„Man kann nicht alle Cyber-Angriffe verhindern“

Cybercrime-Experte Marco Gercke über Strategien der Prävention, die Verantwortung der Vorstände und was man aus simulierten Attacken lernen kann.

 Das Gefühl von Hilflosigkeit. Vor dem Tisch steht Marco Gercke in seinem Kölner Institut und wartet auf eine Entscheidung. Seit zehn Minuten gilt eine besondere Konstellation: Sein Gast ist Personal- und Technikvorstand eines großen deutschen Mittelständlers – und wird angegriffen, über das Internet. Die Angreifer fordern Geld und den Stopp von Aktivitäten der Firma in Iran. Sie legen erst die Website lahm, was noch verkraftbar ist. Doch ein Erpresser nutzt die Aufregung: Er sagt, es sei ihm gelungen, in die Produktionssteuerungsanlagen einzudringen und fordert 250.000 Dollar in Bitcoins. Um die Ernsthaftigkeit seiner Drohung unter Beweis zu stellen, dringt der Angreifer ins interne Netzwerk ein. Server fallen aus, Produktionsanlagen sind überlastet. Jetzt also muss eine Entscheidung getroffen werden: abschalten oder nicht?

Die Situation ist simuliert, es passiert eigentlich nichts. Und trotzdem ist sie erschreckend. Marco Gercke ist Professor für Medien- und Informationsstrafrecht - und setzt auf eine andere Form der Aufklärung: Er lässt die Leute die Cybercrime-Risiken fühlen.

Herr Gercke, braucht man erst das Gefühl der Hilflosigkeit, um die Bedrohung für die IT zu begreifen?
So würde ich das nicht sagen. Aber man kann sich hinstellen, einen Vortrag halten und versuchen, eine Botschaft zu transportieren. Immer mit einer Distanz zum Zuhörer. Wenn ich die Situation jedoch erlebe, wird diese Distanz aufgehoben. Insofern stellt das aktive Durchleben von Situationen tatsächlich einen Mehrwert dar.

Also hat das Werben für mehr Sicherheitsbewusstsein in den letzten Jahren nichts genutzt?
Doch. Wir haben aber jetzt die ersten Fälle, dass große Unternehmen wegen Angriffen in eine wirtschaftliche Schieflage gelangen. Und damit hat sich die Qualität des Themas komplett geändert. Wir müssen es ganz neu diskutieren. Dazu zählen auch neue Ansätze - bis hin zu ganzen Unternehmensstrategien. Und das muss ganz oben in der Führungsebene passieren. Die war bei dem Thema in der Vergangenheit bisweilen wenig involviert.

Dabei helfen Simulationen?
Es geht darum, die Schwachstellen zu finden und zu helfen, diese zu schließen. Der Ansatz kommt aus dem Militär und nennt sich "Red Teaming": Es gibt ein blaues und ein rotes Team. Das blaue ist das Verteidigungsteam, das rote greift an. In der Simulation treffen beide sinnbildlich aufeinander. Die Simulation ist aber im Regelfall nicht das Ergebnis, sondern nur der Zwischenschritt eines komplexeren Optimierungsprozesses.

Gibt es ein Muster bei den Angriffen?
Die verwandten Methodiken sind oftmals dieselben. Bei Angriffen auf Entscheidungsträger wird häufig Social Engineering verwendet, das heißt, Personen werden ausspioniert, um über sie ins Netzwerk zu gelangen. Aber wie die Angriffe am Ende aufgebaut sind, unterscheidet sich sehr - wie auch die Motivation der Täter. Im Moment sehen wir häufig, dass Unternehmen erpresst werden. Denn sie bezahlen oft. Der Aufwand, den Firmen betreiben müssten, um Schaden abzuwenden, wäre höher, als die geforderte Summe zu bezahlen.

