„Man kann nicht alle Cyber-Angriffe verhindern“

Cybercrime-Experte Marco Gercke über Strategien der Prävention, die Verantwortung der Vorstände und was man aus simulierten Attacken lernen kann.

 Das Gefühl von Hilflosigkeit. Vor dem Tisch steht Marco Gercke in seinem Kölner Institut und wartet auf eine Entscheidung. Seit zehn Minuten gilt eine besondere Konstellation: Sein Gast ist Personal- und Technikvorstand eines großen deutschen Mittelständlers – und wird angegriffen, über das Internet. Die Angreifer fordern Geld und den Stopp von Aktivitäten der Firma in Iran. Sie legen erst die Website lahm, was noch verkraftbar ist. Doch ein Erpresser nutzt die Aufregung: Er sagt, es sei ihm gelungen, in die Produktionssteuerungsanlagen einzudringen und fordert 250.000 Dollar in Bitcoins. Um die Ernsthaftigkeit seiner Drohung unter Beweis zu stellen, dringt der Angreifer ins interne Netzwerk ein. Server fallen aus, Produktionsanlagen sind überlastet. Jetzt also muss eine Entscheidung getroffen werden: abschalten oder nicht?

Die Situation ist simuliert, es passiert eigentlich nichts. Und trotzdem ist sie erschreckend. Marco Gercke ist Professor für Medien- und Informationsstrafrecht - und setzt auf eine andere Form der Aufklärung: Er lässt die Leute die Cybercrime-Risiken fühlen.

Herr Gercke, braucht man erst das Gefühl der Hilflosigkeit, um die Bedrohung für die IT zu begreifen?
So würde ich das nicht sagen. Aber man kann sich hinstellen, einen Vortrag halten und versuchen, eine Botschaft zu transportieren. Immer mit einer Distanz zum Zuhörer. Wenn ich die Situation jedoch erlebe, wird diese Distanz aufgehoben. Insofern stellt das aktive Durchleben von Situationen tatsächlich einen Mehrwert dar.

Also hat das Werben für mehr Sicherheitsbewusstsein in den letzten Jahren nichts genutzt?
Doch. Wir haben aber jetzt die ersten Fälle, dass große Unternehmen wegen Angriffen in eine wirtschaftliche Schieflage gelangen. Und damit hat sich die Qualität des Themas komplett geändert. Wir müssen es ganz neu diskutieren. Dazu zählen auch neue Ansätze - bis hin zu ganzen Unternehmensstrategien. Und das muss ganz oben in der Führungsebene passieren. Die war bei dem Thema in der Vergangenheit bisweilen wenig involviert.

Dabei helfen Simulationen?
Es geht darum, die Schwachstellen zu finden und zu helfen, diese zu schließen. Der Ansatz kommt aus dem Militär und nennt sich "Red Teaming": Es gibt ein blaues und ein rotes Team. Das blaue ist das Verteidigungsteam, das rote greift an. In der Simulation treffen beide sinnbildlich aufeinander. Die Simulation ist aber im Regelfall nicht das Ergebnis, sondern nur der Zwischenschritt eines komplexeren Optimierungsprozesses.

Gibt es ein Muster bei den Angriffen?
Die verwandten Methodiken sind oftmals dieselben. Bei Angriffen auf Entscheidungsträger wird häufig Social Engineering verwendet, das heißt, Personen werden ausspioniert, um über sie ins Netzwerk zu gelangen. Aber wie die Angriffe am Ende aufgebaut sind, unterscheidet sich sehr - wie auch die Motivation der Täter. Im Moment sehen wir häufig, dass Unternehmen erpresst werden. Denn sie bezahlen oft. Der Aufwand, den Firmen betreiben müssten, um Schaden abzuwenden, wäre höher, als die geforderte Summe zu bezahlen.

Um wie viel Geld geht es?
Die Einzelschäden steigen und können schon mal im einstelligen Millionenbereich liegen. Bei Produktionsausfällen, kombiniert mit Reputationsverlusten, kann innerhalb weniger Tage auch einmal ein Schaden im mehrstelligen Millionenbereich verursacht werden.

Das ist auch der Grund, warum viele Unternehmen bisher nicht über das Thema sprechen wollten. Ändert sich das langsam?
Ja und nein. Die Ängste sind immer noch da. Aber wir sehen ein zunehmendes Interesse am Austausch auf unterschiedlichen Ebenen, bis hoch in die Konzernführung. Dort stellte sich lange die Frage: Warum soll ich mich damit beschäftigen?

