Das Portal für Unternehmer, Gründer und Investoren
 

„Man kann nicht alle Cyber-Angriffe verhindern“

Cybercrime-Experte Marco Gercke über Strategien der Prävention, die Verantwortung der Vorstände und was man aus simulierten Attacken lernen kann.

 Das Gefühl von Hilflosigkeit. Vor dem Tisch steht Marco Gercke in seinem Kölner Institut und wartet auf eine Entscheidung. Seit zehn Minuten gilt eine besondere Konstellation: Sein Gast ist Personal- und Technikvorstand eines großen deutschen Mittelständlers – und wird angegriffen, über das Internet. Die Angreifer fordern Geld und den Stopp von Aktivitäten der Firma in Iran. Sie legen erst die Website lahm, was noch verkraftbar ist. Doch ein Erpresser nutzt die Aufregung: Er sagt, es sei ihm gelungen, in die Produktionssteuerungsanlagen einzudringen und fordert 250.000 Dollar in Bitcoins. Um die Ernsthaftigkeit seiner Drohung unter Beweis zu stellen, dringt der Angreifer ins interne Netzwerk ein. Server fallen aus, Produktionsanlagen sind überlastet. Jetzt also muss eine Entscheidung getroffen werden: abschalten oder nicht?

Die Situation ist simuliert, es passiert eigentlich nichts. Und trotzdem ist sie erschreckend. Marco Gercke ist Professor für Medien- und Informationsstrafrecht - und setzt auf eine andere Form der Aufklärung: Er lässt die Leute die Cybercrime-Risiken fühlen.

Herr Gercke, braucht man erst das Gefühl der Hilflosigkeit, um die Bedrohung für die IT zu begreifen?
So würde ich das nicht sagen. Aber man kann sich hinstellen, einen Vortrag halten und versuchen, eine Botschaft zu transportieren. Immer mit einer Distanz zum Zuhörer. Wenn ich die Situation jedoch erlebe, wird diese Distanz aufgehoben. Insofern stellt das aktive Durchleben von Situationen tatsächlich einen Mehrwert dar.

Also hat das Werben für mehr Sicherheitsbewusstsein in den letzten Jahren nichts genutzt?
Doch. Wir haben aber jetzt die ersten Fälle, dass große Unternehmen wegen Angriffen in eine wirtschaftliche Schieflage gelangen. Und damit hat sich die Qualität des Themas komplett geändert. Wir müssen es ganz neu diskutieren. Dazu zählen auch neue Ansätze - bis hin zu ganzen Unternehmensstrategien. Und das muss ganz oben in der Führungsebene passieren. Die war bei dem Thema in der Vergangenheit bisweilen wenig involviert.

Dabei helfen Simulationen?
Es geht darum, die Schwachstellen zu finden und zu helfen, diese zu schließen. Der Ansatz kommt aus dem Militär und nennt sich "Red Teaming": Es gibt ein blaues und ein rotes Team. Das blaue ist das Verteidigungsteam, das rote greift an. In der Simulation treffen beide sinnbildlich aufeinander. Die Simulation ist aber im Regelfall nicht das Ergebnis, sondern nur der Zwischenschritt eines komplexeren Optimierungsprozesses.

Gibt es ein Muster bei den Angriffen?
Die verwandten Methodiken sind oftmals dieselben. Bei Angriffen auf Entscheidungsträger wird häufig Social Engineering verwendet, das heißt, Personen werden ausspioniert, um über sie ins Netzwerk zu gelangen. Aber wie die Angriffe am Ende aufgebaut sind, unterscheidet sich sehr - wie auch die Motivation der Täter. Im Moment sehen wir häufig, dass Unternehmen erpresst werden. Denn sie bezahlen oft. Der Aufwand, den Firmen betreiben müssten, um Schaden abzuwenden, wäre höher, als die geforderte Summe zu bezahlen.

Um wie viel Geld geht es?
Die Einzelschäden steigen und können schon mal im einstelligen Millionenbereich liegen. Bei Produktionsausfällen, kombiniert mit Reputationsverlusten, kann innerhalb weniger Tage auch einmal ein Schaden im mehrstelligen Millionenbereich verursacht werden.

