Das Portal für Unternehmer, Gründer und Investoren
 

„Man kann nicht alle Cyber-Angriffe verhindern“

Cybercrime-Experte Marco Gercke über Strategien der Prävention, die Verantwortung der Vorstände und was man aus simulierten Attacken lernen kann.

 Das Gefühl von Hilflosigkeit. Vor dem Tisch steht Marco Gercke in seinem Kölner Institut und wartet auf eine Entscheidung. Seit zehn Minuten gilt eine besondere Konstellation: Sein Gast ist Personal- und Technikvorstand eines großen deutschen Mittelständlers – und wird angegriffen, über das Internet. Die Angreifer fordern Geld und den Stopp von Aktivitäten der Firma in Iran. Sie legen erst die Website lahm, was noch verkraftbar ist. Doch ein Erpresser nutzt die Aufregung: Er sagt, es sei ihm gelungen, in die Produktionssteuerungsanlagen einzudringen und fordert 250.000 Dollar in Bitcoins. Um die Ernsthaftigkeit seiner Drohung unter Beweis zu stellen, dringt der Angreifer ins interne Netzwerk ein. Server fallen aus, Produktionsanlagen sind überlastet. Jetzt also muss eine Entscheidung getroffen werden: abschalten oder nicht?

Die Situation ist simuliert, es passiert eigentlich nichts. Und trotzdem ist sie erschreckend. Marco Gercke ist Professor für Medien- und Informationsstrafrecht - und setzt auf eine andere Form der Aufklärung: Er lässt die Leute die Cybercrime-Risiken fühlen.

Herr Gercke, braucht man erst das Gefühl der Hilflosigkeit, um die Bedrohung für die IT zu begreifen?
So würde ich das nicht sagen. Aber man kann sich hinstellen, einen Vortrag halten und versuchen, eine Botschaft zu transportieren. Immer mit einer Distanz zum Zuhörer. Wenn ich die Situation jedoch erlebe, wird diese Distanz aufgehoben. Insofern stellt das aktive Durchleben von Situationen tatsächlich einen Mehrwert dar.

Also hat das Werben für mehr Sicherheitsbewusstsein in den letzten Jahren nichts genutzt?
Doch. Wir haben aber jetzt die ersten Fälle, dass große Unternehmen wegen Angriffen in eine wirtschaftliche Schieflage gelangen. Und damit hat sich die Qualität des Themas komplett geändert. Wir müssen es ganz neu diskutieren. Dazu zählen auch neue Ansätze - bis hin zu ganzen Unternehmensstrategien. Und das muss ganz oben in der Führungsebene passieren. Die war bei dem Thema in der Vergangenheit bisweilen wenig involviert.

Dabei helfen Simulationen?
Es geht darum, die Schwachstellen zu finden und zu helfen, diese zu schließen. Der Ansatz kommt aus dem Militär und nennt sich "Red Teaming": Es gibt ein blaues und ein rotes Team. Das blaue ist das Verteidigungsteam, das rote greift an. In der Simulation treffen beide sinnbildlich aufeinander. Die Simulation ist aber im Regelfall nicht das Ergebnis, sondern nur der Zwischenschritt eines komplexeren Optimierungsprozesses.

Gibt es ein Muster bei den Angriffen?
Die verwandten Methodiken sind oftmals dieselben. Bei Angriffen auf Entscheidungsträger wird häufig Social Engineering verwendet, das heißt, Personen werden ausspioniert, um über sie ins Netzwerk zu gelangen. Aber wie die Angriffe am Ende aufgebaut sind, unterscheidet sich sehr - wie auch die Motivation der Täter. Im Moment sehen wir häufig, dass Unternehmen erpresst werden. Denn sie bezahlen oft. Der Aufwand, den Firmen betreiben müssten, um Schaden abzuwenden, wäre höher, als die geforderte Summe zu bezahlen.

Um wie viel Geld geht es?
Die Einzelschäden steigen und können schon mal im einstelligen Millionenbereich liegen. Bei Produktionsausfällen, kombiniert mit Reputationsverlusten, kann innerhalb weniger Tage auch einmal ein Schaden im mehrstelligen Millionenbereich verursacht werden.

