Cyber-Attacken – leise, oft überraschend und ganz schnell wird es dunkel

Im Interview mit marketSTEEL:

Markus Weber ist Geschäftsführer der dokuworks GmbH in Siegen. Er unterstützt als Cyber-Krisenmanager Unternehmen bei Krisen und Notfällen.

marketSTEEL: Herr Weber, was genau versteht man unter einer Cyberattacke?

Einfach erklärt: Ein Cyberangriff ist ein Versuch, Computer außer Betrieb zu setzen, Daten zu stehlen oder ein angegriffenes Computersystem für weitere Angriffe zu nutzen. Das passiert plötzlich, hat sich aber lange im Hintergrund aufgebaut. Auf einmal ist nichts mehr, wie es war! Kein Computer, kein Internet, kein Telefon – alles aus. Gerade in der Stahl- und Automotive-Branche, wo viele Prozesse bereits digital optimiert und miteinander vernetzt sind, wächst eine IT-Krise schnell zu einer umfassenden Unternehmenskrise. Oft sind Produktion, Kundengeschäfte, Vertrieb und Kommunikation betroffen, da eins mit dem anderen vernetzt und abgestimmt ist. Hacker wissen das und erpressen Unternehmen damit. Cybercrime hat leider Hochkonjunktur.

marketSTEEL: Was sind die Cyber-Risiken?

Auf den Punkt gebracht: Ein Angriff auf die Datenstruktur führt schnell zum totalen Produktionsausfall und somit zum kompletten Umsatzverlust. Gerade in der Corona-Zeit hat sich die Gefahr noch weiter vergrößert. Durch die rasch voranschreitende Digitalisierung und das schnelle Umstellen auf Remote-Work entstehen Sicherheitslücken, die Angreifer als Einfallstore nutzen. Homeoffice mag zwar angesagt und modern sein, aber viele Unternehmen haben sich keine Gedanken gemacht, wie angreifbar sie dadurch geworden sind. Es fehlt hier an Beratung und grundsätzlicher IT-Sicherheitsstrukturen.

Ein weiteres Risiko ist, dass man in der Krise – und jeder erfolgreiche Angriff löst das unmittelbar aus  – sofort reagieren muss. Im vergangenen Jahr haben erfolgreiche Angriffe bei 86 Prozent der Unternehmen Schäden verursacht. Vorbereitung ist die halbe Miete. Leider verfügen nicht alle Unternehmen über ein schnelles Krisenmanagement. Eine Faustregel bei uns in der Beratung ist: Zu wissen, dass eine Gefahr immer gegeben ist, hilft eine Krise zu bekämpfen, die noch nicht da ist. Egal wie detailliert die Notfallpläne sind, entscheidend ist, dass das Bewusstsein im Unternehmen vorhanden sein muss, dass ein Angriff (bestimmt irgendwann) passieren wird und alle an einem Strang ziehen müssen, damit das Unternehmen schnell wieder ans Laufen kommt.

marketSTEEL: Welche Unternehmen sind vor allem bedroht?

Das Risiko ist branchenübergreifend, Treffen kann es jeden. Die Unternehmensgröße spielt dabei auch kaum mehr eine Rolle. Natürlich sind kleine und mittelständische Unternehmen (KMU) oft im Fokus, da deren IT-Systeme selten so effektiv geschützt arbeiten, wie die von Konzernen. Aber durch die zunehmend automatisierten Angriffe sind alle Unternehmen der Stahlbranche gleich bedroht. Die Schadsoftware sucht sich wahllos ihre Ziele und das Schlupfloch in die Netzwerke. Der Schaden durch Cyberkriminalität beträgt pro Jahr unglaubliche 223 Milliarden Euro – zum Vergleich aktuell regulieren Versicherungen Brandschäden in Deutschland mit gerade einmal 1,2 Milliarden Euro im Jahr. Im Durchschnitt führt eine Cyberattacke zu 23 Tagen Ausfallzeiten in der Produktion. Daher gilt es für alle Unternehmen, ihre IT-Sicherheit zu optimieren und auf einen möglichen Angriff vorzubereitet zu sein.

marketSTEEL: Haben Sie bekannt Beispiele?

