Brandaktuell, zerstörerisch und faszinierend zugleich: Cyber-Attacken setzen der aktuellen Polycrisis die Krone auf. Während teils kritische Infrastruktur angegriffen wird, sich die Anzeigen bei Landeskriminalämtern und Staatsanwaltschaften stapeln, wissen Expert:innen: Cyber-Angriffe lassen sich nicht vermeiden. Es kommt jetzt viel mehr darauf an, wie Unternehmen auf sie reagieren. Auch daran werden sie zukünftig gemessen.
Wie können sich Unternehmen besser gegen Cyber-Attacken wappnen? Und wenn Angriffe gelingen: Wie schalten sie auf “Incident Response” statt auf “Headless Chicken-Mode”? Zeit, einen Experten zu fragen: Philipp Seebohm von AON teilt Erkenntnisse und Empfehlungen aus acht Jahren Cyber Risiko Management.
Herr Seebohm, Sie sind Experte für Cyber Risiko Management – das klingt nach einem spannenden Job.
Das ist er. Und auch wenn die Technologie dabei eine wesentliche Rolle spielt: Ich arbeite vor allem mit sehr vielen, sehr unterschiedlichen Menschen, teils aus internationalen Organisationen mit verschiedensten IT-Reifegraden, Größenordnungen und Herkünften. Diese Vielfalt macht mir wahnsinnig viel Spaß!
Wie steht’s um die Aufregung?
Bei attackierten Unternehmen oder bei mir?
Sprechen Sie gern über beides:
Bei den Unternehmen ist es extrem unterschiedlich. Es gibt einige größere Organisationen, die wahnsinnig gut präpariert sind und schon diverse Vorfälle von Cyber-Attacken erlebt haben. Sie sind dann auch relativ unaufgeregt, haben super Prozesse, können die Vorfälle sehr gut, professionell und strukturiert einordnen. Aber es gibt auch Unternehmen, vorrangig KMU, bei denen die wahrgenommenen Auswirkungen eines Cyber-Angriffs deutlich höher sind. Beispielsweise wenn die Geschäftsführer:innen gleichzeitig auch die Gesellschafter:innen sind. Da werden ein Angriff und die Koordination teils zum massiven Problem. Die Aufregung ist dann groß und überträgt sich schnell auf die Belegschaft. Was meine Aufregung betrifft: Ich arbeite seit acht Jahren im Bereich Cyber Risiko Management. Am Anfang stand ich vor vielem Unbekannten. Die Aufregung war definitiv höher als heute. Inzwischen habe ich sehr viele Fälle erlebt und auch die Aufregung im Team hält sich in Grenzen. Anders wäre es auch ungesund: Unsere Kund:innen brauchen Ernsthaftigkeit, Ruhe und Gelassenheit, um bei Angriffen die richtigen Entscheidungen zu treffen.
Das heißt dann "Incident Response" statt "Headless Chicken-Mode".
Genau, koordiniertes Vorgehen statt "geköpft" weiterlaufen und schnell irgendetwas tun, was sich im Nachhinein als falsch erweist.
Was sind denn typische "Headless Chicken"-Reaktionen, die man bei Angriffen besser vermeiden sollte?
Das kommt extrem auf den Vorfall an. Eine typische Reaktion ist, alles runterzufahren, überall die Stecker zu ziehen – also: unkoordiniert abzuschalten. Das kann nur in Einzelfällen gut gehen.
Warum raten Sie davon ab?
Weil man nach einem Angriff eine bestimmte Menge forensischer Daten sichern sollte. So kann man erst feststellen, was passiert ist. Wie sind die Angreifer ins System gekommen? Welche Rechte haben sie erlangen können? Wie haben sie sich verbreitet? Man sollte auch sichergehen können, dass die Angreifer keine Backdoors implementiert haben, also Hintertüren, die es ihnen nach dem Rausschmiss wieder möglich machen, ins System zu gelangen. Wird abgeschaltet ohne ein gewisses Maß an forensischen Informationen, wird es schwer, sicherzustellen, dass es nicht erneut zu einem Vorfall kommt.
Man hört nach Cyber-Angriffen auch von verschlüsselten Backups: Da haben Unternehmen zwar vorgesorgt, sich also für den Ernstfall gewappnet, aber die Angreifer waren schon einen Schritt voraus. Was sollten Unternehmen bei ihren Backups berücksichtigen?
