Neun von zehn Unternehmen werden Opfer von Datendiebstahl, Spionage oder Sabotage. Praktisch jede Firma kann zum Opfer werden, vom kleinen Steuerberater bis zum internationalen Großkonzern. Die erpressten Lösegelder erreichen immer schwindelerregendere Höhen und führen so manches Unternehmen in die Insolvenz. Welche Akteure und Strukturen stecken hinter den Cyberattacken und vor allem: Wie kann man sich schützen? Das haben wir Andreas Persihl gefragt. Er ist Inhaber der in Hamburg ansässigen und international auf Krisenanalyse, -prävention und -abwehr spezialisierten CAPERIUM GmbH.
Das Wort Cyberkriminalität ist plötzlich in aller Munde. Ist die Lage tatsächlich so schlimm?
Die Risiken durch Cyberkriminalität haben in Deutschland, Europa und weltweit mittlerweile eine so massive Dimension erreicht, dass man durchaus von einer ernsthaften Bedrohung sprechen muss. Die Gefahr eines Angriffs ist sehr real, vor allem für Unternehmen, die dazu in der Lage sind, hohe Lösegeldforderungen zu bezahlen oder kritische Infrastrukturbetriebe. Oft bekommen die Firmen lange gar nicht mit, dass sie bereits Opfer sind. Wenn dann ein Ransomware-Angriff das Unternehmen lahmlegt und die Back-ups verschlüsselt wurden, folgt daraus meist eine Betriebsunterbrechung. Das überleben viele nicht.
Was genau versteht man unter Cyberkriminalität?
Der Begriff subsumiert verschiedene Formen der Kriminalität. Was sie eint, ist das Eindringen in fremde IT- Systeme und Strukturen sowie deren Ausspähen und Manipulieren. Auch bei den Motiven findet sich eine große Bandbreite von der Bereicherungsabsicht über Macht- und Kontrollbedürfnisse bis hin zu politischen oder sexuellen Zielen. Manche Täter agieren nur aus Spaß, andere aus Gier oder Rache. Mal stecken staatlich gelenkte Hacker hinter den Angriffen, mal sind es Auftragstaten für andere Kriminelle.
Dabei kommen die Risiken nicht immer nur von außen über die IT-Systeme, oft sind es auch interne Prozessschwierigkeiten oder die Anwender, die den Hackern ungewollt Zugang verschaffen. Durch die heutigen Digitalisierungszwänge sind in den Unternehmen viele offene Flanken entstanden, das kann z.B. die Kaffeemaschine im Büro sein oder der ferngesteuerte Kopierer. Aber auch Remotesteuerungen, E-Mail-Anhänge, USB-Sticks oder über Drittanbieter zugekaufte Software oder Dienstleister sind Schwachstellen, die es den Hackern leicht machen.
Die Digitalisierung ist, wie Sie sagen, ein wichtiger Risikofaktor. Welche gibt es noch?
Durch die politische Entwicklung in den vergangenen Jahren hat sich Russland zu einem wahren Hotspot für internationale Cyberangriffe entwickelt. Aber auch aus Ländern wie Nordkorea oder dem Iran oder anderen eher diktatorisch geführten Staaten heraus wird versucht, eine junge Elite von Cyberexperten eng an militärische geheimdienstliche oder andere missbräuchliche Zwecke heranzuführen, um dann gezielt mit der auf dem Markt vorhandenen Software Unternehmen anzugreifen. Viele dieser Staaten nutzen die Cyberkriminalität mittlerweile auch, um sich auf diesem Wege Devisen zu beschaffen.
Wer profitiert davon am Ende?
Das kann man im Einzelfall nicht genau sagen. Eigentlich funktionieren Cyberkriminalität und Hacking über ein Franchise-System so, als wenn Sie sich bei McDonald’s oder Vapiano um eine Lizenz für ein Restaurant bewerben, dieses Restaurant betreiben und dann eine Namenslizenzgebühr oder andere Gebühren abführen und sich auf dem Markt beweisen.
Cyberkriminelle, die z.B. für Russland agieren, sind in der Regel durch die dortigen Geheimdienste gut geschützt und können dadurch recht frei agieren. Dementsprechend kann man davon ausgehen, dass die Verästelungen der Bereicherung in Russland weit in die politischen, militärischen oder geheimdienstlichen Systeme hineinreichen und jeder dort irgendwie seinen Anteil erhält.
Heißt das, dass im Grunde der russische Staat deutsche oder europäische Unternehmen angreift?
Da muss man differenzieren. De facto gibt es in Russland viel Know-how und beste staatliche Unterstützung, um solche Angriffe gezielt auch als Teil der militärischen oder nachrichtendienstlichen Tätigkeit auszuführen. Diese Subkultur des Hackings hat sich aber verselbständigt und inzwischen wollen sehr viele Menschen aus den politischen oder militärischen Eliten daran mitverdienen. Nach unserer Einschätzung ist das komplett aus dem Ruder gelaufen. Der Staat hat sich dort Gruppen herangezüchtet, die kaum noch zu stoppen sind.
Aber auch China ist nach wie vor eine große Bedrohung, weil es dort viel professionelles Know-how zum Hacken von Unternehmen gibt. China hat sich zwar stark von Ransomware-Angriffen distanziert und sicher stehen chinesische Hacker in ihrem Land stärker unter Kontrolle als russische. Trotzdem ist die Gefahr chinesischer Angriffe keineswegs geringer einzuschätzen. Ganz im Gegenteil: Diese erfolgen in der Regel wesentlich subtiler. Das Know-how, das hier etwa aus Hochtechnologieunternehmen abgegriffen wird, wird dazu genutzt, um die eigene Wirtschaft zu stärken. Das heißt, die chinesischen Hackerwellen sind im Prinzip für unsere Industrie heute noch gar nicht richtig sichtbar und auch die Schäden werden möglicherweise erst in fünf bis zehn Jahren erkennbar sein.
