„Man kann nicht alle Cyber-Angriffe verhindern“

Cybercrime-Experte Marco Gercke über Strategien der Prävention, die Verantwortung der Vorstände und was man aus simulierten Attacken lernen kann.

 Das Gefühl von Hilflosigkeit. Vor dem Tisch steht Marco Gercke in seinem Kölner Institut und wartet auf eine Entscheidung. Seit zehn Minuten gilt eine besondere Konstellation: Sein Gast ist Personal- und Technikvorstand eines großen deutschen Mittelständlers – und wird angegriffen, über das Internet. Die Angreifer fordern Geld und den Stopp von Aktivitäten der Firma in Iran. Sie legen erst die Website lahm, was noch verkraftbar ist. Doch ein Erpresser nutzt die Aufregung: Er sagt, es sei ihm gelungen, in die Produktionssteuerungsanlagen einzudringen und fordert 250.000 Dollar in Bitcoins. Um die Ernsthaftigkeit seiner Drohung unter Beweis zu stellen, dringt der Angreifer ins interne Netzwerk ein. Server fallen aus, Produktionsanlagen sind überlastet. Jetzt also muss eine Entscheidung getroffen werden: abschalten oder nicht?

Die Situation ist simuliert, es passiert eigentlich nichts. Und trotzdem ist sie erschreckend. Marco Gercke ist Professor für Medien- und Informationsstrafrecht - und setzt auf eine andere Form der Aufklärung: Er lässt die Leute die Cybercrime-Risiken fühlen.

Herr Gercke, braucht man erst das Gefühl der Hilflosigkeit, um die Bedrohung für die IT zu begreifen?
So würde ich das nicht sagen. Aber man kann sich hinstellen, einen Vortrag halten und versuchen, eine Botschaft zu transportieren. Immer mit einer Distanz zum Zuhörer. Wenn ich die Situation jedoch erlebe, wird diese Distanz aufgehoben. Insofern stellt das aktive Durchleben von Situationen tatsächlich einen Mehrwert dar.

Also hat das Werben für mehr Sicherheitsbewusstsein in den letzten Jahren nichts genutzt?
Doch. Wir haben aber jetzt die ersten Fälle, dass große Unternehmen wegen Angriffen in eine wirtschaftliche Schieflage gelangen. Und damit hat sich die Qualität des Themas komplett geändert. Wir müssen es ganz neu diskutieren. Dazu zählen auch neue Ansätze - bis hin zu ganzen Unternehmensstrategien. Und das muss ganz oben in der Führungsebene passieren. Die war bei dem Thema in der Vergangenheit bisweilen wenig involviert.

Dabei helfen Simulationen?
Es geht darum, die Schwachstellen zu finden und zu helfen, diese zu schließen. Der Ansatz kommt aus dem Militär und nennt sich "Red Teaming": Es gibt ein blaues und ein rotes Team. Das blaue ist das Verteidigungsteam, das rote greift an. In der Simulation treffen beide sinnbildlich aufeinander. Die Simulation ist aber im Regelfall nicht das Ergebnis, sondern nur der Zwischenschritt eines komplexeren Optimierungsprozesses.

Gibt es ein Muster bei den Angriffen?
Die verwandten Methodiken sind oftmals dieselben. Bei Angriffen auf Entscheidungsträger wird häufig Social Engineering verwendet, das heißt, Personen werden ausspioniert, um über sie ins Netzwerk zu gelangen. Aber wie die Angriffe am Ende aufgebaut sind, unterscheidet sich sehr - wie auch die Motivation der Täter. Im Moment sehen wir häufig, dass Unternehmen erpresst werden. Denn sie bezahlen oft. Der Aufwand, den Firmen betreiben müssten, um Schaden abzuwenden, wäre höher, als die geforderte Summe zu bezahlen.

Um wie viel Geld geht es?
Die Einzelschäden steigen und können schon mal im einstelligen Millionenbereich liegen. Bei Produktionsausfällen, kombiniert mit Reputationsverlusten, kann innerhalb weniger Tage auch einmal ein Schaden im mehrstelligen Millionenbereich verursacht werden.