Das ist auch der Grund, warum viele Unternehmen bisher nicht über das Thema sprechen wollten. Ändert sich das langsam?
Ja und nein. Die Ängste sind immer noch da. Aber wir sehen ein zunehmendes Interesse am Austausch auf unterschiedlichen Ebenen, bis hoch in die Konzernführung. Dort stellte sich lange die Frage: Warum soll ich mich damit beschäftigen?

Und warum muss sie das?
Es gibt eine gesetzlich geregelte Grundverantwortung von Vorständen von Aktiengesellschaften und Geschäftsführern von GmbHs. Für Aktiengesellschaften ist die Verantwortung ausdrücklich in Paragraf 91 Absatz 2 AktG geregelt. Dort steht, dass der Vorstand verantwortlich für das Risikomanagement ist - und das schließt den Bereich IT-Sicherheit mit ein. Sollte ein Vorstand diesbezüglich keine Vorsorgemaßnahmen treffen, haftet er persönlich für den Schaden.

Kennen Sie Fälle, in denen das passiert ist?
Nein. Der Aspekt der Geschäftsführungs- beziehungsweise Vorstandshaftung wird bei uns gerade erst entwickelt. In den Vereinigten Staaten sehen wir aber schon eine zunehmende Zahl von Prozessen.

Wie reagieren die Teilnehmer auf Ihre Simulation?
Angelehnt an die militärische Operation sollen die Teilnehmer relativ schnell vergessen, dass es sich um eine Simulation handelt. Etwa durch das Abdunkeln oder das Abkühlen des Raums. Das bedeutet, es entsteht wirklicher Stress. Die meisten sind danach erschöpft.

Und dann?
Dann schließt sich eine Nachbesprechung an. Viele Bedrohungen wirken auf Unternehmensführer abstrakt. Deswegen ist es auch sehr wichtig, ihnen zu erklären: Was sie hier gesehen haben, ist in Wirklichkeit bereits passiert. Beispiel NSA: In der Berichterstattung hört man oft das Argument, die nachrichtendienstliche Tätigkeit diene der Terrorbekämpfung. Das ist für die meisten Unternehmen keine Gefahr. Aber in Berichten des Europaparlaments sind spezifische Beispiele von Wirtschaftsspionage aufgeführt, an denen die NSA beteiligt war. Damit kann man den realen Bezug zur deutschen Wirtschaft gut herstellen und in die Simulation diese Perspektiven integrieren.

Sind die deutschen Unternehmen gut gerüstet?
Ja und nein. Viele Unternehmen haben sich zu lange auf Prävention konzentriert. Mittlerweile stecken führende Unternehmen aber 70 Prozent ihrer Ressourcen in die Prävention und den Rest in das Entdecken und Beheben von Cyberattacken. Wenn ich erkennen muss, dass ich nicht alle Angriffe verhindern kann, ist es besser, eine gute Strategie in der Prävention und eine sehr gute in der Entdeckung von Angriffen zu haben und wieder aufzustehen, wenn man umgefallen ist. Diese innovativeren Ansätze sind noch nicht flächendeckend umgesetzt.

Kann sich der Mittelstand so etwas überhaupt leisten?
Das muss gar nicht so teuer sein. Nehmen Sie zum Beispiel die mobilen Geräte. Wenn die Mitarbeiter ihre eigenen Geräte mitbringen, die in das Netzwerk eingebunden werden, entstehen viele Schwachstellen. Es kann die Sicherheit schon erhöhen, wenn man bestimmte Dienste im Netz gar nicht erst anbietet. Dann wird es eher günstiger als teurer.

Was halten Sie von Plänen, ein europäisches Netzwerk zu schaffen?
Vom Prinzip her finde ich das logisch. Es gibt immer unterschiedliche Sicherheitsansätze: technische, rechtliche oder strategische. Wenn es sich technisch realisieren lässt, dass man bestimmte Risiken vermeidet, weil die Daten anders geleitet werden, schafft das zwar das Problem nicht aus der Welt, aber wir sollten diese Option diskutieren.

