Das Portal für Unternehmer, Gründer und Investoren
 

„Man kann nicht alle Cyber-Angriffe verhindern“

Cybercrime-Experte Marco Gercke über Strategien der Prävention, die Verantwortung der Vorstände und was man aus simulierten Attacken lernen kann.

 Das Gefühl von Hilflosigkeit. Vor dem Tisch steht Marco Gercke in seinem Kölner Institut und wartet auf eine Entscheidung. Seit zehn Minuten gilt eine besondere Konstellation: Sein Gast ist Personal- und Technikvorstand eines großen deutschen Mittelständlers – und wird angegriffen, über das Internet. Die Angreifer fordern Geld und den Stopp von Aktivitäten der Firma in Iran. Sie legen erst die Website lahm, was noch verkraftbar ist. Doch ein Erpresser nutzt die Aufregung: Er sagt, es sei ihm gelungen, in die Produktionssteuerungsanlagen einzudringen und fordert 250.000 Dollar in Bitcoins. Um die Ernsthaftigkeit seiner Drohung unter Beweis zu stellen, dringt der Angreifer ins interne Netzwerk ein. Server fallen aus, Produktionsanlagen sind überlastet. Jetzt also muss eine Entscheidung getroffen werden: abschalten oder nicht?

Die Situation ist simuliert, es passiert eigentlich nichts. Und trotzdem ist sie erschreckend. Marco Gercke ist Professor für Medien- und Informationsstrafrecht - und setzt auf eine andere Form der Aufklärung: Er lässt die Leute die Cybercrime-Risiken fühlen.

Herr Gercke, braucht man erst das Gefühl der Hilflosigkeit, um die Bedrohung für die IT zu begreifen?
So würde ich das nicht sagen. Aber man kann sich hinstellen, einen Vortrag halten und versuchen, eine Botschaft zu transportieren. Immer mit einer Distanz zum Zuhörer. Wenn ich die Situation jedoch erlebe, wird diese Distanz aufgehoben. Insofern stellt das aktive Durchleben von Situationen tatsächlich einen Mehrwert dar.

Also hat das Werben für mehr Sicherheitsbewusstsein in den letzten Jahren nichts genutzt?
Doch. Wir haben aber jetzt die ersten Fälle, dass große Unternehmen wegen Angriffen in eine wirtschaftliche Schieflage gelangen. Und damit hat sich die Qualität des Themas komplett geändert. Wir müssen es ganz neu diskutieren. Dazu zählen auch neue Ansätze - bis hin zu ganzen Unternehmensstrategien. Und das muss ganz oben in der Führungsebene passieren. Die war bei dem Thema in der Vergangenheit bisweilen wenig involviert.

Dabei helfen Simulationen?
Es geht darum, die Schwachstellen zu finden und zu helfen, diese zu schließen. Der Ansatz kommt aus dem Militär und nennt sich "Red Teaming": Es gibt ein blaues und ein rotes Team. Das blaue ist das Verteidigungsteam, das rote greift an. In der Simulation treffen beide sinnbildlich aufeinander. Die Simulation ist aber im Regelfall nicht das Ergebnis, sondern nur der Zwischenschritt eines komplexeren Optimierungsprozesses.

Gibt es ein Muster bei den Angriffen?
Die verwandten Methodiken sind oftmals dieselben. Bei Angriffen auf Entscheidungsträger wird häufig Social Engineering verwendet, das heißt, Personen werden ausspioniert, um über sie ins Netzwerk zu gelangen. Aber wie die Angriffe am Ende aufgebaut sind, unterscheidet sich sehr - wie auch die Motivation der Täter. Im Moment sehen wir häufig, dass Unternehmen erpresst werden. Denn sie bezahlen oft. Der Aufwand, den Firmen betreiben müssten, um Schaden abzuwenden, wäre höher, als die geforderte Summe zu bezahlen.

Um wie viel Geld geht es?
Die Einzelschäden steigen und können schon mal im einstelligen Millionenbereich liegen. Bei Produktionsausfällen, kombiniert mit Reputationsverlusten, kann innerhalb weniger Tage auch einmal ein Schaden im mehrstelligen Millionenbereich verursacht werden.