Das ist auch der Grund, warum viele Unternehmen bisher nicht über das Thema sprechen wollten. Ändert sich das langsam?
Ja und nein. Die Ängste sind immer noch da. Aber wir sehen ein zunehmendes Interesse am Austausch auf unterschiedlichen Ebenen, bis hoch in die Konzernführung. Dort stellte sich lange die Frage: Warum soll ich mich damit beschäftigen?

Und warum muss sie das?
Es gibt eine gesetzlich geregelte Grundverantwortung von Vorständen von Aktiengesellschaften und Geschäftsführern von GmbHs. Für Aktiengesellschaften ist die Verantwortung ausdrücklich in Paragraf 91 Absatz 2 AktG geregelt. Dort steht, dass der Vorstand verantwortlich für das Risikomanagement ist - und das schließt den Bereich IT-Sicherheit mit ein. Sollte ein Vorstand diesbezüglich keine Vorsorgemaßnahmen treffen, haftet er persönlich für den Schaden.

Kennen Sie Fälle, in denen das passiert ist?
Nein. Der Aspekt der Geschäftsführungs- beziehungsweise Vorstandshaftung wird bei uns gerade erst entwickelt. In den Vereinigten Staaten sehen wir aber schon eine zunehmende Zahl von Prozessen.

Wie reagieren die Teilnehmer auf Ihre Simulation?
Angelehnt an die militärische Operation sollen die Teilnehmer relativ schnell vergessen, dass es sich um eine Simulation handelt. Etwa durch das Abdunkeln oder das Abkühlen des Raums. Das bedeutet, es entsteht wirklicher Stress. Die meisten sind danach erschöpft.

Und dann?
Dann schließt sich eine Nachbesprechung an. Viele Bedrohungen wirken auf Unternehmensführer abstrakt. Deswegen ist es auch sehr wichtig, ihnen zu erklären: Was sie hier gesehen haben, ist in Wirklichkeit bereits passiert. Beispiel NSA: In der Berichterstattung hört man oft das Argument, die nachrichtendienstliche Tätigkeit diene der Terrorbekämpfung. Das ist für die meisten Unternehmen keine Gefahr. Aber in Berichten des Europaparlaments sind spezifische Beispiele von Wirtschaftsspionage aufgeführt, an denen die NSA beteiligt war. Damit kann man den realen Bezug zur deutschen Wirtschaft gut herstellen und in die Simulation diese Perspektiven integrieren.

Sind die deutschen Unternehmen gut gerüstet?
Ja und nein. Viele Unternehmen haben sich zu lange auf Prävention konzentriert. Mittlerweile stecken führende Unternehmen aber 70 Prozent ihrer Ressourcen in die Prävention und den Rest in das Entdecken und Beheben von Cyberattacken. Wenn ich erkennen muss, dass ich nicht alle Angriffe verhindern kann, ist es besser, eine gute Strategie in der Prävention und eine sehr gute in der Entdeckung von Angriffen zu haben und wieder aufzustehen, wenn man umgefallen ist. Diese innovativeren Ansätze sind noch nicht flächendeckend umgesetzt.

Kann sich der Mittelstand so etwas überhaupt leisten?
Das muss gar nicht so teuer sein. Nehmen Sie zum Beispiel die mobilen Geräte. Wenn die Mitarbeiter ihre eigenen Geräte mitbringen, die in das Netzwerk eingebunden werden, entstehen viele Schwachstellen. Es kann die Sicherheit schon erhöhen, wenn man bestimmte Dienste im Netz gar nicht erst anbietet. Dann wird es eher günstiger als teurer.

Was halten Sie von Plänen, ein europäisches Netzwerk zu schaffen?
Vom Prinzip her finde ich das logisch. Es gibt immer unterschiedliche Sicherheitsansätze: technische, rechtliche oder strategische. Wenn es sich technisch realisieren lässt, dass man bestimmte Risiken vermeidet, weil die Daten anders geleitet werden, schafft das zwar das Problem nicht aus der Welt, aber wir sollten diese Option diskutieren.

 

© Handelsblatt GmbH. Alle Rechte vorbehalten

Das interessiert andere Leser

  • Die digitale Transformation gelingt im Unternehmen nur im Miteinander
    „Mehr Empathie denn je“

    Die digitale Transformation gelingt im Unternehmen nur im Miteinander, postuliert Antje Leminsky, CEO beim Finanzierungsspezialisten GRENKE.