Und warum muss sie das?
Es gibt eine gesetzlich geregelte Grundverantwortung von Vorständen von Aktiengesellschaften und Geschäftsführern von GmbHs. Für Aktiengesellschaften ist die Verantwortung ausdrücklich in Paragraf 91 Absatz 2 AktG geregelt. Dort steht, dass der Vorstand verantwortlich für das Risikomanagement ist - und das schließt den Bereich IT-Sicherheit mit ein. Sollte ein Vorstand diesbezüglich keine Vorsorgemaßnahmen treffen, haftet er persönlich für den Schaden.

Kennen Sie Fälle, in denen das passiert ist?
Nein. Der Aspekt der Geschäftsführungs- beziehungsweise Vorstandshaftung wird bei uns gerade erst entwickelt. In den Vereinigten Staaten sehen wir aber schon eine zunehmende Zahl von Prozessen.

Wie reagieren die Teilnehmer auf Ihre Simulation?
Angelehnt an die militärische Operation sollen die Teilnehmer relativ schnell vergessen, dass es sich um eine Simulation handelt. Etwa durch das Abdunkeln oder das Abkühlen des Raums. Das bedeutet, es entsteht wirklicher Stress. Die meisten sind danach erschöpft.

Und dann?
Dann schließt sich eine Nachbesprechung an. Viele Bedrohungen wirken auf Unternehmensführer abstrakt. Deswegen ist es auch sehr wichtig, ihnen zu erklären: Was sie hier gesehen haben, ist in Wirklichkeit bereits passiert. Beispiel NSA: In der Berichterstattung hört man oft das Argument, die nachrichtendienstliche Tätigkeit diene der Terrorbekämpfung. Das ist für die meisten Unternehmen keine Gefahr. Aber in Berichten des Europaparlaments sind spezifische Beispiele von Wirtschaftsspionage aufgeführt, an denen die NSA beteiligt war. Damit kann man den realen Bezug zur deutschen Wirtschaft gut herstellen und in die Simulation diese Perspektiven integrieren.

Sind die deutschen Unternehmen gut gerüstet?
Ja und nein. Viele Unternehmen haben sich zu lange auf Prävention konzentriert. Mittlerweile stecken führende Unternehmen aber 70 Prozent ihrer Ressourcen in die Prävention und den Rest in das Entdecken und Beheben von Cyberattacken. Wenn ich erkennen muss, dass ich nicht alle Angriffe verhindern kann, ist es besser, eine gute Strategie in der Prävention und eine sehr gute in der Entdeckung von Angriffen zu haben und wieder aufzustehen, wenn man umgefallen ist. Diese innovativeren Ansätze sind noch nicht flächendeckend umgesetzt.

Kann sich der Mittelstand so etwas überhaupt leisten?
Das muss gar nicht so teuer sein. Nehmen Sie zum Beispiel die mobilen Geräte. Wenn die Mitarbeiter ihre eigenen Geräte mitbringen, die in das Netzwerk eingebunden werden, entstehen viele Schwachstellen. Es kann die Sicherheit schon erhöhen, wenn man bestimmte Dienste im Netz gar nicht erst anbietet. Dann wird es eher günstiger als teurer.

Was halten Sie von Plänen, ein europäisches Netzwerk zu schaffen?
Vom Prinzip her finde ich das logisch. Es gibt immer unterschiedliche Sicherheitsansätze: technische, rechtliche oder strategische. Wenn es sich technisch realisieren lässt, dass man bestimmte Risiken vermeidet, weil die Daten anders geleitet werden, schafft das zwar das Problem nicht aus der Welt, aber wir sollten diese Option diskutieren.

 

© Handelsblatt GmbH. Alle Rechte vorbehalten

Das interessiert andere Leser

  • Bemessung des Unternehmerlohns

    Für jede Unternehmensbewertung ist im Aufwand ein drittvergleichsfähiger Unternehmerlohn anzusetzen. Wie hoch ist er anzusetzen, welche Maßstäbe gelten dafür?

  • Gewinnspiel zum Buch "Familienexternes Management im Mittelstand"

    Wir verlosen drei Fachbücher zum Thema Unternehmensnachfolge außerhalb der Familie. Weitere Informationen zum Buch und zum Gewinnspiel gibt es hier.