Um wie viel Geld geht es?
Die Einzelschäden steigen und können schon mal im einstelligen Millionenbereich liegen. Bei Produktionsausfällen, kombiniert mit Reputationsverlusten, kann innerhalb weniger Tage auch einmal ein Schaden im mehrstelligen Millionenbereich verursacht werden.

Das ist auch der Grund, warum viele Unternehmen bisher nicht über das Thema sprechen wollten. Ändert sich das langsam?
Ja und nein. Die Ängste sind immer noch da. Aber wir sehen ein zunehmendes Interesse am Austausch auf unterschiedlichen Ebenen, bis hoch in die Konzernführung. Dort stellte sich lange die Frage: Warum soll ich mich damit beschäftigen?

Und warum muss sie das?
Es gibt eine gesetzlich geregelte Grundverantwortung von Vorständen von Aktiengesellschaften und Geschäftsführern von GmbHs. Für Aktiengesellschaften ist die Verantwortung ausdrücklich in Paragraf 91 Absatz 2 AktG geregelt. Dort steht, dass der Vorstand verantwortlich für das Risikomanagement ist - und das schließt den Bereich IT-Sicherheit mit ein. Sollte ein Vorstand diesbezüglich keine Vorsorgemaßnahmen treffen, haftet er persönlich für den Schaden.

Kennen Sie Fälle, in denen das passiert ist?
Nein. Der Aspekt der Geschäftsführungs- beziehungsweise Vorstandshaftung wird bei uns gerade erst entwickelt. In den Vereinigten Staaten sehen wir aber schon eine zunehmende Zahl von Prozessen.

Wie reagieren die Teilnehmer auf Ihre Simulation?
Angelehnt an die militärische Operation sollen die Teilnehmer relativ schnell vergessen, dass es sich um eine Simulation handelt. Etwa durch das Abdunkeln oder das Abkühlen des Raums. Das bedeutet, es entsteht wirklicher Stress. Die meisten sind danach erschöpft.

Und dann?
Dann schließt sich eine Nachbesprechung an. Viele Bedrohungen wirken auf Unternehmensführer abstrakt. Deswegen ist es auch sehr wichtig, ihnen zu erklären: Was sie hier gesehen haben, ist in Wirklichkeit bereits passiert. Beispiel NSA: In der Berichterstattung hört man oft das Argument, die nachrichtendienstliche Tätigkeit diene der Terrorbekämpfung. Das ist für die meisten Unternehmen keine Gefahr. Aber in Berichten des Europaparlaments sind spezifische Beispiele von Wirtschaftsspionage aufgeführt, an denen die NSA beteiligt war. Damit kann man den realen Bezug zur deutschen Wirtschaft gut herstellen und in die Simulation diese Perspektiven integrieren.

Sind die deutschen Unternehmen gut gerüstet?
Ja und nein. Viele Unternehmen haben sich zu lange auf Prävention konzentriert. Mittlerweile stecken führende Unternehmen aber 70 Prozent ihrer Ressourcen in die Prävention und den Rest in das Entdecken und Beheben von Cyberattacken. Wenn ich erkennen muss, dass ich nicht alle Angriffe verhindern kann, ist es besser, eine gute Strategie in der Prävention und eine sehr gute in der Entdeckung von Angriffen zu haben und wieder aufzustehen, wenn man umgefallen ist. Diese innovativeren Ansätze sind noch nicht flächendeckend umgesetzt.

Kann sich der Mittelstand so etwas überhaupt leisten?
Das muss gar nicht so teuer sein. Nehmen Sie zum Beispiel die mobilen Geräte. Wenn die Mitarbeiter ihre eigenen Geräte mitbringen, die in das Netzwerk eingebunden werden, entstehen viele Schwachstellen. Es kann die Sicherheit schon erhöhen, wenn man bestimmte Dienste im Netz gar nicht erst anbietet. Dann wird es eher günstiger als teurer.