  • China hat sich zu einer der führenden wirtschaftlichen und technologischen Weltmacht entwickelt. Ex-Chefredakteur der „Die Zeit“ Theo Sommer erklärt, was der Aufstieg bedeutet.
    Chinas Aufstieg zum technologischen Vorreiter

    China hat sich zu einer der führenden wirtschaftlichen und technologischen Weltmacht entwickelt. Ex-Chefredakteur der „Die Zeit“ Theo Sommer erklärt, was der Aufstieg bedeutet.

  • Marc Simons von SIMONS & KOLLEGEN weiß, wie man sich für die richtige betriebliche Krankenversicherung entscheidet.
    „Passende Lösungen für die ganze Belegschaft“

    Die Entscheidung für die richtige betriebliche Krankenversicherung (bKV) fällt vielen Unternehmen nicht leicht. Marc Simons von SIMONS & KOLLEGEN weiß Rat.

  • Nur ein Bruchteil der deutschen Unternehmen hat einen Krankenzusatzschutz für seine Mitarbeiter abgeschlossen.
    Vorsorge im Doppelpack

    Nur ein Bruchteil der deutschen Unternehmen hat einen Krankenzusatzschutz für seine Mitarbeiter abgeschlossen. Dabei bietet die bKV viele Vorteile – für Betriebe wie Angestellte.

  • T-Systems-CEO Adel Al-Saleh über die Telematik-infrastruktur in der Gesundheitsbranche.
    „Deutschland hinkt noch hinterher“

    Die Telematik-infrastruktur ist das fehlende Bindeglied in der Kommunikation zwischen Ärzten, Apotheken und Krankenkassen, mahnt T-Systems-CEO Adel Al-Saleh.

  • Stephanie Renda kennt die Grenzen, an die Frauen stoßen.
    „Das einzige Mittel der Wahl“

    Courage: Als junge Mutter gründete Stephanie Renda 2008 ihr eigenes Unternehmen. Heute engagiert sie sich für die ganze Start-up-Szene. Sie kennt die Grenzen, an die Frauen stoßen.

  • Maria Moraeus Hanssen fordert Diversität in Unternehmen
    „Sagen Sie Ja zu neuen Chancen“

    Maria Moraeus Hanssen ist Vorstandsvorsitzende der DEA Deutsche Erdoel AG. Die Norwegerin fordert Diversität in Unternehmen – und das weit über die Geschlechterfrage hinaus.

  • Ines von Jagemann über die neuen Chancen für Frauen, in Führungspositionen zu kommen.
    „Lernen Sie, sich selbst zu schätzen“

    Ines von Jagemann, Geschäftsführerin Digital bei Tchibo, über Digital Leadership und die neuen Chancen für Frauen, in Führungspositionen zu kommen.

  • Verena Pausder will, dass unsere Kleinen einmal digital ganz groß werden.
    Die Zukunft beginnt genau jetzt

    Es könnte abgedroschen klingen, wäre es nicht so unwiderlegbar: Gründerin Verena Pausder will, dass unsere Kleinen einmal digital ganz groß werden.

  • Sarna Röster macht sich für den Nachwuchs stark – und glaubt nicht an die Frauenquote.
    „Gründergeist in die Schulen“

    Sarna Röster, die Nachfolgerin des Familienbetriebs Karl Röser & Sohn, macht sich für den Nachwuchs stark. Im Interview erklärt sie warum sie gegen eine Frauenquote ist.

  • Beate Oblau behauptete sich gegen zwei Männer in der Unternehmensspitze
    „Nur Kompetenz zählt“

    Neben zwei Männern behauptet sich Beate Oblau an der Spitze des Schreibgeräteherstellers Lamy. Sie spricht über die Digitalisierung der Marke und warum ihr Geschlecht irrelevant ist.

  • Prof. Sabina Jeschke über den Mobilfunkstandard 5G und ihre Arbeit als Ingenieurin
    „Digital Leader sein heißt Vielfalt fördern“

    Prof. Sabina Jeschke, Vorstand Digitalisierung und Technik der Deutschen Bahn, über den Mobilfunkstandard 5G und ihre Arbeit als Ingenieurin in einem klassischen Männerbereich.

