gezogen.
- Wochen der Wiederherstellung versus ein Neustart. Die Kosten für die Wiederherstellung übersteigen die Kosten für Deep Freeze-Lizenzen um ein Vielfaches.
- Der Angriff brauchte Persistenz – und genau die nimmt Deep Freeze. Ohne dauerhaften Zugang kein mehrstufiger Angriff, ohne mehrstufigen Angriff kein Totalausfall.