Das ist auch der Grund, warum viele Unternehmen bisher nicht über das Thema sprechen wollten. Ändert sich das langsam?
Ja und nein. Die Ängste sind immer noch da. Aber wir sehen ein zunehmendes Interesse am Austausch auf unterschiedlichen Ebenen, bis hoch in die Konzernführung. Dort stellte sich lange die Frage: Warum soll ich mich damit beschäftigen?

Und warum muss sie das?
Es gibt eine gesetzlich geregelte Grundverantwortung von Vorständen von Aktiengesellschaften und Geschäftsführern von GmbHs. Für Aktiengesellschaften ist die Verantwortung ausdrücklich in Paragraf 91 Absatz 2 AktG geregelt. Dort steht, dass der Vorstand verantwortlich für das Risikomanagement ist - und das schließt den Bereich IT-Sicherheit mit ein. Sollte ein Vorstand diesbezüglich keine Vorsorgemaßnahmen treffen, haftet er persönlich für den Schaden.

Kennen Sie Fälle, in denen das passiert ist?
Nein. Der Aspekt der Geschäftsführungs- beziehungsweise Vorstandshaftung wird bei uns gerade erst entwickelt. In den Vereinigten Staaten sehen wir aber schon eine zunehmende Zahl von Prozessen.

Wie reagieren die Teilnehmer auf Ihre Simulation?
Angelehnt an die militärische Operation sollen die Teilnehmer relativ schnell vergessen, dass es sich um eine Simulation handelt. Etwa durch das Abdunkeln oder das Abkühlen des Raums. Das bedeutet, es entsteht wirklicher Stress. Die meisten sind danach erschöpft.

Und dann?
Dann schließt sich eine Nachbesprechung an. Viele Bedrohungen wirken auf Unternehmensführer abstrakt. Deswegen ist es auch sehr wichtig, ihnen zu erklären: Was sie hier gesehen haben, ist in Wirklichkeit bereits passiert. Beispiel NSA: In der Berichterstattung hört man oft das Argument, die nachrichtendienstliche Tätigkeit diene der Terrorbekämpfung. Das ist für die meisten Unternehmen keine Gefahr. Aber in Berichten des Europaparlaments sind spezifische Beispiele von Wirtschaftsspionage aufgeführt, an denen die NSA beteiligt war. Damit kann man den realen Bezug zur deutschen Wirtschaft gut herstellen und in die Simulation diese Perspektiven integrieren.

Sind die deutschen Unternehmen gut gerüstet?
Ja und nein. Viele Unternehmen haben sich zu lange auf Prävention konzentriert. Mittlerweile stecken führende Unternehmen aber 70 Prozent ihrer Ressourcen in die Prävention und den Rest in das Entdecken und Beheben von Cyberattacken. Wenn ich erkennen muss, dass ich nicht alle Angriffe verhindern kann, ist es besser, eine gute Strategie in der Prävention und eine sehr gute in der Entdeckung von Angriffen zu haben und wieder aufzustehen, wenn man umgefallen ist. Diese innovativeren Ansätze sind noch nicht flächendeckend umgesetzt.

Kann sich der Mittelstand so etwas überhaupt leisten?
Das muss gar nicht so teuer sein. Nehmen Sie zum Beispiel die mobilen Geräte. Wenn die Mitarbeiter ihre eigenen Geräte mitbringen, die in das Netzwerk eingebunden werden, entstehen viele Schwachstellen. Es kann die Sicherheit schon erhöhen, wenn man bestimmte Dienste im Netz gar nicht erst anbietet. Dann wird es eher günstiger als teurer.

Was halten Sie von Plänen, ein europäisches Netzwerk zu schaffen?
Vom Prinzip her finde ich das logisch. Es gibt immer unterschiedliche Sicherheitsansätze: technische, rechtliche oder strategische. Wenn es sich technisch realisieren lässt, dass man bestimmte Risiken vermeidet, weil die Daten anders geleitet werden, schafft das zwar das Problem nicht aus der Welt, aber wir sollten diese Option diskutieren.

