Sie beraten KMU bei Fragen der Cyber-Sicherheit. Da muss ich fragen: Wurden Sie selbst schon mal gehackt?
Ich persönlich, nein.
Das heißt: Sie können Cyber-Attacken effektiv verhindern.
Für Attacken bin ich eher zu klein. Ich weiß aber, dass selbst meine rudimentäre Website ständig befeuert wird, je nachdem, wo die Adresse mal auftaucht. Das sehe ich schon.
Ob ein Unternehmen attackiert wird, hängt also mit seiner Größe oder seiner wirtschaftlichen Bedeutung zusammen?
Ich glaube, so kann einfach kann man das nicht sagen. Die Frage ist vielmehr: Ist man bei der Target Group der Cyber-Kriminellen dabei? Und welch einen Footprint hinterlässt man möglicherweise im Internet, mit dem man Aufmerksamkeit auf sich zieht? Bei Hacking-Attacken sucht man Schwachstellen nach der Devise: „Wenn jetzt einer schwach ist, dann gehe ich da rein.“ Gerade bei staatlichen Einrichtungen kann das zu einre Attacke motivieren.
Aber die Schlussfolgerung „Ich bin ein kleines Unternehmen, mich wird es nie treffen“ ist schlicht falsch. Das sehe ich an meiner Website. Sie wird befeuert, obwohl da nichts ist, was mir wehtun würde, wenn es durch eine Cyber-Attacke verloren ginge.
Wie schätzen Sie die aktuelle Bedrohungslage ein? Hat die Zahl der Cyber-Angriffe zugenommen?
Ja, sie haben massiv zugenommen. Das hat natürlich auch mit dem 24. Februar 2022 zu tun, dem Kriegsbeginn in der Ukraine. Seitdem haben die Cyber-Angriffe nochmals eine andere Qualität bekommen und an Volumen sicherlich nochmals zugelegt. Das zeigt auch die Cybersicherheitsagenda des BMI für die 20. Legislaturperiode.
Dabei ist es nicht mehr die Art von Attacken, die man schon kannte. Im Sinne von: Wir machen mal einen „lustigen Streich“. Oder auch: Wir verschlüsseln die Daten des Opfers und erpressen Lösegeld. Die Zeit ist vorbei, damit hält man sich nicht mehr auf. Cyber-Attacken sehen inzwischen so aus: Wir stehlen Daten und löschen direkt. Das ist nur noch zerstörerische Qualität. Und wer darauf nicht vorbereitet ist, hat am Ende gar nichts mehr.
Aber die Betroffenen halten sich eher bedeckt.
Da ist man leider sehr schüchtern an der Stelle, dass man nicht öffentlich kommuniziert: Wir sind gehackt worden. Dabei sind die betroffenen Unternehmen nicht die einzigen, denen das passiert, sondern sie sind „in guter Gesellschaft“ – auch, weil das Thema immer komplexer wird. Und dementsprechend kann dann schon mal etwas durchrutschen. Vor allem in kleineren Unternehmen gibt es oft keine Spezialisten für Cyber-Security – wenn überhaupt, dann in Teilzeit. Salopp gesagt: Der Mitarbeiter macht dann Security ein bisschen nebenher. Aber das gibt es auch bei Unternehmen einer mittleren Größenordnung. Und dann rutscht leicht etwas durch: Ein System wurde nicht aktualisiert, und das war dann leider das Einfallstor.
Wie gut sind deutsche Unternehmen auf Cyber-Angriffe vorbereitet?
Schwer zu sagen. Wenn man der Fachpresse trauen darf: schlecht. Schaut man aber ein bisschen näher hin, ergibt sich ein differenzierteres Bild. Ich glaube schon, dass vieles im Guten ist. Doch: Wenn mancherorts noch vorchristliche Systeme betrieben werden, die keine Sicherheitspatches erfahren – oft aus vermeintlichen Kostengründen –, ist das problematisch.