Was halten Sie von Plänen, ein europäisches Netzwerk zu schaffen?
Vom Prinzip her finde ich das logisch. Es gibt immer unterschiedliche Sicherheitsansätze: technische, rechtliche oder strategische. Wenn es sich technisch realisieren lässt, dass man bestimmte Risiken vermeidet, weil die Daten anders geleitet werden, schafft das zwar das Problem nicht aus der Welt, aber wir sollten diese Option diskutieren.

 

© Handelsblatt GmbH. Alle Rechte vorbehalten

Das interessiert andere Leser

  • GmbH-Insolvenz: Den Verkauf als Weg aus der Krise nutzen
    GmbH-Insolvenz, und nun?

    Statt eines langwierigen Sanierungsverfahrens bietet sich bei Insolvenz häufig der Verkauf des Unternehmens an. Was dabei zu beachten ist.

  • Franchise Awards 2019 verliehen
    Franchise Awards 2019: Die Gewinner

    Am 28. Mai 2019 wurden in Berlin im Rahmen des Franchise Forums die begehrten Auszeichnungen verliehen. Wer die Gewinner sind erfahren Sie hier.

  • Bester Franchisenehmer der Welt - jetzt Nominierung abgeben

    Nominieren Sie Ihre Franchisenehmer zum internationalen Award und präsentieren Sie Ihr Franchise-System und Ihre Marke auf internationaler Bühne.

  • Franchise Konzepte: Positive Stimmung in den Systemen
    Franchise Klima Index 2019

    Der Franchisemarkt boomt, die Stimmung ist gut. Das zeigt die neuste Erhebung des FKI. Zugleich treibt viele Franchise-Systeme um, wie sie schnell neue Mitarbeiter und Franchisepartner finden.

  • Unternehmensnachfolge im Fokus– „Turmgespräch des Mittelstands“
    "Turmgespräch des Mittelstands" in Düsseldorf

    Der Deutsche Mittelstands-Bund (DMB) lud rund 50 wirtschaftliche Entscheider, Politiker und Fachexperten ein um über die Herausforderungen und Lösungen der Nachfolgerproblematik zu diskutieren.

  • Finanzierungs-Alternative zur Hausbank - DUB.de
    Jenseits der Stange

    Joachim Haedke springt mit Finanzierung.com ein, wenn Banken bei der flexiblen Beschaffung von Liquidität für Unternehmen mauern.

  • Unternehmensverkauf - Gute Vorbereitung bestimmt den Erfolg Teil II
    Teil II: Unternehmensverkauf - Gute Vorbereitung bestimmt den Erfolg

    Der zweite Teil geht auf weitere für eine Vorbereitung wesentliche Punkte ein und fasst alle aufgezählten Schritte in einer Checkliste zusammen.

  • Unternehmensverkauf - Gute Vorbereitung bestimmt den Erfolg
    Teil I: Unternehmensverkauf - Gute Vorbereitung bestimmt den Erfolg

    Zu viele Unternehmerinnen und Unternehmer stellen sich der Herausforderung Unternehmensnachfolge zu spät. Eine gute Vorbereitung ist das A und 0.

  • FRANCHISE AWARDS 2019
    FRANCHISE AWARDS 2019

    In drei Kategorien messen sich insgesamt neun Franchisesysteme. Wer am Ende die begehrte Trophäe mit nach Hause nehmen darf entscheidet eine Fachjury.

  • Franchise Ideen: Was der Markt anbietet und was Sie wissen müssen
    Franchise Ideen: Was der Markt anbietet und was Sie wissen müssen

    Das passende System finden: Franchise Angebote gibt es viele, aber welche Franchise Idee ist die richtige?

  • Mobilitäts-Debatte- E-Scooter auf Gehwegen: Das sagen die Versicherer
    E-Scooter auf Gehwegen: Das sagen die Versicherer

    Die Bundesregierung entscheidet demnächst über die Zukunft der E-Scooter auf den Verkehrswegen. Viele Versicherer lehnen die neuen elektronischen Tretroller aber pauschal ab.

