Beschaffung aktuell: Continental, Fraunhofer, Pilz – alles aktuelle Opfer von Cyberangriffen. Wie gelingt es Kriminellen immer wieder, hinter die Firewalls zu kommen?
Müller: Solange ein Unternehmen nach innen und außen kommuniziert, ist es angreifbar. Wie im richtigen Leben: Einbrecher spähen mögliche Zielobjekte aus und brechen dann dort ein, wo sie eine offene Tür oder ein gekipptes Fenster vorfinden. Oder um in der digitalen Welt zu bleiben: dort, wo Firewalls, Schutzprogramme oder auch Mitarbeiter Angriffspunkte bieten. Und solche Fälle gibt es leider landauf, landab.
Wie gehen die Angreifer vor und welchen Schaden richten sie an?
Müller: Das ist unterschiedlich. Es gibt politisch motivierte Cyberkriminelle, deren Ziel es ist, eine konkrete Infrastruktur zu attackieren. Die meisten wollen allerdings schlicht an Ihr Geld. Sie beginnen häufig nach Überwindung der Schutzmaßnahmen mit einem umfassenden Datendiebstahl. Haben die Angreifer damit Erfolg, können Sie Ihre Konstruktionspläne oder Kundendaten auf einer Auktion im Darknet wiederfinden. Fällt der Diebstahl irgendwann auf, verschlüsseln die Angreifer über bereits eingeschleuste Schad-Software Ihre Daten und verlangen Geld für deren erneute Verfügbarkeit.
Was raten Sie im Fall einer Erpressung in Bezug auf die Zahlung von Lösegeld?
Müller: Wir raten grundsätzlich von der Zahlung eines Lösegelds ab. Man muss sich klarmachen, dass jede Zahlung das Geschäftsmodell der Angreifer befeuert. Sie finanzieren also den Einbruch in das nächste Unternehmen. Zudem ist nach einer Zahlung klar, dass Sie über Finanzmittel verfügen und die Erpresser fordern dann oft eine zweite, höhere Summe. Auf der anderen Seite kann die Existenz eines Unternehmens vom Wiederanlauf der IT abhängen. Jeder Einzelfall ist anders.
Wie bereiten Sie Unternehmen auf den Ernstfall vor?
Müller: Wir schaffen ein realistisches Bewusstsein für die tatsächliche Gefahr. Wichtiger aber sind die konkreten Vorbereitungen: Wer wird Mitglied des Krisenstabes? Wie kommunizieren die Verantwortlichen? Die Telefonanlage funktioniert im Zweifelsfall ja nicht. Wer hat welche Befugnisse, wer informiert wann den Vorstand, die Kunden und die Presse? In welcher Reihenfolge werden die Server untersucht, gesichert und wieder ans Netz gebracht? Zuerst die Produktion und dann der Vertrieb? Oder umgedreht?
Gibt es Erfahrungswerte, mit denen Sie Unternehmen auf den Fall der Notfälle vorbereiten können?
Müller: Ja, die haben wir. Bei den Servern haben beispielsweise Kernbereiche der Produktion wie auch die Buchhaltung zumeist Priorität. Erfolgskritische und/oder regressbedrohte Produkte müssen möglichst schnell wieder anlaufen und Mitarbeiter können nicht wochenlang auf Gehälter warten. Unser oberstes Ziel ist möglichst schnell aus der Chaos-Phase in einen geregelten Notbetrieb zu kommen. Ob das Stunden oder Wochen dauert, entscheidet in den meisten Fällen über den tatsächlichen Schaden.
Wie nachhaltig wirkt Ihre Arbeit im Unternehmen?
Müller: Wir schreiben alle Ergebnisse und Empfehlungen in ein „Notfallhandbuch“. Hier steht alles drin: Maßnahmen und Organigramme, To-dos and Don‘t-dos. Das Notfallhandbuch ist eine detaillierte und konkrete Anleitung für den Krisenfall und wird für jeden unserer Kunden maßgeschneidert aufgebaut. Darüber hinaus wirkt die Konfrontation mit einem möglichen Szenario lange nach. Die Beteiligten fühlen sich im Angriffsfall nicht mehr hilflos, sondern als Herren einer Lage, die es zu managen gilt. Auch hier gilt die Analogie zur realen Welt: Feuerschutzübungen sind sinnvoll und können Leben retten.
Wie entsteht ein Notfallhandbuch?
Müller: Nach dem Auftrag setzen wir uns mit den verantwortlichen Managern zusammen und analysieren den Status quo. Wir erarbeiten auf pragmatische Art und Weise, wie der Notbetrieb im Ernstfall abzulaufen hat. Besonderes Augenmerk legen wir dabei auch auf die Back-up-Strategie des Unternehmens. Anschließend priorisieren wir die für einen Notbetrieb essenziellen Geschäftsprozesse und leiten davon die notwendigen IT-Systeme ab.
Welchen Kunden helfen Sie mit Ihrem Angebot?
Müller: Die Bandbreite beginnt bei kleineren Mittelständlern. Auch bei diesen Unternehmen ist die Abhängigkeit von der IT inzwischen sehr groß. Viele unserer Kunden sind jedoch größere Mittelständler bis hin zu Konzernen. Wir beraten darüber hinaus auch viele Kunden aus dem kommunalen Bereich. Kommunen waren in der Vergangenheit häufig Opfer von Cyberattacken. Deshalb arbeiten wir auch mit dem Gemeindetag Baden-Württemberg zusammen. Gemeinsam sind wir stärker als die Angreifer.
SmartSEC
… aus Wernau im Kreis Esslingen unterstützt das IT-Notfallmanagement bei kritischen Cyberangriffen und bereitet Unternehmen u. a. mit IT-Security-Check, Notfallhandbuch und Krisensimulationen gezielt auf entsprechende Szenarien vor. Einer der Gründer ist Dr. Moritz Huber, Kriminalhauptkommissar a. D. sowie ehemaliger Taskforce- und Bereichsleiter der Abteilung „Cybercrime und Digitale Spuren“ beim Landeskriminalamt in Stuttgart.