 

© Handelsblatt GmbH. Alle Rechte vorbehalten

Das interessiert andere Leser

  • Bio-Unternehmen suchen Nachfolger

    Biobetriebe tun sich besonder schwer einen Nachfolger zu finden. Neben Unternehmergeist muss er auch eine ökologische Einstellung mitbringen. Was bei der Suche hilft erfahren Sie hier.

  • NEU auf DUB.de: Top-Platzierung in den Suchergebnissen

    Steigern Sie die Aufmerksamkeit für Ihre Anzeige. Positionieren Sie sich vor den Basis-Inseraten und erhöhen Sie durch die besondere Darstellung Ihre Inseratsaufrufe.

  • Einfach loslassen

    Ein Praxisbeispiel zeigt, wie die verspätete Unternehmensnachfolge gelingt.

  • Das Lebenswerk sichern

    Welche Rolle die Emotionen bei der Unternehmensübergabe spielen.

  • Die Meister des Franchise

    Die Vor- und Nachteile von Master-Franchise-Lizenzen.

  • DUB setzt Oettingers digitalen Bildungsgutschein um

    Der Politik einen Schritt voraus: Hamburger Verleger Jens de Buhr füllt die Forderung des EU-Kommissars Günther Oettinger nach Gutscheinen zur digitalen Weiterbildung mit Leben.

  • Franchise Expo18 Logo
    Save the date - Franchise Expo18 im September in Frankfurt

    Die Franchise Expo18 bringt vom 27. bis zum 29.09.2018 über 100 internationale Aussteller auf das Messegelände in Frankfurt und bietet Informationsmöglichkeiten und spannende Workshops rund um Franchising.

  • Franchisegründungen und Beteiligungskapital

    Worin unterscheiden sich Business Angels und Venture Capital? In welcher Phase ist welche Art von Beteiligungskapital die richtige? Und was passiert beim Exit? Ein Experte klärt auf.

  • Gemeinsam wachsen

    Nicht nur in der Gastronomie expandieren Unternehmen mithilfe von Franchisenehmern. Auch im Handel, im Handwerk und im Dienstleistungsbereich ist diese Vertriebsform weit verbreitet.

  • Ziele und Sorgen der nächsten Unternehmergeneration

    Gestalten statt verwalten: Die nächste Generation der Unternehmer will nicht nur das Erbe fortführen, sondern die Digitalisierung vorantreiben, zeigt eine aktuelle Umfrage.

  • Forschungsprojekt zur Unternehmensnachfolge

    Bei der Übergabe stehen meist die aktuellen Probleme im Mittelpunkt, Pläne für die Zukunft kommen zu kurz. Ein Forschungsprojekt der Universität Bremen will das mit einer neuartigen Methode ändern.

  • Mama startet durch

    Als Mutter erfolgreich im Job zu sein, ist in Deutschland oft nicht leicht. Die Erfolgsgeschichten zweier Start-up-Gründerinnen zeigen, wie es dennoch geht.

  • Folge-Wirkung

    Wer übernimmt das Unternehmen? Ein Familienmitglied oder doch jemand Externes? Rechtsanwalt Dr. Daniel Mundhenke über eine der entscheidenden Fragen bei der Suche nach einem geeigneten Nachfolger.

  • Familienunternehmen erwärmen sich für einen Einstieg von Private-Equity

    Beteiligungsgesellschaften waren lange ein rotes Tuch für deutsche Familienunternehmen. Nun findet ein Umdenken statt – auch getrieben durch fehlende Optionen.

  • So läuft eine Due Diligence ab

    Steuernachforderungen, hohe Abfindungssumme, verzwickte Kundenbeziehungen: Risiken bei einem Unternehmenskauf gibt es viele. Eine Due Diligence ist deshalb zwingend erforderlich.

  • Beiräte in Franchisesystemen

    Wie wird ein Beirat organisiert? Was sind die Aufgaben und die Arbeitsweise? Und welche positiven und negativen Aspekte gibt es? Erfahren Sie mehr über Beiräte in Franchisesystemen.

  • Starke Motivation

    Das Nahziel von Bobfahrer Thorsten Margis und Rennrodler Julian von Schleinitz (Foto) ist die erfolgreiche Teilnahme bei Olympia 2018. Ihre Fernziele: Mastertitel und Promotion an der Hochschule.