  • So gelingt das Change Management

    Neue Eigentümer bringen oft frische Ideen mit. Doch wer neue Strukturen und Prozesse integrieren will, muss ein paar Dinge beachten.

  • Auf Bewährtes aufbauen

    Franchise lohnt sich – besonders für die Nachfolger. DUB.de erklärt, was das System so attraktiv macht und worin die größte Herausforderung besteht.

  • Franchiseunternehmen verkaufen – So geht der Franchise Resale!
    Franchiseunternehmen verkaufen – So geht der Franchise Resale!

    Häufig werden in Franchise Verträgen auch Vorkaufsrechte festgeschrieben. Was bedeutet das nun im Falle eines gewünschten Weiterverkaufs?

  • con|cess M+A-Partner erhält den „Content Creator Award"
    con|cess M+A-Partner erhält den „Content Creator Award“

    Das Beraternetzwerk hat in der Kategorie: „Company Sales Facilitators of the Year 2019 – Germany“ den Award für seinen umfangreichen Content Marketing Ansatz erhalten.

  • Robert Gladis von der HALLESCHE
    „Benefit für Mitarbeiter“

    Jeder Versicherte sollte selbst auswählen können, welche bKV-Leistungen er in Anspruch nimmt. Dafür plädiert Robert Gladis von der HALLESCHE.

  • Steuerlich nutzbar: Durch eine Gesetzesänderung Ende 2018 werden Verluste bei einer Übertragung bis zu 50 Prozent nicht mehr gekürzt
    Das Minus nutzen

    Die Vorschrift zum anteiligen Verlustuntergang wurde Ende letzten Jahres gestrichen. Für Kapitalgesellschaften entstehen so neue Chancen, um ihre Verluste trotz Übertragung zu verrechnen.

  • Die digitale Transformation gelingt im Unternehmen nur im Miteinander
    „Mehr Empathie denn je“

    Die digitale Transformation gelingt im Unternehmen nur im Miteinander, postuliert Antje Leminsky, CEO beim Finanzierungsspezialisten GRENKE.

  • China hat sich zu einer der führenden wirtschaftlichen und technologischen Weltmacht entwickelt. Ex-Chefredakteur der „Die Zeit“ Theo Sommer erklärt, was der Aufstieg bedeutet.
    Chinas Aufstieg zum technologischen Vorreiter

    China hat sich zu einer der führenden wirtschaftlichen und technologischen Weltmacht entwickelt. Ex-Chefredakteur der „Die Zeit“ Theo Sommer erklärt, was der Aufstieg bedeutet.

  • Marc Simons von SIMONS & KOLLEGEN weiß, wie man sich für die richtige betriebliche Krankenversicherung entscheidet.
    „Passende Lösungen für die ganze Belegschaft“

    Die Entscheidung für die richtige betriebliche Krankenversicherung (bKV) fällt vielen Unternehmen nicht leicht. Marc Simons von SIMONS & KOLLEGEN weiß Rat.

  • Nur ein Bruchteil der deutschen Unternehmen hat einen Krankenzusatzschutz für seine Mitarbeiter abgeschlossen.
    Vorsorge im Doppelpack

    Nur ein Bruchteil der deutschen Unternehmen hat einen Krankenzusatzschutz für seine Mitarbeiter abgeschlossen. Dabei bietet die bKV viele Vorteile – für Betriebe wie Angestellte.

  • T-Systems-CEO Adel Al-Saleh über die Telematik-infrastruktur in der Gesundheitsbranche.
    „Deutschland hinkt noch hinterher“

    Die Telematik-infrastruktur ist das fehlende Bindeglied in der Kommunikation zwischen Ärzten, Apotheken und Krankenkassen, mahnt T-Systems-CEO Adel Al-Saleh.