Richtig ist, dass das Ausmaß der Schäden bei deutschen Unternehmen extrem stark von der Qualität ihrer Vorbereitung abhängt: einmal wegen ihres relativ hohen Grades an Vernetzung, aber auch, weil sie auf die eine oder andere Weise stark mit Hochtechnologie zu tun haben. Aber die eigentliche Frage ist weniger, wie gut man einen Zwischenfall verhindern kann. Die eigentliche Frage lautet: Ist der Zwischenfall noch zu managen? Und da könnte es schwierig werden.
Was sollten Unternehmen als erstes tun, wenn sie gehackt wurden?
Wenn man gehackt wurde, ist das allererste, Anzeige bei der Polizei zu erstatten. Sie wird dann zwar im Rahmen ihrer Ermittlungstätigkeit das System sperren, das heißt, ich dann das System für mindestens drei Tage nicht neu aufsetzen. Das ist sozusagen der Haken an der Sache. Aber darum kommt man nicht herum. Dann gilt es, den Datenschutzbeauftragten und gegebenenfalls weitere Regulierungsbehörden zu informieren. Ob letzteres nötig ist, hängt davon ab, welcher Art die Organisation ist. Verarbeitet sie sehr viele personenbezogene Daten, wie etwa Krankenhäuser, muss sie sich relativ schnell beim Datenschutzbeauftragten der Region oder des Bundeslandes melden. Des Weiteren ist die Cyber-Versicherung, sofern vorhanden, zu informieren.
Und schließlich ist das interne Playbook zu durchlaufen:
Zunächst: Den Krisenstab einberufen.
Dann herausfinden: Wie viele Daten gingen verloren? Wie ist die Qualität der Daten, die ich jetzt noch habe? Wie steht es mit dem Backup? Wurde es – zum Beispiel im Zuge einer Ransomware-Attacke – möglicherweise schon mitverschlüsselt? Wie weit kann ich also den Zustand vor dem Angriff überhaupt wiederherstellen? Das ist ja auch etwas, das man erstmal realisieren muss.
Sodann klären: Wo liegt das eigentliche Problem? Ist das, was ich sehe, schon alles? Oder gibt es noch weitere Probleme?
Vor allem aber sollte man das gleiche wie im Falle eines Brandes tun: Ruhe bewahren.
Sie erwähnten Cyber-Versicherungen. Sollten Firmen eine abschließen?
Ich denke: ja. Einige Schäden kann die Versicherung übernehmen. Und als Kunden haben Unternehmen über die Versicherung guten Zugang zu Dienstleistern und Experten – die ja auch teils hohe Stundensätze nehmen. Aber das kann Firmen nicht gegen alles absichern. Der Betriebsausfall mag zum Teil ersetzt werden. Aber je nachdem, wie sich die Attacke auswirkt, sind es schnell einige Monate, bis es wieder möglich, Rechnungen zu schreiben. Diesen Ausfall wird keine Versicherung völlig übernehmen.
Das A und O der Cyber-Sicherheit ist also die Prävention?
Prävention, Prävention, Prävention – soweit das möglich ist. 100-prozentige Sicherheit gibt es einfach nicht. Ein Teil davon ist die Aktualisierung von Systemen. Jeden zweiten Dienstag im Monat gibt es den „Patch-Tuesday“, wenn Microsoft seine Patches herausgibt, die Sicherheitslücken schließen. Aber da muss man zusehen, dass man die wichtigen und als hoch gefährlich eingestuften Lücken so schnell wie möglich schließt. Das muss man regeln. Wenn Firmen in ihrer SLA, der Dienstleistungsgütevereinbarung, zum Beispiel vereinbart habe: Spätestens zehn Tag danach sollen die kritischen Sicherheitslücken geschlossen sein, wird der Auftrag an die eigene IT oder den externen Service Provider zu spät rausgehen.
Außerdem macht sich die IT oder der externe Service Provider in der Regel zuerst an die PC-Systeme. Lücken treten hier am häufigsten auf. Aber Firmen können nicht versuchen, jeden PC immer zu 100 Prozent dicht zu halten. Das gilt auch für die mobilen Systeme, die oft gar nicht neu gestartet werden, sondern immer nur schlafen gehen und morgens wieder gestartet werden. Dann kommen die, ohne zu booten, wieder hoch. Wenn der Patch einen Boot braucht, muss man dafür Sorge tragen, dass das passiert. Dazu kommen noch die Server. Auch die brauchen von Zeit zu Zeit eine Down Time, um sie zu aktualisieren.