Ohne aus dem Nähkästchen zu plaudern, im vergangenen Jahr traf es ein großes südwestfälisches Unternehmen aus den Automotive-Bereich. Ein Angriff auf die Datenstruktur führte zum Totalausfall in der Produktion und für 28 Tage zum kompletten Umsatzverlust. Der Schaden für das Unternehmen war ein zweistelliger Millionenbetrag. Auslöser – hier sind wir wieder beim „Remote Work“ war ein simpler Datenstick, der nicht nur die zuhause erstellten Präsentationen ins Netzwerk übertragen sollte, sondern noch einen Trojaner mit im Gepäck hatte. So einfach kann es sein. Der bekannteste Fall 2022 waren sicher die Industrie- und Handelskammern. Über Wochen waren diese nicht in der Lage zu arbeiten. Attackiert wurde eine IT-Firma, die als Tochtergesellschaft fast 80 Handelskammern betreute. Es konnten keine E-Mails versendet, keine Zeugnisse oder Handelspapiere ausgestellt werden. Und was erschwerend hinzukam, die bundesweite Dimension der Krise wurde von der IHK lange nicht erkannt, was den Schaden noch vergrößerte.

marketSTEEL: Wen soll ich informieren?

Das ist sehr individuell. Jedes Unternehmen sollte daher einen niedergeschriebenen und geprobten eigenen Notfallplan haben. In der Krise muss klar sein, wer was wann gegenüber wen kommuniziert. Krisen brauchen Schnelligkeit und klare Abläufe. Die Trainings sind wichtig, um krisenfit zu werden. Wir schulen unsere Mandanten kontinuierlich, um Krisensituationen zu meistern.

marketSTEEL: Wie arbeite ich mit der Polizei, Landeskriminalamt bzw. Staatsanwaltschaft zusammen?

Die Zusammenarbeit mit den Behörden ist wichtig. Zum einen handelt es sich bei einer Cyberattacke um eine Straftat, die zur Anzeige gebracht werden sollte, zum anderen haben die Behörden oft Erkenntnisse über Hackergruppen, Vorgehensweise und Professionalität und können deshalb optimal bei der Einschätzung einer Lage helfen. Dabei ist es wichtig, dass man gleich die Experten kontaktiert, diese sitzen meist in den LKAs, in den zentralen Staatsanwaltschaften für Cybercrime der Bundesländer, manchmal auch bei speziellen Polizeipräsidien.

Für ein optimales Krisenmanagement bedeutet das, dass man diese Recherche im Vorfeld vornehmen muss, denn in der Krise ist Zeitersparnis ein entscheidender Risikofaktor. Deshalb: nehmen Sie Kontakt auf und informieren sich wie die Alarmierungswege sind. Auch hier kann ein erfahrener Krisenmanager helfen und vermitteln. Aber: Machen Sie sich keine Hoffnung. Bei einem Feuer kommt die Feuerwehr und löscht. Bei einem Cyberangriff sind Sie auf sich gestellt und müssen den Brandherd selbst „löschen“, Angreifer abwehren und Schäden beseitigen. Die Polizei hilft mit Beratung, kann aber nicht aktiv eingreifen.

marketSTEEL: Kann ich eine Cyberattacke versichern?

Es gibt Cyber-Versicherungen auf dem Markt, welche auch zunehmend von unseren Kunden abgeschlossen oder zumindest angefragt werden. Die gibt es natürlich – wie jede Versicherung – auf Basis des individuellen Bedarfs zu unterschiedlichen Konditionen und mit teils unterschiedlichen Leistungen. So können beispielsweise Datenverlust, Cyber-Erpressung, Hacker-Angriff und/oder Infektionen mit Schadsoftware abgedeckt werden, was üblicherweise die Aspekte wie Krisenmanagement-Beratung, Erstattung von Betriebsunterbrechungen, Neuanschaffung oder Hardware inkludiert. Die Versicherer stellen aber - teils unterschiedliche - Anforderungen an die TOMs (technischen und organisatorischen Maßnahmen) beim Versicherungsnehmer. So müssen in der Regel gewisse Sicherheitsstandards (State-of-the-art) gegeben sein.

Fotos: dokuworks, fotolia