Das ist auch der Grund, warum viele Unternehmen bisher nicht über das Thema sprechen wollten. Ändert sich das langsam?
Ja und nein. Die Ängste sind immer noch da. Aber wir sehen ein zunehmendes Interesse am Austausch auf unterschiedlichen Ebenen, bis hoch in die Konzernführung. Dort stellte sich lange die Frage: Warum soll ich mich damit beschäftigen?

Und warum muss sie das?
Es gibt eine gesetzlich geregelte Grundverantwortung von Vorständen von Aktiengesellschaften und Geschäftsführern von GmbHs. Für Aktiengesellschaften ist die Verantwortung ausdrücklich in Paragraf 91 Absatz 2 AktG geregelt. Dort steht, dass der Vorstand verantwortlich für das Risikomanagement ist - und das schließt den Bereich IT-Sicherheit mit ein. Sollte ein Vorstand diesbezüglich keine Vorsorgemaßnahmen treffen, haftet er persönlich für den Schaden.

Kennen Sie Fälle, in denen das passiert ist?
Nein. Der Aspekt der Geschäftsführungs- beziehungsweise Vorstandshaftung wird bei uns gerade erst entwickelt. In den Vereinigten Staaten sehen wir aber schon eine zunehmende Zahl von Prozessen.

Wie reagieren die Teilnehmer auf Ihre Simulation?
Angelehnt an die militärische Operation sollen die Teilnehmer relativ schnell vergessen, dass es sich um eine Simulation handelt. Etwa durch das Abdunkeln oder das Abkühlen des Raums. Das bedeutet, es entsteht wirklicher Stress. Die meisten sind danach erschöpft.

Und dann?
Dann schließt sich eine Nachbesprechung an. Viele Bedrohungen wirken auf Unternehmensführer abstrakt. Deswegen ist es auch sehr wichtig, ihnen zu erklären: Was sie hier gesehen haben, ist in Wirklichkeit bereits passiert. Beispiel NSA: In der Berichterstattung hört man oft das Argument, die nachrichtendienstliche Tätigkeit diene der Terrorbekämpfung. Das ist für die meisten Unternehmen keine Gefahr. Aber in Berichten des Europaparlaments sind spezifische Beispiele von Wirtschaftsspionage aufgeführt, an denen die NSA beteiligt war. Damit kann man den realen Bezug zur deutschen Wirtschaft gut herstellen und in die Simulation diese Perspektiven integrieren.

Sind die deutschen Unternehmen gut gerüstet?
Ja und nein. Viele Unternehmen haben sich zu lange auf Prävention konzentriert. Mittlerweile stecken führende Unternehmen aber 70 Prozent ihrer Ressourcen in die Prävention und den Rest in das Entdecken und Beheben von Cyberattacken. Wenn ich erkennen muss, dass ich nicht alle Angriffe verhindern kann, ist es besser, eine gute Strategie in der Prävention und eine sehr gute in der Entdeckung von Angriffen zu haben und wieder aufzustehen, wenn man umgefallen ist. Diese innovativeren Ansätze sind noch nicht flächendeckend umgesetzt.

Kann sich der Mittelstand so etwas überhaupt leisten?
Das muss gar nicht so teuer sein. Nehmen Sie zum Beispiel die mobilen Geräte. Wenn die Mitarbeiter ihre eigenen Geräte mitbringen, die in das Netzwerk eingebunden werden, entstehen viele Schwachstellen. Es kann die Sicherheit schon erhöhen, wenn man bestimmte Dienste im Netz gar nicht erst anbietet. Dann wird es eher günstiger als teurer.

Was halten Sie von Plänen, ein europäisches Netzwerk zu schaffen?
Vom Prinzip her finde ich das logisch. Es gibt immer unterschiedliche Sicherheitsansätze: technische, rechtliche oder strategische. Wenn es sich technisch realisieren lässt, dass man bestimmte Risiken vermeidet, weil die Daten anders geleitet werden, schafft das zwar das Problem nicht aus der Welt, aber wir sollten diese Option diskutieren.