  • Oasen zum Verlieben

    So langsam steigt wieder die Lust auf Wellnessurlaub. Das DUB UNTERNEHMER-Magazin und Travelcircus stellen drei der schönsten Spa-Tempel in Deutschland und Österreich vor.

  • Thomas Röhler: „Sport-Stipendiat des Jahres“

    Der Olympiasieger und Europameister im Speerwerfen ist zum „Sport-Stipendiat des Jahres 2018“ gekürt worden. Die Deutsche Bank verdoppelt nun sein Stipendium für die nächsten 18 Monate auf 800 Euro.

  • Digitale Kundenansprache meistern

    Bei der digitalen Customer Journey haben deutsche Unternehmen noch Nachholbedarf. Professor Julian Kawohl von der Hochschule für Technik und Wirtschaft erläutert, wo es hakt.

  • Franchisesystem Town & Country Haus wird Preisträger des Hausbau-Design Awards 2018

    Erster Platz in der Kategorie „Bungalows“ – so lautete das Ergebnis des diesjährigen Hausbau-Design Awards für einen Entwurf von Town & Country Haus.

  • FranchiseExpo18 – ein Rückblick auf Deutschlands größte Franchise Messe

    Die Franchise Expo 2018 war für DUB.de und die gesamte Franchise-Szene ein voller Erfolge. Ein Resümee.

  • Moderne Klassik

    Als besonders robust und zuverlässig gelten die mechanischen Zeitmesser des Frankfurter Herstellers Sinn Spezialuhren. Das liegt an eigens entwickelten technologischen Lösungen.

  • Zeit ist Qualität

    Guter Champagner braucht einen guten Wein. Und drei Zutaten: Leidenschaft, Handwerk sowie Geduld. Wir haben die Geheimnisse des Edel-Schaumweins vor Ort bei Bertrand Lhopital erkundet.

  • Volle Pulle Vintage

    2.000 Kilometer von Nordschottland nach Südengland. Ein Erlebnis auf knorrigen alten Motorrädern und neue Heritage-Bikes. Bei der „The Great Mile“ dabei: unser Autor Ralf Bielefeldt.

  • Stromern, nicht knattern

    Elektromobilität ist modern, trendig und umweltfreundlich. Doch auch E-Autos sind in überfüllten Städten ein Fehler. Die Alternative: der elektrisch angetriebene Roller Unu.

  • Schneller Deal - Franchisegeber in der mobilen Fritteusenreinigung

    Zügig und effizient läuft die Suche nach Franchisenehmern bei FiltaFry ab. Im besten Fall vergeht von der Bewerbung bis zur Vertragsunterzeichnung nur ein Monat. Wobei achtet der Franchisegeber bei der ...

  • Reite die Welle

    Die Balance halten – darum geht es beim Surfen wie in der Wirtschaft. Wie das Beispiel von Robby Naish zeigt. Seine Entwicklung vom Weltklassesurfer zum erfolgreichen Unternehmer.

  • Drei Tage Willenskraft

    Im Face-Camp von Box-Champion und Ideengeber Wladimir Klitschko arbeiten Führungskräfte an einer persönlichen Herausforderung. Ein Selbstversuch von Redakteur Arne Gottschalk.

  • „Brauchen digitalere DNA“

    Frank Thelen fordert und fördert in der TV-Show „Die Höhle der Löwen“ junge Start-ups. Der Bundesrepublik verordnet er ein 360-Grad-Aufputschpaket für Wagniskapital.

  • Titelthema: Märchenhafte Reise

    Ob Dax-Konzern oder Familienbetrieb, Start-up oder Traditionsunternehmen, B2B oder B2C: Kaum etwas wird in Chefetagen so heiß diskutiert wie die Customer-Journey.

  • Eigene Firma gründen: Das sind die ersten Schritte

    Frei von den Zwängen des Angestelltendaseins: das ist nur ein Motiv, ein Unternehmen zu gründen. Folgende Liste bietet Tipps für einen erfolgreichen Start.

  • Jetzt bewerben: Deutscher Exzellenz-Preis 2019

    Die top-besetzte Jury des Deutschen Exzellenz-Preises kürt Herausragendes. Entscheiderinnen und Entscheider können sich in allen Award-Kategorien noch bis zum 1. Oktober 2018 bewerben.