  • Stephanie Renda kennt die Grenzen, an die Frauen stoßen.
    „Das einzige Mittel der Wahl“

    Courage: Als junge Mutter gründete Stephanie Renda 2008 ihr eigenes Unternehmen. Heute engagiert sie sich für die ganze Start-up-Szene. Sie kennt die Grenzen, an die Frauen stoßen.

  • Maria Moraeus Hanssen fordert Diversität in Unternehmen
    „Sagen Sie Ja zu neuen Chancen“

    Maria Moraeus Hanssen ist Vorstandsvorsitzende der DEA Deutsche Erdoel AG. Die Norwegerin fordert Diversität in Unternehmen – und das weit über die Geschlechterfrage hinaus.

  • Ines von Jagemann über die neuen Chancen für Frauen, in Führungspositionen zu kommen.
    „Lernen Sie, sich selbst zu schätzen“

    Ines von Jagemann, Geschäftsführerin Digital bei Tchibo, über Digital Leadership und die neuen Chancen für Frauen, in Führungspositionen zu kommen.

  • Verena Pausder will, dass unsere Kleinen einmal digital ganz groß werden.
    Die Zukunft beginnt genau jetzt

    Es könnte abgedroschen klingen, wäre es nicht so unwiderlegbar: Gründerin Verena Pausder will, dass unsere Kleinen einmal digital ganz groß werden.

  • Sarna Röster macht sich für den Nachwuchs stark – und glaubt nicht an die Frauenquote.
    „Gründergeist in die Schulen“

    Sarna Röster, die Nachfolgerin des Familienbetriebs Karl Röser & Sohn, macht sich für den Nachwuchs stark. Im Interview erklärt sie warum sie gegen eine Frauenquote ist.

  • Beate Oblau behauptete sich gegen zwei Männer in der Unternehmensspitze
    „Nur Kompetenz zählt“

    Neben zwei Männern behauptet sich Beate Oblau an der Spitze des Schreibgeräteherstellers Lamy. Sie spricht über die Digitalisierung der Marke und warum ihr Geschlecht irrelevant ist.

  • Prof. Sabina Jeschke über den Mobilfunkstandard 5G und ihre Arbeit als Ingenieurin
    „Digital Leader sein heißt Vielfalt fördern“

    Prof. Sabina Jeschke, Vorstand Digitalisierung und Technik der Deutschen Bahn, über den Mobilfunkstandard 5G und ihre Arbeit als Ingenieurin in einem klassischen Männerbereich.

  • Personalvorständin von EWE, Marion Rövekamp, über Diversity und Frauenförderung.
    „Netzwerken ist essenziell“

    Als Personalvorständin von EWE setzt sich Marion Rövekamp unter anderem für die Themen Diversity und Frauenförderung ein – auch, um damit drohendem Fachkräftemangel zu begegnen.

DUB Veranstaltungstipp

 

Cyberangriff live erleben

Exklusiv: Mittelständische Unternehmer und Manager können in einer realitätsnahen Simulation live erleben, wie Cyberangriffe und Industriespionage ablaufen. Das Handelsblatt bietet dies gemeinsam mit dem Experten Marco Gercke und dem glh Centrum für Strategie und Höhere Führung an.

 

Die Simulation findet am 29. April in Köln statt.

Weitere Infos dazu unter: www.handelsblatt.com/cybersecurity

DUB-Unternehmensbörse

Bei der Deutschen Unternehmerbörse können Sie Verkaufsangebote und Kaufgesuche inserieren.
Jetzt nach Verkaufsangeboten für Unternehmen suchen!
Suchen
Jetzt Newsletter bestellen
DUB-Themennewsletter
monatlich & gratis
Was Unternehmer wissen müssen
DUB-Börsennewsletter
wöchentlich & gratis
Die neusten Angebote und Gesuche auf einen Blick
Das interessiert andere Leser