  • Personalvorständin von EWE, Marion Rövekamp, über Diversity und Frauenförderung.
    „Netzwerken ist essenziell“

    Als Personalvorständin von EWE setzt sich Marion Rövekamp unter anderem für die Themen Diversity und Frauenförderung ein – auch, um damit drohendem Fachkräftemangel zu begegnen.

  • Die Designerin Jette Joop über ihr Geschäft und Frauen in Führungspositionen
    „Wer Konflikte aushält, kommt weiter“

    Die Designerin Jette Joop über ihr Geschäft und Frauen in Führungspositionen – und was ihr selbst als Unternehmerin geholfen hat.

  • Michael Kaib und David O’Neill von Reemtsma erklären, wie die E-Zigarette den Wandel im Traditionsunternehmen treibt.
    Plötzlich anders

    Gestern Tabakhersteller, heute Technikproduzent: Michael Kaib und David O’Neill von Reemtsma erklären, wie die E-Zigarette den Wandel im Traditionsunternehmen treibt.

  • Eine neue Umfrage zum Thema Nachfolge legt offen: Eine große Mehrheit der Firmeninhaber trifft keine Regelungen für einen möglichen Notfall.
    Notfallplan für die Unternehmensnachfolge

    Eine aktuelle Umfrage zum Thema Nachfolge legt offen: Eine große Mehrheit der Firmeninhaber trifft keine Regelungen für einen möglichen Notfall. Was sind die Gründe für dieses Versäumnis?

  • Ist der Unternehmensverkauf vertraglich in trockenen Tüchern, muss der Betrieb noch übergeben werden. Dieser Übergabeprozess ist für Käufer und Verkäufer deutlich umfangreicher als eine reine Schlüsselübergabe.
    Arbeitsreicher Abschied und Neuanfang

    Ist der Unternehmensverkauf vertraglich geregelt, muss der Betrieb noch übergeben werden. Dieser Übergabeprozess ist für Käufer und Verkäufer deutlich umfangreicher als eine reine Schlüsselübergabe.

  • Digitalisierung in Unternehmen: In vielen Bereichen gibt es erheblichen Handlungsbedarf
    5 Digitale Thesen

    _MEDIATE berät Unternehmen zur digitalen Transformation. Die Ergebnisse der jährlichen Befragung zur Ermittlung der Transformationspioniere zeigen, dass es in vielen Bereichen Handlungsbedarf gibt.

  • Weniger Risiko und gute Erfolgschancen -
    Franchise: Weniger Risiko und gute Erfolgschancen

    Franchise-Gründer profitieren von einer bereits ausgereiften Idee und einem am Markt erprobten Konzept. Doch was gilt es auf dem Weg in die Selbstständigkeit zu beachten? Ein ausführlicher Überblick.

  • Nach der Unternehmensübergabe: Darauf sollten frischgebackene Chefs achten
    Ab jetzt läuft hier einiges anders!

    Nach einer Unternehmsübergabe möchten viele Vorgesetze die bisherigen betrieblichen Abläufe nach ihren Vorstellungen umgestalten. Doch gelingt so eine erfolgreiche Integration in die neue Führungsposition?

  • Wer suchet, der findet - Unternehmensübergabe: 5 Nachfolgeszenarien
    Wer suchet, der findet!

    Welche Möglichkeiten haben Unternehmer ihr Lebenswerk zu übergeben, wenn sich in der Familie kein passender Nachfolger finden lässt? Fünf Übergabe Szenarien im Überblick.

  • Der Kauf eines Planungsunternehmens stellt Nachfolger vor Herausforderungen.
    Kompetenz ist ohne Alternative

    Der Kauf eines Planungsunternehmens stellt Nachfolger vor Herausforderungen. Consultingexperte Karl-Heinz Seidel erklärt im Interview, worauf Verkäufer achten sollten.