Richtig, auch das ist eine typische “Headless Chicken”-Reaktion: aus der Panik heraus – und weil ja alles am Laufen gehalten und weiter produziert werden muss – ungeprüft Backups ins System zu schießen. Hier muss wohlüberlegt gehandelt werden: Es sollten nur geprüfte Wiederherstellungsmaßnahmen eingeleitet werden.
Okay. Sie nannten bereits das Stichwort "Backdoors", die sich Angreifer legen und damit Zugänge offenhalten. Was sind aber die vorherigen Einfallstore in Systeme: Gibt es da Klassiker?
Die Einfallstore sind sehr vielfältig. Zu den Klassikern gehören aber definitiv Phishing-Mails: Damit überlisten Hacker die Belegschaft, bestimmte Codes oder Anhänge zu öffnen, auf Links zu klicken und Schadsoftware herunterzuladen. Ein weiteres Einfallstor bilden Schwachstellen in Systemen, die aus dem Internet erreichbar sind. Sie können auch jederzeit durch Updates entstehen. Jeder Code, jede Software kann Schwachstellen enthalten, die dann von Angreifern ausgenutzt werden. Klassisch sind diese Lücken, weil es schwer ist, permanent auftretende Schwachstellen zu schließen oder die Software vollständig abzuschalten. Es handelt sich unter anderem um offene Kommunikationswege wie E-Mail-Programme.
Denken wir an die globale Infektionswelle von WannaCry 2017, dann gab es schon einige spektakuläre Fälle in der Geschichte der Cyber-Attacken. Welcher kuriose Fall kommt Ihnen in den Sinn?
Ein Kollege aus der digitalen Forensik schilderte mir neulich einen. Er ist schon eine Weile her und war auch nicht medienwirksam – dafür aber wahnsinnig kurios: Ein Unternehmen wurde von zwei unterschiedlichen Hacker-Gruppen fast gleichzeitig angegriffen. Die erste Gruppe hatte die Daten des Unternehmens verschlüsselt. Die zweite legte fast zeitgleich ihre Verschlüsselung auf die erste. Es lag praktisch eine Verschlüsselung der Verschlüsselung vor. Da wollten gleichzeitig zwei kriminelle Organisationen bei demselben Unternehmen abkassieren. Abgesprochen war das nicht.
Was muss das für ein Unternehmen gewesen sein, für das sich gleich mehrere Hacker-Gruppen gleichzeitig interessierten? War es besonders lukrativ?
Sie bringen mit der Frage einen interessanten Punkt: Die kriminellen Organisationen interessieren sich nicht unbedingt für das Unternehmen. Lukrativ sind für sie die Schwachstellen, die Vielzahl von Angriffsoberflächen, die Möglichkeiten, die Unternehmen ihnen "lassen". Das Geschäft der Unternehmen ist also nicht vorrangig: Die Möglichkeiten stehen im Fokus.
Das leuchtet ein. Denn schaut man sich zum Beispiel das Beuteschema der Hacker-Gruppe "Double-Spider" an, dann beinhaltet es produzierende Unternehmen wie Matratzen Concord, kritische Infrastruktur wie das Uniklinikum Düsseldorf, Medienhäuser wie Funke und Kreisverwaltungen wie die von Anhalt-Bitterfeld. Kann man demnach nicht von besonders bevorzugten oder gefährdeten Branchen sprechen?
Einige kriminelle Organisationen agieren schon sehr zielgerichtet und greifen spezifische Unternehmen an, wenn auch die Angriffsoberfläche der Unternehmen entscheidend bleibt. Betrachten wir Deutschland, stellen wir schon einen Schwerpunkt auf den produzierenden Unternehmen fest. Die haben zwei Landschaften: IT und OT, teils auch IoT. Die Produktionsanlagen sind viele und werden mittlerweile auch digital gesteuert. Die Systeme wiederum für die Maschinen, die teils länger als 30 Jahre laufen, lassen sich allerdings nur schwer updaten. Das vergrößert die Angriffsoberfläche.