Dieses Thema erstreckt sich also auf alle Systeme, vom Mobiltelefon bis zum Server. Und die Frage lautet: Wie kriegen Organisation das hin?
Das zweite große Thema ist die Mitarbeiter-Awareness. Es gibt den schönen Satz: Die beste Firewall sind die eigenen Mitarbeiter. Untrenehmen sollten also ihre Mitarbeiter kontinuierlich schulen. Themen solcher Schulungen könnten zum Beispiel Phishing-Mails sein: Wie erkenne ich eine Phishing-Mail? Stammt die E-Mail mit der fehlerhaften Grammatik wirklich von der Sparkasse? Oder der CEO-Fraud: Würde der CEO meiner Organisation mich wirklich darum bitten, diesen hohen Betrag auf ein unbekanntes Konto zu überweisen. Solches Wissen lässt sich verhältnismäßig leicht vermitteln – übrigens auch mit Dienstleistern, die das übernehmen.
Und damit kann man viel erreichen: E-Mail-Anhänge sind das wichtigste Transportmittel für Malware. Und Passwörter werden vor allem dann bekannt, wenn ein Mitarbeiter sie gutgläubig herausgibt. Seine Mitarbeiter zu schulen, ist oft schon die halbe Miete.
Hat Cyber-Sicherheit also eher etwas mit den Abläufen in einer Organisation zu tun als mit technischen Fragen?
Ja, die Technik ist ja im Zweifelsfall sogar noch leichter zu beherrschen, weil sie sich gegen Abläufe, wenn man so will, nicht sperrt. Den Patch kann man aufspielen, das ist keine technische Frage. Der Rest ist die Organisation, das ist sicherlich so. Aber selbst, wenn Unternehmen hier alles richtig machen: Eine 100-prozentige Cyber-Sicherheit gibt es nicht. Am wichtigsten ist daher immer die Vorbereitung des Krisenmanagements.
Was wäre bei der Vorbereitung eines Krisenmanagements Ihr wichtigster Rat?
Ein Krisenhandbuch zu erstellen und die Business Continuity zu planen. Im Krisenhandbuch schreiben firmen die Prozesse aus, damit sie eine Checkliste haben, die sie dann einfach durchlaufen können. Dazu gehören Themen wie: Welche Leute brauche ich jetzt? Wer ist Teil meines Krisenstabs? Und wo treffen wir uns?
Außerdem sind die Mitarbeiter zu informieren. Cyber-Attacken laufen leider meistens nachts oder am Wochenende. Am Montag hängen dann alle ahnungslos ihre Rechner ins Netz, wie bisher, und zwar auch solche, die vielleicht sauber waren. Das muss man verhindern.
Ferner: Welche Stellen kontaktiere ich als Erstes? Wie vorhin erwähnt, sind verschiedene Stellen zu informieren: die Polizei, die Versicherung, vielleicht ein Anwalt, gegebenenfalls auch der Datenschutzbeauftragte. Das sind Themen, die in ein Krisenhandbuch reingehören, damit Firmen im Ernstfall nach einem Drehbuch vorgehen können.
Sehr wichtig sind auch Ersatzprozesse: Was können Unternehmen noch tun, wenn sie keinen Rechner mehr haben? Das müsste für jeden Prozess geklärt werden, um den Betriebsausfall zu begrenzen.
Und schließlich: Was ist zu tun, wenn alle Daten weg sind, auch die Kontaktdaten von Kunden und anderen Externen?
Diese Eventualitäten müssen allesamt geplant sein. Das kann man im Vorfeld gar nicht gut genug durchdenken.
Haben Sie vielen Dank für Ihre Zeit!
Gerne!
Die nächsten Schritte
Möchten Sie die Wirksamkeit Ihrer Sicherheitsmaßnahmen prüfen lassen? Oder brauchen Sie Unterstützung bei der Erstellung eines Krisenhandbuchs? Unser Experte steht Ihnen für diese und andere Fragen als Berater und Interim Manager zur Verfügung. Mehr Informationen zu seiner Person finden Sie in seinem Profil.