 

© Handelsblatt GmbH. Alle Rechte vorbehalten

Das interessiert andere Leser

  • Nachfolgetypen

    Wer ein Unternehmen aufbaut, wünscht sich meistens, dass das Lebenswerk von einem Familienmitglied weiterentwickelt wird. Lesen Sie, welche Faktoren die Nachfolge begünstigen.

  • Self-Storage Startups mit neuen Lagerraum-Lösungen

    Der Arbeitsplatz von heute gewährt freie Platzwahl in Coworking-Spaces. Doch die neue Flexibilität hat Ihren Preis: mangelnder Stauraum für Papiere und Akten. Die Shareing Economy bietet Lösungen.

  • Franchise Expo18 Logo
    Save the date - Franchise Expo18 im September in Frankfurt

    Die Franchise Expo18 bringt vom 27. bis zum 29.09.2018 über 100 internationale Aussteller auf das Messegelände in Frankfurt und bietet Informationsmöglichkeiten und spannende Workshops rund um Franchising.

  • Israels Innovationen

    Israel ist eine der größten Innovationsschmieden der Welt. Der Erfolg der Startup-Nation hat System, der Staat investiert massiv in Forschung und Entwicklung.

  • Allen gerecht werden

    Die Ökonomin Kate Raworth fordert ein fixes Umdenken der Wirtschaft und plädiert für ein Gleichgewicht zwischen Kapitalismus, sozialer Gerechtigkeit und Ökologie.

  • Meer und mehr Gründergeist

    Die Suche nach Erfolg im digitalen Zeitalter führt nach Israel ins Silicon Wadi – wo die Menschen mit Begabung, Bildung und Begeisterung kritische Umstände in Stärken verwandeln.

  • Du kommst hier nicht rein!

    Kryptotrojaner, DDos-Attacken, Phishing – Cyberkriminelle verfügen über ein großes Waffenarsenal. Höchste Zeit für entsprechende Abwehrstrategien.

  • Nachfolge im Franchise

    Eine Unternehmensnachfolge im Franchising weist generell deutlich weniger Minenfelder auf als die Gründung eines neuen Unternehmens. Wie es geht und worauf zu achten ist erfahren Sie hier.

  • Bio-Unternehmen suchen Nachfolger

    Biobetriebe tun sich besonder schwer einen Nachfolger zu finden. Neben Unternehmergeist muss er auch eine ökologische Einstellung mitbringen. Was bei der Suche hilft erfahren Sie hier.

  • Was einen »Leitwolf« und einen kleinen und mittelständischen Unternehmer verbindet

    Die Unternehmergeneration, die heute mit dem Problem einer Unternehmensnachfolge konfrontiert wird, ist ein Produkt ihrer Zeit und der Gesellschaft.

  • Bürgschaftsbanken fördern massiv Nachfolge im Mittelstand

    Deutschland hat ein Nachfolgeproblem. Im Mittelstand fehlen bis Ende 2019 rund 240.000 neue Inhaber für kleine und mittlere Unternehmen.

  • Franchise oder Startup?

    Die Vor- und Nachteile beider Modelle im Check. Ein Leitfaden für alle, die sich selbstständig machen wollen.

  • Israels Gründergeist

    Shai Agassi ist so etwas wie der Bill Gates des Silicon Wadis. Mit seiner ersten Gründung fuhr Agassi erstmal gegen die Wand. In Israel aber gehören Rückschläge zum Geschäft.

  • Darf's etwas teurer sein?

    Professionelles Pricing, Omnichannel im Vertrieb, Customization: Dr. Georg Tacke, CEO der globalen Strategieberatung Simon-Kucher & Partners über Vertriebs- und Marketingtrends 2018.

  • NEU auf DUB.de: Top-Platzierung in den Suchergebnissen

    Steigern Sie die Aufmerksamkeit für Ihre Anzeige. Positionieren Sie sich vor den Basis-Inseraten und erhöhen Sie durch die besondere Darstellung Ihre Inseratsaufrufe.

  • Einfach loslassen

    Ein Praxisbeispiel zeigt, wie die verspätete Unternehmensnachfolge gelingt.

  • Das Lebenswerk sichern

    Welche Rolle die Emotionen bei der Unternehmensübergabe spielen.

