3 min
Lesezeit
KTR Systems: Klick mit Konsequenzen
Rheine, Mai 2019: Die KTR Systems GmbH, Hersteller von Antriebskomponenten, Bremssystemen, Hydraulik-Komponenten und Kühlsystemen, ist gegen Cyber-Attacken technisch gut gerüstet. Doch ziehen die Angreifer auch den „Faktor Mensch“ ins Kalkül. (Von Dominik Dopheide)
Was ist passiert?
Am Anfang kommen Anrufe. Manches Mal scheint sich am anderen Ende der Leitung der ehemalige Geschäftsführer zu melden. Seine Stimme wird imitiert, wie sich zu spät herausstellt. „Wir haben das nicht mitbekommen, leider hat niemand darüber gesprochen“, erzählt IT-Leiter Olaf Korbanek. Auch der massive Anstieg von Phishing-Mails wird im Haus zunächst nicht bemerkt. Somit bleibt verborgen, dass KTR Systems damals Ziel einer raffinierten Kampagne ist. Mit „Social Engineering“, also der sozialen Manipulation, bereiten die Kriminellen den Angriff vor. Sie versuchen an Interna wie Verantwortlichkeiten und Passwörter zu kommen. Sie haben Erfolg: Sie bringen eine Zuständigkeit in Erfahrung und führen mit dieser Information per Phishing-Mail und gefälschter Office-Anmeldeseite eine Person hinters Licht.

Wie hat KTR Systems reagiert?
Das Unternehmen erstattet sofort Anzeige. Korbanek wird erst von einem Kommissar vernommen, um dann gemeinsam mit einem Expertenteam der Polizei die komplette IT-Infrastruktur zu durchkämmen, bis der Link gefunden ist, „der ins Unheil geführt hat“, wie der IT-Leiter erzählt. Seine Empfehlung für den Angriffsfall: Systeme vom Netz nehmen, aber nicht formatieren, damit die Polizei alle Spuren sichern kann.
Die Ermittlungen bringen Ergebnisse, die relevant sind für die Verbesserung des künftigen Sicherheitskonzepts. So attestieren die Beamten dem IT-Leiter, dass keine technischen Versäumnisse gefunden wurden. „Unser Problem war menschliches Versagen, das Vier-Augen-Prinzip fu?r die A?nderung der wichtigsten Stammdaten war nicht konsequent umgesetzt worden“, nennt Korbanek den Knackpunkt. Noch bevor die Polizei vom Hof fährt, ist der Vier-Augen-Prozess organisatorisch festgelegt und technisch kurz darauf in der Betriebssoftware verankert.
Welche Konsequenzen zieht das Unternehmen?
Die Phishing-Falle hat auch einen positiven Aspekt: Sie hat gezeigt, wo KTR Systems die Hebel in seinem IT-Sicherheitskonzept ansetzen muss. „Technik ist nicht alles, die Sensibilisierung der Organisation ist mindestens so wichtig“, zieht Olaf Korbanek das Fazit aus der Attacke. Das Unternehmen bietet jetzt Awareness-Schulungen für die Mitarbeitenden an, hat eine interne Website zum Thema aufgelegt, schärft mit Quiz, Videos und dem Flyer „Die zehn Gebote zur IT-Sicherheit“ das Gefahrenbewusstsein.
Weil sie die Awareness-Kultur sehr gut unterstützen kann, hat KTR Systems erneut in Technik investiert – unter anderem in eine verhaltensbasierte KI-Lösung zur E-Mail-Analyse, die laut Korbanek bisher in zwei bis drei Prozent der Fälle Auffälligkeiten angezeigt hat – nicht mitgerechnet die ein bis zwei gefakten Phishing-Mails, die das Unternehmen selbst jeden Monat als Awareness-Test der Belegschaft zukommen lässt. IT-Sicherheit ist ein Dauerthema, sagt Korbanek. Insofern hat sich die böse Attacke schließlich in ein „gutes“ Argument für weitere Investitionen gewandelt, um die Abwehrkräfte des Unternehmens stetig zu stärken.
Kontakt
Redaktion Wirtschaftsspiegel