Wir haben in Deutschland eine Vielzahl an produzierenden Unternehmen, sie machen auch einen Großteil der Wirtschaftsleistung insgesamt aus. Ist Deutschland von globalem Hacker-Interesse und besonders gefährdet? Eine Ransomware-Statistik sieht Deutschland immerhin auf Platz 3 der am meist attackierten Länder – nach den USA und UK. Es wird auch von einer Zunahme der Angriffe berichtet. Liegt das an Deutschlands wirtschaftlichem Erfolg?
Logischerweise ja. Der Pay-Off ist schließlich größer, wenn Privatpersonen oder Unternehmen mit einem höheren Vermögen erpresst werden.
Wie ist dann der Status quo: Wie gut sind deutsche Unternehmen auf Cyber-Angriffe vorbereitet?
Es kommt auf die Unternehmen an, aber wir beobachten, dass vermehrt ein Umdenken stattfindet: Viele Organisationen setzen verstärkt auf Cyber Risiko Management und auf Cyber-Versicherungen. Sie investieren in Prävention, ins Erkennen und Reagieren auf Angriffe. Aus meiner Sicht ist das auch sehr wichtig, denn viele Unternehmen werden in Zukunft Opfer einer Attacke werden.
Sie beraten Unternehmen ja dahingehend: Welcher Irrglaube begegnet Ihnen noch oft – hinsichtlich Cyber-Sicherheit und Attacken?
Ein Irrglaube ist, dass Cyber-Angriffe ausschließlich als IT-Problem gelten. Es wird angenommen, die IT verantworte das Problem und löst es auch. So ist es nicht: Cyber-Attacken sind ein operatives Risiko für das gesamte Unternehmen. Die IT ist dabei nur ein Glied in der Kette. Bei Angriffen ist der Datenschutz genauso betroffen wie die Produktionsbereiche, das Management ebenso wie das Accounting. Es muss also entsprechend auch eine Governance im Unternehmen verankert werden, die das Problem insgesamt managed.
In welcher Sicherheit wägen sich Unternehmen oft?
Vor allem nach einer neuen Maßnahme – beispielsweise einem Penetrationstest oder der Implementierung einer neuen Sicherheitslösung – wähnen sich Unternehmen oft in einem trügerischen Sicherheitsgefühl. Sie meinen, ihnen könne jetzt erstmal nichts mehr passieren. Schließlich seien alle Schwachstellen gefunden. Aber dynamische Systeme lassen sich nicht mit statischen Maßnahmen schützen. Diese Formel geht langfristig nicht auf. Die Angriffe sind viel zu facettenreich für eine punktuelle Maßnahme.
Das Risiko verändert sich also konstant. Was sind die aktuellsten Entwicklungen bei Cyber-Kriminellen: Wie gehen sie neuerdings vor?
Es gibt mehrere neue Ansätze. Allgemein fällt aber einer besonders auf: Die Angriffe sind deutlich professioneller und organisierter geworden. Kriminelle Organisationen sind nicht nur auf Schwachstellen-Jagd: Sobald sie Zugang erlangen, kundschaften sie das Unternehmen sehr lange und sehr leise mit sehr vielen Ressourcen aus. Das ist neu. Sie lernen ihre Opfer besser kennen, sammeln Informationen über ihre verarbeiteten Daten, ihre Schwachstellen, Kommunikationswege, Backup-Infrastrukturen und vieles andere mehr. Auch untersuchen sie, wie sich die Unternehmen recovern könnten, sprich: wie sie nach einer Attacke Daten wiederherstellen könnten. Für dieses Szenario finden sie heraus, wie sie entsprechend Backups infizieren. Auch extrahieren sie sensible Daten, damit sie Unternehmen zusätzlich erpressen können – sofern diese schon kein Lösegeld für die Entschlüsselung bezahlen wollen. Diesen Vorgang gibt es schon länger, er nennt sich "Double Extortion".
Es heißt, aus diesem Prinzip erwachsen ganze Business-Modelle: Die eine Hacker-Gruppe knackt den Zugang und verkauft ihn. Die nächste wiederum extrahiert sensible Daten und verkauft diese. Zuletzt erpresst eine weitere Gruppe das Unternehmen um Lösegeld.