  • Die Meister des Franchise

    Die Vor- und Nachteile von Master-Franchise-Lizenzen.

  • DUB setzt Oettingers digitalen Bildungsgutschein um

    Der Politik einen Schritt voraus: Hamburger Verleger Jens de Buhr füllt die Forderung des EU-Kommissars Günther Oettinger nach Gutscheinen zur digitalen Weiterbildung mit Leben.

  • Franchisegründungen und Beteiligungskapital

    Worin unterscheiden sich Business Angels und Venture Capital? In welcher Phase ist welche Art von Beteiligungskapital die richtige? Und was passiert beim Exit? Ein Experte klärt auf.

  • Gemeinsam wachsen

    Nicht nur in der Gastronomie expandieren Unternehmen mithilfe von Franchisenehmern. Auch im Handel, im Handwerk und im Dienstleistungsbereich ist diese Vertriebsform weit verbreitet.

  • Ziele und Sorgen der nächsten Unternehmergeneration

    Gestalten statt verwalten: Die nächste Generation der Unternehmer will nicht nur das Erbe fortführen, sondern die Digitalisierung vorantreiben, zeigt eine aktuelle Umfrage.

  • Mama startet durch

    Als Mutter erfolgreich im Job zu sein, ist in Deutschland oft nicht leicht. Die Erfolgsgeschichten zweier Start-up-Gründerinnen zeigen, wie es dennoch geht.

  • Folge-Wirkung

    Wer übernimmt das Unternehmen? Ein Familienmitglied oder doch jemand Externes? Rechtsanwalt Dr. Daniel Mundhenke über eine der entscheidenden Fragen bei der Suche nach einem geeigneten Nachfolger.

  • Familienunternehmen erwärmen sich für einen Einstieg von Private-Equity

    Beteiligungsgesellschaften waren lange ein rotes Tuch für deutsche Familienunternehmen. Nun findet ein Umdenken statt – auch getrieben durch fehlende Optionen.

  • So läuft eine Due Diligence ab

    Steuernachforderungen, hohe Abfindungssumme, verzwickte Kundenbeziehungen: Risiken bei einem Unternehmenskauf gibt es viele. Eine Due Diligence ist deshalb zwingend erforderlich.

  • Beiräte in Franchisesystemen

    Wie wird ein Beirat organisiert? Was sind die Aufgaben und die Arbeitsweise? Und welche positiven und negativen Aspekte gibt es? Erfahren Sie mehr über Beiräte in Franchisesystemen.

  • Starke Motivation

    Das Nahziel von Bobfahrer Thorsten Margis und Rennrodler Julian von Schleinitz (Foto) ist die erfolgreiche Teilnahme bei Olympia 2018. Ihre Fernziele: Mastertitel und Promotion an der Hochschule.

  • Smarter leben

    Neue Technologien machen die eigenen vier Wände intelligent. Arne Sextro, Smart-Home-Experte bei EWE, über Chancen und Möglichkeiten ferngesteuerter Haustechnik.

  • Falsche Vorstellung

    Die Berater von Project Partners sind Spezialisten für die Umsetzung der Blockchain. Wie sich ein Unternehmen der Technologie öffnen kann, erfahren Sie im Interview.

DUB Veranstaltungstipp

 

Cyberangriff live erleben

Exklusiv: Mittelständische Unternehmer und Manager können in einer realitätsnahen Simulation live erleben, wie Cyberangriffe und Industriespionage ablaufen. Das Handelsblatt bietet dies gemeinsam mit dem Experten Marco Gercke und dem glh Centrum für Strategie und Höhere Führung an.

 

Die Simulation findet am 29. April in Köln statt.

Weitere Infos dazu unter: www.handelsblatt.com/cybersecurity

DUB-Unternehmensbörse

Bei der Deutschen Unternehmerbörse können Sie Verkaufsangebote und Kaufgesuche inserieren.
Jetzt nach Verkaufsangeboten für Unternehmen suchen!
Suchen
Jetzt Newsletter bestellen
DUB-Themennewsletter
monatlich & gratis
Was Unternehmer wissen müssen
DUB-Börsennewsletter
wöchentlich & gratis
Die neusten Angebote und Gesuche auf einen Blick