 

© Handelsblatt GmbH. Alle Rechte vorbehalten

Das interessiert andere Leser

  • Familienunternehmen erwärmen sich für einen Einstieg von Private-Equity

    Beteiligungsgesellschaften waren lange ein rotes Tuch für deutsche Familienunternehmen. Nun findet ein Umdenken statt – auch getrieben durch fehlende Optionen.

  • So läuft eine Due Diligence ab

    Steuernachforderungen, hohe Abfindungssumme, verzwickte Kundenbeziehungen: Risiken bei einem Unternehmenskauf gibt es viele. Eine Due Diligence ist deshalb zwingend erforderlich.

  • Beiräte in Franchisesystemen

    Wie wird ein Beirat organisiert? Was sind die Aufgaben und die Arbeitsweise? Und welche positiven und negativen Aspekte gibt es? Erfahren Sie mehr über Beiräte in Franchisesystemen.

  • Starke Motivation

    Das Nahziel von Bobfahrer Thorsten Margis und Rennrodler Julian von Schleinitz (Foto) ist die erfolgreiche Teilnahme bei Olympia 2018. Ihre Fernziele: Mastertitel und Promotion an der Hochschule.

  • Erfolgsrezept: Loslassen lernen

    Ein pragmatischer Ansatz zur Umsetzung eines Nachfolgeprojektes bei einem Mittelstandsunternehmen in der metallverarbeitenden Industrie.

  • Unternehmensbewertung: Das müssen Sie beachten!

    Unternehmen zu bewerten ist alles andere als trivial. Es kommen verschiedene Methoden infrage. Wie sich ein Preis für ein Unternehmen ermitteln lässt, zeigt unsere Übersicht.

  • 20 Tipps für die Selbstständigkeit

    Befreit von Hierarchien Ideen umzusetzen, ohne sich absprechen zu müssen – das sind nur einige der Vorteile. Doch viele unterschätzen den Aufwand und die neue Verantwortung.

  • Deutsche Unternehmen zögerlich beim Kauf von Startups

    Um im Wettbewerb zu bestehen, brauchen Unternehmen Innovationen. Startups zu übernehmen, ist aber nicht an der Tagesordnung.

  • Das sind die wichtigsten Kommunikationsregeln bei einer M&A Transaktion

    Wenn eine Firma die andere kauft, dann kann viel schiefgehen. Eine laienhafte Kommunikation ist eine große Gefahr für eine M&A Transaktion.

  • Wie läuft die Systemintegration ab?

    Eine Hauptleistungspflicht des Franchisegebers ist es, den Franchisenehmer in das Franchisesystem zu integrieren. Erfahren Sie mehr über den Ablauf und die Inhalte der Systemintegration.

  • Stressfrei studieren

    Studieren gleicht einem Fulltime-Job. Klausuren, Hausarbeiten und knappe Deadlines treiben den Adrenalinspiegel deutlich in die Höhe. Was dagegen hilft.

  • Betriebsrente im Aufwind

    Wie innovative Konzepte die Attraktivität der betrieblichen Altersvorsorge steigern.

  • CEO-Interview: Dynamischer Prozess

    Künstliche Intelligenz avanciert zum Treiber des digitalen Wandels. Im DUB UNTERNEHMER-Magazin geben CEOs und führende Manager exklusive Einblicke in die Transformationsprozesse ihrer Unternehmen.

  • Jung, begabt, sucht ...

    ... findet und kauft Firma: Ein neues Modell aus den USA bringt Käufer und Verkäufer elegant zusammen.

  • So sieht eine ideale Digital Due Diligence aus

    Ob ein Unternehmen fit für die digitale Zukunft ist, lässt sich mit der Digital Due Diligence überprüfen. Ein Teil davon ist die IT Due Diligence.

  • Welches Konzept passt zu mir?

    Ein Franchisesystem, das universeller Erfolgsgarant für jedermann ist, gibt es nicht. Das Konzept sollte Ihnen ein solides Einkommen bieten - da ist sorgfältiges Selektieren angesagt.

  • Judoka ist „Sport-Stipendiat des Jahres 2017“

    Theresa Stoll, EM-Zweite und Medizin-Studentin, ist „Sport-Stipendiat des Jahrs 2017“– eine Auszeichnung von Deutscher Bank und Deutscher Sporthilfe.