  • Smarter leben

    Neue Technologien machen die eigenen vier Wände intelligent. Arne Sextro, Smart-Home-Experte bei EWE, über Chancen und Möglichkeiten ferngesteuerter Haustechnik.

  • Falsche Vorstellung

    Die Berater von Project Partners sind Spezialisten für die Umsetzung der Blockchain. Wie sich ein Unternehmen der Technologie öffnen kann, erfahren Sie im Interview.

  • Seit 2012 Blockchain-User

    Estland ist digital ganz vorn dabei. Riina Leminsky, Leiterin der Wirtschaftsförderung Estlands in Deutschland, über erste Anwendungen der Technologie.

  • Bessere Entscheidungen

    Über 600 Millionen Euro an ausgezahlten Krediten – auxmoney ist ein führender Kreditmarktplatz in Kontinentaleuropa. CEO Raffael Johnen über die Digitalisierung des Kreditmarkts.

  • Unternehmensbewertung: Das müssen Sie beachten!

    Unternehmen zu bewerten ist alles andere als trivial. Es kommen verschiedene Methoden infrage. Wie sich ein Preis für ein Unternehmen ermitteln lässt, zeigt unsere Übersicht.

  • 20 Tipps für die Selbstständigkeit

    Befreit von Hierarchien Ideen umzusetzen, ohne sich absprechen zu müssen – das sind nur einige der Vorteile. Doch viele unterschätzen den Aufwand und die neue Verantwortung.

  • Deutsche Unternehmen zögerlich beim Kauf von Startups

    Um im Wettbewerb zu bestehen, brauchen Unternehmen Innovationen. Startups zu übernehmen, ist aber nicht an der Tagesordnung.

  • Das sind die wichtigsten Kommunikationsregeln bei einer M&A Transaktion

    Wenn eine Firma die andere kauft, dann kann viel schiefgehen. Eine laienhafte Kommunikation ist eine große Gefahr für eine M&A Transaktion.

  • Wie läuft die Systemintegration ab?

    Eine Hauptleistungspflicht des Franchisegebers ist es, den Franchisenehmer in das Franchisesystem zu integrieren. Erfahren Sie mehr über den Ablauf und die Inhalte der Systemintegration.

  • Stressfrei studieren

    Studieren gleicht einem Fulltime-Job. Klausuren, Hausarbeiten und knappe Deadlines treiben den Adrenalinspiegel deutlich in die Höhe. Was dagegen hilft.

  • CEO-Interview: Dynamischer Prozess

    Künstliche Intelligenz avanciert zum Treiber des digitalen Wandels. Im DUB UNTERNEHMER-Magazin geben CEOs und führende Manager exklusive Einblicke in die Transformationsprozesse ihrer Unternehmen.

  • Jung, begabt, sucht ...

    ... findet und kauft Firma: Ein neues Modell aus den USA bringt Käufer und Verkäufer elegant zusammen.

  • So sieht eine ideale Digital Due Diligence aus

    Ob ein Unternehmen fit für die digitale Zukunft ist, lässt sich mit der Digital Due Diligence überprüfen. Ein Teil davon ist die IT Due Diligence.

DUB Veranstaltungstipp

 

Cyberangriff live erleben

Exklusiv: Mittelständische Unternehmer und Manager können in einer realitätsnahen Simulation live erleben, wie Cyberangriffe und Industriespionage ablaufen. Das Handelsblatt bietet dies gemeinsam mit dem Experten Marco Gercke und dem glh Centrum für Strategie und Höhere Führung an.

 

Die Simulation findet am 29. April in Köln statt.

Weitere Infos dazu unter: www.handelsblatt.com/cybersecurity

DUB-Unternehmensbörse

Bei der Deutschen Unternehmerbörse können Sie Verkaufsangebote und Kaufgesuche inserieren.
Jetzt nach Verkaufsangeboten für Unternehmen suchen!
Suchen
Jetzt Newsletter bestellen
DUB-Themennewsletter
monatlich & gratis
Was Unternehmer wissen müssen
DUB-Börsennewsletter
wöchentlich & gratis
Die neusten Angebote und Gesuche auf einen Blick