  • Mit Franchise um die ganze Welt

    Viele Geschäftsideen, die in Deutschland großen Erfolg haben, stammen ursprünglich aus dem Ausland. Nach Deutschland kamen sie via Franchise und bieten für Gründer viele Möglichkeiten.

  • Unternehmensnachfolge - die richtigen Werte zählen

    Unternehmensnachfolge Beratung braucht Empathie - nicht nur Branchenexpertise und Unternehmertum werden gesucht, sondern auch die richtige Vision fürs Unternehmen.

  • Wie intelligent ist mein Unternehmen?

    Gratis: DUB startet Deutschlands größte Unternehmer-Umfrage – zusammen mit KPMG und den Hochschulen in Paderborn und Regensburg. Am Schnelltest teilnehmen und sofort Auswertung erhalten!

  • Unternehmensnachfolge per Management-Buy-Out

    Ein Management-Buy-Out bietet für alle Parteien eine Chance, ihre Ziele zu erreichen - ob Unternehmer, Führungskraft oder Vermögensinhaber

  • Entdeckt euch!

    Pascal Finette sucht und findet die Antworten auf die Frage „What’s next?“. Der Dozent der Singularity University stellt sich dem redaktionellen Kreuzfeuer in Hamburg. Das Ergebnis: ein Weckruf.

  • Angriff aufs Irrationale

    Welche Mechanismen machen Google, Amazon und Co. so erfolgreich? In seinem Buch „The Four“ wagt Marketingprofessor Scott Galloway einen Erklärungsversuch.

  • „Unser Gründerspirit lockt Firmen an“

    Vor Kurzem stieg Daimler beim Uber-Konkurrenten Taxify ein. Riina Leminsky, von der Wirtschaftsförderung Enterprise Estonia, erklärt, weshalb deutsche Unternehmen in Estlands Start-ups investieren sollten.

  • “Refugien der Mechanik”

    Viele Freunde edler mechanischer Uhren lieben auch historische Fahrzeuge. Wilhelm Schmid fördert mit seiner Uhrenmanufaktur A. Lange & Söhne den legendären Oldtimer-Wettbewerb „Concorso d’Eleganza Villa ...

  • Nachfolgeberater Pro und Kontra

    Der Verkauf der eigenen Firma ist einer der sensibelsten und komplexesten Geschäftsprozesse, die es gibt. Die Auswahl eines seriösen Beraters kann dem Verkäufer Zeit, Geld und Ärger ersparen.

  • Standortanalyse für Franchisebetriebe
    Standortanalyse für Franchisebetriebe

    Es liegt in der Verantwortung des Franchisenehmers, sich über die Chancen und Risiken eines in die engere Wahl gezogenen Standortes eingehend zu informieren und sie zu bewerten.

  • Gelungene Firmenübernahme

    Praxis-Beispiel: Nach dreieinhalb Jahren geduldiger Suche konnte Loes Fröhlich sein Maschinenbau-Unternehmen erfolgreich an einen Nachfolger übergeben. Was waren die Erfolgsfaktoren?

  • Neue TV-Show - Unternehmen sucht Nachfolger

    Gemeinsam mit Pro TV Produktion sucht DUB Unternehmenskäufer für mehrere Betriebe in NRW. Die Sendung wird im Herbst ausgestrahlt. Jetzt bewerben!

DUB Veranstaltungstipp

 

Cyberangriff live erleben

Exklusiv: Mittelständische Unternehmer und Manager können in einer realitätsnahen Simulation live erleben, wie Cyberangriffe und Industriespionage ablaufen. Das Handelsblatt bietet dies gemeinsam mit dem Experten Marco Gercke und dem glh Centrum für Strategie und Höhere Führung an.

 

Die Simulation findet am 29. April in Köln statt.

Weitere Infos dazu unter: www.handelsblatt.com/cybersecurity

DUB-Unternehmensbörse

Bei der Deutschen Unternehmerbörse können Sie Verkaufsangebote und Kaufgesuche inserieren.
Jetzt nach Verkaufsangeboten für Unternehmen suchen!
Suchen
Jetzt Newsletter bestellen
DUB-Themennewsletter
monatlich & gratis
Was Unternehmer wissen müssen
DUB-Börsennewsletter
wöchentlich & gratis
Die neusten Angebote und Gesuche auf einen Blick
Das interessiert andere Leser