  • Frauen stehen bei Unternehmensnachfolgen oftmals hinten an. Das muss sich ändern. Zum Weltfrauentag blicken wir auf den Status quo.
    Chefin gesucht: Frauen für die Unternehmensnachfolge

    Frauen stehen bei Unternehmensnachfolgen oftmals hinten an. Das muss sich ändern, vor allem als Nachfolgerinnen werden sie dringend benötigt. Zum Weltfrauentag blicken wir auf den Status quo.

  • Altenpflege und -betreuung entwickelt sich hinsichtlich aktueller  demografischer Entwicklungen zu einem der kommenden Franchise-Trends.
    Wachstumsmarkt Altenpflege – Franchisekonzepte als ideale Basis

    Der demografische Wandel bringt Schwung in die Gesundheitsbranche. Das gilt auch für den Pflegemarkt insbesondere Die Altenpflege, die sich hinsichtlich aktueller Entwicklungen zu einem der kommenden ...

  • Brigitte Zypries wird Herausgeberin des DUB UNTERNEHMER-Magazins
    Brigitte Zypries wird Herausgeberin des DUB UNTERNEHMER-Magazins.

    Als Herausgeberin berät Zypries die Chefredaktion bei der publizistischen Ausrichtung des Magazins. Darüber hinaus wird sie Kolumnistin des zweimonatlich erscheinenden Wirtschaftstitels.

  • Unternehmensnachfolge - Antworten auf die FAQs der DUB.de Leser rund um das Thema
    Alles andere als einfach

    Unternehmer, die für ihren Betrieb einen Nachfolger suchen, stehen vor einem komplexen Prozess, der Fragen aufwirft. Hier finden sich Antworten auf diejenigen, die unsere Leser und die User von DUB.de ...

  • Franchisesysteme in der Krise
    Die richtige Strategie - Insolvenzen und andere Franchisenehmer-Exits richtig anpacken

    Auch gut organisierten Franchisesystemen bleiben Krisen nicht erspart – so kann es etwa durchaus passieren, dass einem Franchisenehmer finanziell die Luft ausgeht und er Insolvenz anmelden muss.

  • Cyberangriffe - wie können sich Unternehmer schützen und wer hilft im Notfall?
    Letzter Retter

    Sechs von zehn Cyberangriffen zielen laut Bitkom auf mittelständische Unternehmen ab. Wie sich Unternehmer schützen können und wer im Notfall hilft.

  • Ein Blick ins Innere der Amazon-Welt: Jeff Bezos hat den Buchhändler zum wertvollsten Unternehmen der Welt gemacht.
    Die Denke des Masterminds

    Ein Blick ins Innere der Amazon-Welt: Jeff Bezos hat den Buchhändler zum wertvollsten Unternehmen der Welt gemacht. Was treibt ihn an? Wie geht er vor? Die Highlights.

  • Stuttgarter-Expertin Henriette Meissner erklärt die Vorteile des neuen bAV-Gesetzes.
    Der Staat hilft mit

    Steuervorteile, Zuschüsse, Freibeträge: Neue Regelungen für die betriebliche Altersversorgung bieten jetzt mehr Vorzüge für Arbeitnehmer und Arbeitgeber. Henriette Meissner klärt auf.

DUB Veranstaltungstipp

 

Cyberangriff live erleben

Exklusiv: Mittelständische Unternehmer und Manager können in einer realitätsnahen Simulation live erleben, wie Cyberangriffe und Industriespionage ablaufen. Das Handelsblatt bietet dies gemeinsam mit dem Experten Marco Gercke und dem glh Centrum für Strategie und Höhere Führung an.

 

Die Simulation findet am 29. April in Köln statt.

Weitere Infos dazu unter: www.handelsblatt.com/cybersecurity

DUB-Unternehmensbörse

Bei der Deutschen Unternehmerbörse können Sie Verkaufsangebote und Kaufgesuche inserieren.
Jetzt nach Verkaufsangeboten für Unternehmen suchen!
Suchen
Jetzt Newsletter bestellen
DUB-Themennewsletter
monatlich & gratis
Was Unternehmer wissen müssen
DUB-Börsennewsletter
wöchentlich & gratis
Die neusten Angebote und Gesuche auf einen Blick
Das interessiert andere Leser
  • Die digitale Transformation gelingt im Unternehmen nur im Miteinander
    „Mehr Empathie denn je“

    Die digitale Transformation gelingt im Unternehmen nur im Miteinander, postuliert Antje Leminsky, CEO beim Finanzierungsspezialisten GRENKE.

