„Die meisten Unternehmen sind schlecht auf Cyberattacken vorbereitet“

dokuworks GmbH

Herr Weber, als Krisenmanager werden Sie ja oft erst ins Unternehmen geholt, wenn der Angriff schon passiert ist. Was sind die ersten Schritte?

Weber: Wir überprüfen zunächst einmal, ob aus technischer Sicht die wichtigsten Maßnahmen getroffen wurden. Dazu gehört zum Beispiel, dass die IT-Systeme vom Netz getrennt und gesichert sind. Nur so können die IT-Forensiker im Nachgang vernünftig arbeiten.

Anschließend versuchen wir, das Erpresserschreiben zu sichern. Dadurch können wir schnell herausfinden, wer für den Angriff verantwortlich ist. Oft lässt sich daran auch schon erkennen, wie die Täter vorgehen.

Da wir das Opfer meistens nicht kennen, beschäftigen wir uns erst einmal mit dem Unternehmen. Dadurch verschaffen wir uns einen Überblick darüber, wie groß das Ausmaß des Angriffs ist. Entscheidend ist, ob man in den nächsten Tagen auch mit einem Ausfall der Produktion und Dienstleistungen rechnen muss. Anschließend wird der Notfallbetrieb eingeleitet.

Ransomware bleibt größte Gefahr für Unternehmen

Das heißt, in den meisten Ihrer Fälle geht es um Ransomware-Attacken?

Weber: Bei uns werden natürlich auch kleinere Sicherheitsvorfälle gemeldet, wie zum Beispiel ein gehacktes Benutzerkonto nach einer Phishing-Mail. Aber wenn es um größere Cyberangriffe geht, handelt es sich in der Regel um Erpressung mit verschlüsselten Daten.

Wie schaffen Sie es, dabei ruhig zu bleiben? Und wie sorgen Sie dafür, dass im Unternehmen keine Panik ausbricht?

Weber: Meiner Meinung nach bin ich gut darin, mit Krisensituationen umzugehen. Für Krisenmanager gibt es zwar diverse Weiterbildungen, die ich auch gemacht habe, aber grundsätzlich sollte man das nötige Naturell mitbringen. Zusätzlich braucht es auch das richtige Gespür für den betroffenen Kunden.

Besonders einfach ist es, wenn es um ein inhabergeführtes Unternehmen geht. Dort kann ich eng mit der Geschäftsleitung zusammenarbeiten, um aus der Krise wieder herauszukommen. Aber auch große Mittelständler und Konzerne zählen zu unseren Kunden. Hier ist es besonders wichtig, dass wir ein Gemeinschaftsgefühl mit der Unternehmensführung entwickeln.

Studien belegen, dass noch immer viele Unternehmen Lösegeld zahlen? Trifft das auch auf Ihre Kunden zu?

Weber: Die allerwenigsten meiner Kunden zahlen. Wir empfehlen auch, das Lösegeld nicht zu bezahlen. Es gibt allerdings auch Ausnahmen. Wir hatten einen Fall, wo es tatsächlich keine Alternative zur Zahlung des Lösegelds gab. Die Täter hatten damals den größten Teil der IT-Infrastruktur zerstört, sodass keine Backups mehr vorhanden waren.

Deshalb habe ich mit der Hackergruppe zusammengearbeitet, um an die Daten zu kommen. Natürlich muss ich in einem solchen Fall, nachdem die Daten entschlüsselt sind, alles wieder komplett neu aufbauen. Aber zumindest habe ich dann die Daten. Solche Fälle sind jedoch zum Glück sehr selten.

Unternehmen vernachlässigen Notfallorganisation

Wo hapert es denn in den meisten Unternehmen bei der Abwehr von Ransomware?

Weber: Ich habe festgestellt, dass viele Unternehmen noch immer schlecht auf Angriffe vorbereitet sind. Das fängt schon damit an, dass viele nicht wissen, wer im Krisenstab mitarbeitet. Andere ruhen sich auf ihrer Cyberversicherung aus.

Wichtig ist jedoch, dass man schon im Vorfeld ein Netzwerk aus IT-Dienstleistern, Krisenmanagern und IT-Forensikern aufgebaut hat. Das hilft in den ersten 48 Stunden schon enorm.

Technisch gesehen rüsten zwar immer mehr Unternehmen auf, aber sie beschäftigen sich nicht ausreichend mit ihrer Notfallorganisation. Viele haben Angst vor dem Aufwand mit der Dokumentation. Aber das ist ein sehr wichtiger Schritt, um die Krisensituation zu bewältigen.

Was war denn der interessanteste Fall, den Sie bisher hatten?

Weber: Jeder Fall ist anders, aber es gibt zwei, die mir besonders in Erinnerung geblieben sind. Bei einem Unternehmer hatte der Vorfall für starke gesundheitliche Probleme gesorgt. Dadurch bin ich sehr eng in das Familienleben involviert gewesen.

Der zweite war ein Supply-Chain-Angriff im Lebensmittelbereich. Damals haben wir gemerkt, wie aggressiv die Tätergruppe vorging. Zunächst wurden die Daten verschlüsselt und abgegriffen.

Als nächstes attackierten die Angreifer die Webseiten. Anschließend wurden Kunden angeschrieben. Auch wir als Dienstleister wurden angegriffen. Der Angriff hat sich auf die gesamte Lieferkette ausgewirkt – vom Zulieferer über unseren Kunden bis hin zum Lebensmittelregal. Dabei war die Raffinesse der Angreifer schon beeindruckend, aber auch erschreckend.