Gibt es im Kampf gegen die Hackerbanden auch Erfolge?
Sicher gibt es die, manche größere Gruppen sind mehr oder minder vom Markt verschwunden. Einige Top-Hacker aus Russland, die sehr offensiv unterwegs waren, wurden von den Amerikanern identifiziert und es wurden Belohnungen ausgelobt, um den Aufenthaltsort oder die Personalien festzustellen. Auf den Internetseiten des FBI kann man die entsprechenden Fahndungsversuche sehen.
Das größte Problem ist aber der mangelnde rechtliche Durchgriff in Ländern wie Russland. Sie müssen sich vorstellen, dass die Täter mit den erpressten Lösegeldern – hier werden zum Teil Beträge bis zu mehreren Milliarden US-Dollar oder Euro aufgerufen, die über Krypto-Konten rund um den Erdball unterwegs sind – sicher und ohne Angst vor Auslieferungsabkommen ein komfortables Leben führen können. Dort bauen sie, von den Geheimdiensten beschützt, eine neue Identität auf. Und anschließend fließt das Geld wieder in den legalen Wirtschaftskreislauf zurück, indem die Täter unter neuer Identität zum Beispiel Schiffe, Häuser, Hubschrauber, Flugzeuge oder Schmuck kaufen.
Sind deutsche Unternehmen auf solche Bedrohungen vorbereitet?
Wenn sie darauf vorbereitet wären, würden derzeit nicht solche exorbitanten Summen die Besitzer wechseln. Unternehmensverantwortliche sollten sich deswegen dringend dazu beraten lassen, wo sie Schwachstellen haben und auf eine IT-Sicherheits-Architektur umsteigen, die pragmatisch, aber ausreichend professionell ist. Dazu gehören auch unverschlüsselbare Backups.
Wenn man davon ausgeht, dass Täter ihre Schadsoftware drei bis sechs Monate vorher im Unternehmen installieren und sich über verschiedene Accounts Administratorenrechte beschaffen, bevor der Angriff vom Opfer überhaupt bemerkt wird, dann wird schnell deutlich, dass man auch als Mittelständler oder größeres Unternehmen Backups braucht, über die man auch an die Daten von vor drei, sechs, neun oder zwölf Monaten kommt. Oder dass man vor dem Einspielen von Daten alles nochmal auf Schadsoftware überprüfen muss.
Wie kann enomyc solche Prozesse unterstützen?
enomyc kommt ja oft dann ins Spiel, wenn Unternehmen – aus welchen Gründen auch immer – mit dem Rücken an der Wand stehen. In solchen Situationen gibt es meist auch Kämpfe um Budgets, Kosten und Prioritäten. Wenn Unternehmen infolge eines Cyberangriffs von der Insolvenz bedroht werden und in einer krisenhaften Situation zusätzlich mit der Anforderung konfrontiert sind, hohe Lösegeldforderungen zu erfüllen und in eine komplett neue IT-Infrastruktur zu investieren, sind sie in der Regel von der Kostenseite her schnell überfordert.
Hier hat enomyc den erforderlichen einen Weitblick und kann helfen, in dieser digitalen Transformation die richtigen Schwerpunkte zu setzen.
Abgesehen von der akuten Krise kann enomyc aber auch die Risiken digitaler Prozesse und ihre Komplexität analysieren und Unternehmen entsprechend beraten. Firmen, die schon angeschlagen sind und in Restrukturierungsprozessen stecken, müssen dabei doppelt abgesichert werden, denn die Daten, die man für die Fortführungsprognose oder andere Gutachten braucht, müssen jederzeit abrufbar und vor einer möglichen Verschlüsselung geschützt sein. Gerade für Unternehmen in der Krise ist eine entsprechende Beratung sicher ein lohnendes Investment.
Eine weitere Frage, bei der ich einen wertvollen Beitrag von enomyc sehe, ist das Coaching der Führungsriege für einen Cyberangriff. Hier geht es um Managementqualitäten, um Soft Skills und ganz spezielle Skills, die Manager in solchen Situationen brauchen. enomyc kann helfen, entsprechende Krisenteams aufzustellen, Verantwortlichkeiten festzulegen und Prozesse zu definieren, um die Chaosphase im Ernstfall so kurz wie möglich zu halten.
Lieben Dank für das spannende Gespräch, Herr Persihl.
CAPERIUM wurde 2008 als spezielles Beratungsunternehmen für Unternehmen, Behörden, Institutionen und Privatkunden gegründet, um die zunehmenden Bedürfnisse aus den Themenbereichen Compliance, Sicherheit, Ermittlungen, Forensik und Integrität sowie die damit verbundenen Herausforderungen der heutigen Zeit professionell zu managen. Als vertraulicher und strategischer Partner unterstützt CAPERIUM Unternehmen und exponierte Familien bei jeder Form von kriminellen Angriffen und bietet ein ganz spezielles vertrauliches Geschäftsfeld zur Unterstützung bei Verhandlungen in besonderen Stresssituationen wie kriminellen Angriffen, dem Erwerb oder Verkauf von Unternehmen (Mergers & Acquisitions) sowie bei Konflikten jedweder Art an.