  • Leasing: Tipps für Gewerbetreibende

    Bei Firmenwagen ist Leasing weit verbreitet. Worauf Unternehmer im Kleingedruckten achten müssen und welche Alternativen es gibt.

  • Konfliktsituationen in Franchise-Partnerschaften

    Wie das Risiko von Konflikten in Franchise-Partnerschaften reduziert werden kann, lesen Sie hier.

  • „Zuschüsse nutzen“

    Nicht nur Käufer von Unternehmen haben Anrecht auf finanzielle Unterstützung, es gibt sie auch für Verkäufer.

  • Prinzip einfach

    Um zu unternehmerischem Wachstum zu gelangen, müssen Unternehmer eine passende Vorgehensweise entwickeln. Überzeugend sind Strategien, die sich in wenigen Worten zusammenfassen lassen.

  • Die Rolle der D&O-Versicherung für Unternehmensnachfolger

    Haben Sie als Unternehmensnachfolger schon geprüft, ob das begehrte oder bereits gekaufte Unternehmen über eine D&O-Versicherung verfügt?

  • Franchisegründungen haben Vorteile bei der Finanzierung

    Eine Gemeinsamkeit haben Franchise- und Individualgründungen auf jeden Fall – das Vorhaben muss solide und langfristig finanziert sein. Welche Vorteile Franchisegründungen haben, lesen Sie hier.

  • Digitalisierung der Integration von neuen Franchise-Partnern in das Franchise-System

    Erfolgreiches Franchising braucht einen Mix aus Online- und Offline-Medien. Lesen Sie hier, wie sich solch ein Mix zusammensetzen könnte.

  • Exklusivinterview: Grundeinkommen? Nein.

    Die Bundeskanzlerin stand der Redaktion Rede und Antwort zu Fragen der Zukunft.

  • Smarter Partner

    Autonome Autos, digitale Assistenten, Roboterchirurgen - Künstliche Intelligenz (KI) wird im Geschäfts- und Berufsleben immer spürbarer. Was KI heute schon kann und zukünftig verändert.

  • Exklusivinterviews: Künstliche Intelligenz

    Die Künstliche Intelligenz (KI) wirkt tief in nahezu alle Branchen hinein. 13 Top-Manager gewähren exklusive Einblicke, wie KI-Anwendungen ihre Unternehmen und Sparten umwälzen.

  • Lädt noch

    Zukunftstechnologien wie das Internet der Dinge oder künstliche Intelligenz verändern die Welt, sagen Experten. Wie und wo sie bereits erfolgreich eingesetzt werden...

  • Franchisegebühren – was ist üblich?

    Was „üblich“ und „angemessen“ ist, lässt sich nicht so ganz einfach beantworten. Allerdings gibt es Kriterien, aus denen sich die Angemessenheit der Franchisegebühren ableiten lässt.

  • Die Familienstiftung bei Unternehmensnachfolgen

    Ein Instrument für die Sicherung der Nachfolge kann die Implementierung einer Familienstiftung sein.

DUB Veranstaltungstipp

 

Cyberangriff live erleben

Exklusiv: Mittelständische Unternehmer und Manager können in einer realitätsnahen Simulation live erleben, wie Cyberangriffe und Industriespionage ablaufen. Das Handelsblatt bietet dies gemeinsam mit dem Experten Marco Gercke und dem glh Centrum für Strategie und Höhere Führung an.

 

Die Simulation findet am 29. April in Köln statt.

Weitere Infos dazu unter: www.handelsblatt.com/cybersecurity

DUB-Unternehmensbörse

Bei der Deutschen Unternehmerbörse können Sie Verkaufsangebote und Kaufgesuche inserieren.
Jetzt nach Verkaufsangeboten für Unternehmen suchen!
Suchen
Jetzt Newsletter bestellen
DUB-Themennewsletter
monatlich & gratis
Was Unternehmer wissen müssen
DUB-Börsennewsletter
wöchentlich & gratis
Die neusten Angebote und Gesuche auf einen Blick