  • Marc Simons von SIMONS & KOLLEGEN weiß, wie man sich für die richtige betriebliche Krankenversicherung entscheidet.
    „Passende Lösungen für die ganze Belegschaft“

    Die Entscheidung für die richtige betriebliche Krankenversicherung (bKV) fällt vielen Unternehmen nicht leicht. Marc Simons von SIMONS & KOLLEGEN weiß Rat.

  • Nur ein Bruchteil der deutschen Unternehmen hat einen Krankenzusatzschutz für seine Mitarbeiter abgeschlossen.
    Vorsorge im Doppelpack

    Nur ein Bruchteil der deutschen Unternehmen hat einen Krankenzusatzschutz für seine Mitarbeiter abgeschlossen. Dabei bietet die bKV viele Vorteile – für Betriebe wie Angestellte.

  • T-Systems-CEO Adel Al-Saleh über die Telematik-infrastruktur in der Gesundheitsbranche.
    „Deutschland hinkt noch hinterher“

    Die Telematik-infrastruktur ist das fehlende Bindeglied in der Kommunikation zwischen Ärzten, Apotheken und Krankenkassen, mahnt T-Systems-CEO Adel Al-Saleh.

  • Stephanie Renda kennt die Grenzen, an die Frauen stoßen.
    „Das einzige Mittel der Wahl“

    Courage: Als junge Mutter gründete Stephanie Renda 2008 ihr eigenes Unternehmen. Heute engagiert sie sich für die ganze Start-up-Szene. Sie kennt die Grenzen, an die Frauen stoßen.

  • Maria Moraeus Hanssen fordert Diversität in Unternehmen
    „Sagen Sie Ja zu neuen Chancen“

    Maria Moraeus Hanssen ist Vorstandsvorsitzende der DEA Deutsche Erdoel AG. Die Norwegerin fordert Diversität in Unternehmen – und das weit über die Geschlechterfrage hinaus.

  • Ines von Jagemann über die neuen Chancen für Frauen, in Führungspositionen zu kommen.
    „Lernen Sie, sich selbst zu schätzen“

    Ines von Jagemann, Geschäftsführerin Digital bei Tchibo, über Digital Leadership und die neuen Chancen für Frauen, in Führungspositionen zu kommen.

  • Verena Pausder will, dass unsere Kleinen einmal digital ganz groß werden.
    Die Zukunft beginnt genau jetzt

    Es könnte abgedroschen klingen, wäre es nicht so unwiderlegbar: Gründerin Verena Pausder will, dass unsere Kleinen einmal digital ganz groß werden.

  • Sarna Röster macht sich für den Nachwuchs stark – und glaubt nicht an die Frauenquote.
    „Gründergeist in die Schulen“

    Sarna Röster, die Nachfolgerin des Familienbetriebs Karl Röser & Sohn, macht sich für den Nachwuchs stark. Im Interview erklärt sie warum sie gegen eine Frauenquote ist.

  • Beate Oblau behauptete sich gegen zwei Männer in der Unternehmensspitze
    „Nur Kompetenz zählt“

    Neben zwei Männern behauptet sich Beate Oblau an der Spitze des Schreibgeräteherstellers Lamy. Sie spricht über die Digitalisierung der Marke und warum ihr Geschlecht irrelevant ist.

  • Prof. Sabina Jeschke über den Mobilfunkstandard 5G und ihre Arbeit als Ingenieurin
    „Digital Leader sein heißt Vielfalt fördern“

    Prof. Sabina Jeschke, Vorstand Digitalisierung und Technik der Deutschen Bahn, über den Mobilfunkstandard 5G und ihre Arbeit als Ingenieurin in einem klassischen Männerbereich.

  • Personalvorständin von EWE, Marion Rövekamp, über Diversity und Frauenförderung.
    „Netzwerken ist essenziell“

    Als Personalvorständin von EWE setzt sich Marion Rövekamp unter anderem für die Themen Diversity und Frauenförderung ein – auch, um damit drohendem Fachkräftemangel zu begegnen.