Und so weiter, absolut! Mittlerweile werden die Worte “Ransomware-as-a-Service” (RaaS) schon inflationär verwendet. Das Finden von Lücken, das Ausnutzen von Lücken, vor allem aber das Verkaufen oder Ausnutzen sensibler Daten: Da gibt es eine vermehrte Arbeitsteilung unter den Kriminellen. So wird die Sache auch deutlich professionalisiert.
Deutlich professioneller sind inzwischen auch Phishing-Mails. Während man sie vor einer Weile aufgrund fehlerhafter Rechtschreibung oder auffälliger visueller Komponenten unterscheiden konnte, muss man heute schon sehr genau hinsehen.
Ja, hier spielen neue Technologien eine bedeutende Rolle: KIs wie ChatGPT machen es Angreifern sehr leicht, strukturierte Phishing-Mails mit einwandfreier Rechtschreibung automatisiert zu erstellen. Die Professionalität hat sich hier deutlich verbessert. Es ist eine Frage der Zeit bis wir auch vermehrt gefälschte Telefonanrufe und dann auch gefälschte Videocalls erhalten werden. Deepfake Audios sind längst Realität. Insgesamt kommen damit sehr viele Risiken zusammen, die leider oft die Schwächsten treffen – ich denke dabei an den Enkeltrick.
Wir halten fest: Cyber-Angriffe sind extrem ausgeklügelt und Cyber-Kriminelle oft schon mehrere Schritte voraus. Geht Prävention dann überhaupt noch? Wenn ja: Wie agieren Unternehmen bestenfalls vorab? Welche Schritte sind nötig?
Ohne Brandschutzübungen schmälern zu wollen: Die Wahrscheinlichkeit, Opfer einer Cyber-Attacke zu werden, ist bei Unternehmen höher, als dass ein Feuer ausbricht. Um im Ernstfall koordiniert vorgehen zu können, empfehle ich Unternehmen eine Tabletop-Übung, mal anzunehmen, die Organisation sei wirklich Opfer einer Cyber-Attacke geworden und das Szenario dann durchzuspielen: Die Stakeholder werden nervös, Kund:innen befürchten, dass ihre Daten veröffentlicht werden, Lieferanten können plötzlich nicht mehr Teil der Wertschöpfung sein. Parallel pressieren monetäre Verpflichtungen. Man sollte sich also ein möglichst vielschichtiges Problem vorstellen, sich präventiv gemeinsam Gedanken machen, miteinander sprechen, diskutieren, abwägen, einen Plan haben. Ähnlich wie viele Unternehmen es seit Jahrzehnten für den Brandschutz machen. Das ist der erste Schritt.
Welche zielführenden Fragen sollten beim Durchspielen eines solchen Worst Case-Szenarios gestellt und auch beantwortet werden?
Einige sind: Gibt es einen Krisenplan? Ist er aktuell? Gibt es ihn physisch oder ist er digital – und damit auch verschlüsselt? Sind alle Telefonnummern und Kontakte auf dem neuesten Stand? Was sind unsere kritischen Prozesse? Verhandeln wir eigentlich mit Erpresser:innen? Wem kommunizieren wir was – beispielsweise externen Partner:innen? Wie gehen wir mit den anfallenden Überstunden und Wochenendarbeit um? Welche Bereiche sollten besser in Kurzarbeit gehen? Ist ein bestimmtes Maß an Liquidität vorhanden? Was muss sofort bezahlt werden?
Haben Sie einen Tipp für Krisenpläne, der gern übersehen wird?
Ja, keep it short. Das Dokument sollte pragmatisch sein und stetig angepasst werden. Ist ein Unternehmen getroffen, arbeitet es mit beschränkten Ressourcen. Da nützt niemandem ein 200-seitiges Werk. Wichtiger ist, zu verankern, wer im Ernstfall was zu tun hat. Ein Beispiel: Wer erfasst die Schäden? Ein Unternehmen muss nicht nur forensisch beweisen, dass es Opfer einer Attacke war. Ist es versichert, muss es auch seinen Schaden beziffern können. Die Rollen sollten also schon im Vorhinein gut verteilt und im Krisenplan festgelegt werden.
Womit wir beim “Wie” wären: Sie sagen, es komme mehr denn je darauf an, wie Unternehmenslenker:innen auf Attacken reagieren. Warum?
