Was tun bei einem Cyberangriff?

Cybersecurity – der Begriff scheint zum Trendbegriff für hochinnovative Lösungen geworden zu sein. Dabei verbirgt sich dahinter eine ernstzunehmende Herausforderung für Unternehmen aller Größe: die Informationssicherheit. Das Krisenjahr 2020 hat die Welt digitaler und vernetzter gemacht, mit erstaunlicher Geschwindigkeit wurden althergebrachte Prozesse von „physisch“ auf „virtuell“ umgestellt. Diese Entwicklung birgt in punkto Sicherheit einige Risiken. Markus Klingspor, Geschäftsführer der Thinking Objects GmbH in Stuttgart, kennt die Schwierigkeiten der Unternehmen aus der Praxis. Wir haben ihn zum Interview getroffen.

Markus Klingspor: Derzeit schätze ich die Bedrohungslage allgemein als extrem hoch ein. Der Trend zum Arbeiten aus dem Homeoffice und die zunehmende Digitalisierung haben die Angriffsfläche immens vergrößert. Ein Unternehmen muss nun alle möglichen Einfallstore kontrollieren und überwachen. Das ist sowohl technisch als auch personell eine Herausforderung. Ein Angreifer muss nur eine einzige Lücke finden, die er ausnutzen kann. 

Das kann sowohl ein Fehler in einer direkt mit dem Internet verbundenen Software sein, wie dieses Jahr in Microsoft Exchange. Aufgrund dieser Schwachstelle waren über zwanzigtausend Systeme allein in Deutschland über Wochen von außen angreifbar. Es genügt aber auch schon der Klick eines Mitarbeiters auf eine Schadsoftware in einer E-Mail. Technische Lösungen bieten keinen vollständigen Schutz. Eine Erkennungsrate von 99,9 Prozent bei einer Antivirensoftware bedeutet, dass in einem von tausend Fällen der Fallschirm nicht öffnet.

Im letzten Jahr hat sich die Anzahl der Angriffe mehr als verdoppelt. Auch die Werkzeuge für Angreifer und die Qualität werden immer besser. Gerade für größere Unternehmen, bei denen sich Angreifer eine hohe Beute versprechen, ist die Gefahr eines gezielten Angriffs stark gestiegen. Bei kleineren Unternehmen, bei denen das Thema Cybersicherheit oft nicht im Fokus steht und Sicherheitsmaßnahmen nicht oder nicht ausreichend umgesetzt werden, hat sich die Gefahr eines nicht zielgerichteten Angriffs deutlich erhöht. Unternehmen fühlen sich häufig sicherer, als sie es tatsächlich sind. Eine Studie des Kriminologischen Forschungsinstituts Niedersachsen (KFN) aus dem Jahr 2019 hat gezeigt: Selbst Unternehmen, die bereits von einem Angriff betroffen waren, sind nicht besorgt: 56 Prozent von ihnen schätzen die Gefahr eines ungezielten Angriffs und 87 Prozent die eines gezielten Angriffs als mehr als gering oder sehr gering ein.

Das Allerwichtigste ist, das Thema zur Chefsache zu machen. Der Schutz vor Cyberangriffen ist klassisches Risikomanagement und damit notwendigerweise Führungssache. Nur die Unternehmensleitung kann entscheiden, welches Risiko man eingehen möchte. Dabei ist die richtige Einschätzung oft ein Problem:  Während das Risiko im Schadensfall auf der Hand liegt, wird die Eintrittswahrscheinlichkeit kategorisch unterschätzt. Die richtige Frage lautet aber nicht, ob oder wann ein Angriff kommt. Die einzig wichtige Frage ist:  Was würde bei einem erfolgreichen Angriff passieren?

Neben allen Maßnahmen zur Vermeidung von Angriffen, sollte man alles tun, um Angriffe frühzeitig zu erkennen und den Schaden so weit wie möglich zu begrenzen. Die KFN-Studie zeigt auch, dass es nicht reicht, Richtlinien zu erlassen. Unternehmen mit schriftlich fixierten Richtlinien zur Cybersicherheit waren genauso oft Opfer von Angriffen wie andere. Erst das konsequente Umsetzen, die regelmäßige Überprüfung und das Sanktionieren von Verstößen gegen diese Richtlinien führen zu einer Verbesserung. Darüber hinaus empfiehlt es sich auch, Restrisiken wie beim Brandschutz an eine Cyberversicherung auszulagern.

Das oberste Gebot: einen klaren Kopf bewahren. Das fällt umso leichter, je mehr Sie sich mit einem Angriff im Vorfeld beschäftigt haben. Üben Sie den Ernstfall mit Notfallplänen, bevor er eintritt. Sonst werden Sie möglicherweise vollkommen überrascht. Unter dem dann entstehenden Druck richtige Entscheidungen zu treffen, ist fast unmöglich. Sie sollten klar festlegen, wer im Ernstfall wofür verantwortlich ist, welche Maßnahmen ergriffen werden, wie kommuniziert wird und welche externe Unterstützung angefordert werden kann.

Zweiter Tipp: Holen Sie sich krisenerfahrene Unterstützung. In Baden-Württemberg gibt es die Cyberwehr, die Ersthilfe vermittelt. Es empfiehlt sich auch, die Polizei einzuschalten. Das LKA Baden-Württemberg bietet die Zentrale Ansprechstelle Cybercrime (ZAC), die über erfahrene Experten verfügt.

Durch die weltweite Vernetzung können Angreifer heute bequem aus Ländern operieren, in denen nicht die gleichen Standards für Strafverfolgung wie in Deutschland gelten. Viele Unternehmen haben heute global verteilte Standorte. In verschiedenen Ländern und Kulturen einen gleichbleibenden Sicherheitsstandard zu gewährleisten, ist so gut wie unmöglich. Damit wird, wenn es nicht im internen Netz Abschottungen gibt, der am schwächsten gesicherte Standort zur größten Gefahr für das gesamte Unternehmen. Das gilt zudem für Vernetzungen mit Partnern, Lieferanten und Kunden. Bedenken Sie immer: Auch von eigenen Niederlassungen und insbesondere Homeoffices kann eine hohe Gefahr ausgehen. Am 27. Juni 2017 wurde die Reederei Maersk Opfer eines verheerenden Angriffs. Durch ein infiziertes Softwareupdate für eine Finanzsoftware auf einem einzigen Arbeitsplatz in einem kleinen Büro in einem Hafenterminal in der Ukraine wurde das weltweite Netz von Maersk innerhalb weniger Stunden nahezu vollständig zerstört. Es dauerte Monate, bis der Betrieb wieder vollständig hergestellt war. In diesem Fall hätte auch eine Lösegeldzahlung nichts geholfen. Die Angriffssoftware „NotPetya” war rein destruktiv. Das ist nur eines von vielen Beispielen. Unternehmen weltweit und damit auch in Deutschland werden zunehmend Opfer des globalen Cyberkriegs.

Das Interview führte Ulrike Modery, IHK Region Stuttgart.