Weil zuletzt das "Wie" darüber entscheidet, welchen Schaden das Unternehmen langfristig von einer Attacke nimmt. Reagieren Unternehmen hektisch und unkontrolliert, passieren einfach zu viele Fehler, technisch wie organisatorisch. Und je mehr Probleme auftauchen, je länger das Problem besteht, desto höher sind die bilanziellen Auswirkungen aus der Krise. Krisenmanagement ist hier der Schlüssel. Wie Unternehmenslenker:innen und Organisationen reagieren: Daran werden sie zukünftig auch gemessen werden.
Gut. Nehmen wir an, der Worst Case ist eingetroffen. Eines Morgens prangt “You are f*****d” auf allen Bildschirmen. So erging es vor gut zwei Jahren der Kreisverwaltung Anhalt-Bitterfeld. Wie sehen die ersten drei Schritte in einer solchen Situation aus?
Prio 1: Ruhe bewahren und koordiniert handeln.
Prio 2: Expertise ins Haus holen – vorrangig Krisenmanagement und Forensik.
Prio 3: Kommunikationswege der Hacker überlegt und sinnvoll abschneiden.
Prio 4: Forensische Analyse machen: u.a. Beweise sammeln und Backups untersuchen.
Prio 5: Ein Parallelsystem erstellen, um Notfallprozesse am Laufen zu halten.
Okay, ich habe abschließend drei, teils steile Thesen mit Bitte um Ihre Einschätzung. These No. 1: Autoritäre Unternehmenskulturen werden eher Opfer von Hackerangriffen als andere. Ja oder Nein?
Das ist schwer, pauschal zu beantworten. Unternehmen mit einer stark autoritären Unternehmenskultur haben einerseits den Vorteil, dass Richtlinien von allen strikt befolgt werden. Andererseits tun sie sich oft schwer, eine offene Fehlerkultur und aktives Krisenmanagement zu betreiben. Dann wird weder externe Expertise konsultiert noch ein Hinterfragen in der Belegschaft gefördert. Genau das kann es für Angreifer leichter machen: CFO-Frauds gelingen im Zweifel eher, wenn sie nicht hinterfragt werden.
These No. 2 ist ein Zitat: “Besser "Pen and Paper": Die Digitalisierung macht uns doch nur angreifbar."
Sicher steigt die Angriffsoberfläche mit der zunehmenden Digitalisierung. Das Risiko liegt dabei aber nicht in der Technik: Es liegt in den meisten Fällen bei den Menschen. Aktuell befinden wir uns in Deutschland in einer Art Twighlight-Zone, sprich: Wir sind nicht wenig, aber eben auch noch nicht voll digitalisiert. Das Risiko entsteht vorrangig bei historisch gewachsenen Strukturen: Sie verfügen noch viel über alte Maschinen, alte IT, fehlende Updates und Unkenntnis. Diese Kombination lässt Risiken erst entstehen, die sich dann in Angriffen manifestieren. Also, sich nicht zu digitalisieren, ist nicht die Lösung – ganz im Gegenteil: Die Digitalisierung bringt immense Vorteile. Sie macht wettbewerbsfähig, sie stärkt Unternehmen und Wirtschaftsstandorte. Aber sie braucht eben auch Mut.
These No. 3: Kriminelle Organisationen erpressen Lösegelder auch gern mit der Veröffentlichung hochsensibler Daten – beispielsweise mit Disziplinarakten von Beamt:innen, siehe Case D.C. Police (2021) – oder mit Vorstandsprotokollen, die teils eigene Rechtsverstöße dokumentieren. Wenn dem so ist, könnte man vermuten: “Cyber-Attacken machen Unternehmen auf lange Sicht korrekter.” Oder?
Dass Cyber-Attacken Unternehmen korrekter oder ehrlicher machen, wage ich zu bezweifeln. Der Zugzwang, Lösegelder zu zahlen, wird bei den Unternehmen aber auf jeden Fall höher sein. Und was ich dazu definitiv sagen kann: Mit solchen Attacken steigt das Bewusstsein, die Awareness bei Unternehmen, für das eigene Risiko. Damit steigt aber auch der Invest in den Schutz sensibler Daten.
Vielen Dank für das spannende Gespräch, Herr Seebohm.