Ob der Ukraine-Krieg direkt mit der Zunahme von Cyberattacken zu tun hat, darüber waren sich die Diskutanten des ZfK im Gesprächs zum Thema "Gefahr Cyberattacke: Wie müssen sich Stadtwerke schützen?" uneinig. Die digitale Forensikerin Silvana Rößler und Geschäftsführerin des Unternehmens networker, solutions GmbH etwa, stellte deutlich mehr Angriffe seit dem Überfall Russlands fest, während Sebastian Schreiber,Live-Hacker und Geschäftsführer der SySS GmbH, darauf verwies, dass in den Jahren davor schon eine Vervierfachung von Lösegeldzahlungen stattgefunden hätte.
In seinen Augen gebe es daher nicht unbedingt einen kausalen Zusammenhang. Ohnehin würden die Abgrenzung zur Identifikation der Angreifer schwieriger: Robert Osten, Berater für IT-Sicherheitsfragen und Krisenkommunikation sowie Geschäftsführer Iugitas GmbH, stellt eine Vermischung aus staatlichen Akteuren und professionellen mafiösen Cyberkriminellen fest. Die Täter würden vorwiegend aus dem russischsprachigen raum stammen, wo der Staat die Hand über diese kriminellen Gruppen halte.
Vorgehen von Hackern
Hacker sind inzwischen hochprofessionalisiert und teilen sich die Arbeit, waren sich die Experten auf die Frage der Vorgehensweise von ZfK-Chefredakteur Klaus Hinkel einig: „Das sind Franchise-Konzepte – die Tätergruppen arbeiten wie bei McDonalds oder Kentucky Fried Chicken“, veranschaulichte Schreiber. „Die Gruppe, die am Ende das Unternehmen verschlüsselt, ist nicht die Gruppe die am Anfang tatsächlich den Fuß ins Unternehmen bekommen, also das Unternehmen initial kompromittiert hat“, bestätigte Forsensikerin Rößler.
Auf die Frage der Moderatorin Pauline Faust, Redakteurin bei der ZfK, wie man sich am besten auf Hackerangriffe vorbereitet, erklärte Rößler, dass schon im Voraus klar sein sollte, welche Dokumentation man habe. "Und legen Sie diese nicht auf dem System ab, das eventuell kompromittiert werden könnte“, so ihr Rat. Wichtig sei es auch, sich vorher zu überlegen, wo bekomme ich Hilfe im Notfall. Erst zu suchen, wenn der Vorfall passiert ist, sei eine schlechte Idee. „Fragen Sie sich auch, ob Notfallpläne und -Abläufe ab und zu geübt werden? Wer hat welche Befugnisse und wer darf mit wem kommunizieren?“ Denn oftmals würden Mitarbeiter bereits etwas nach außen tragen. "Allein diese Kontakte Vorgänge und PRozesse sollte man schon vorbereitet haben."
Krisenkommunikation
Es gelte hier mit mehreren Akteuren die Kommunikation aufrecht zu erhalten, so Fachmann Osten: Dazu zählt diejenige mit Behörden, neben Strafverfolgungsbehörden zähle dazu auch die Datenschutzbehörde, Kunden, Lieferanten, Mitarbeiter, aber auch zur Versicherung und natürlich auch der Presse. Das seien ganz viele Themen, die koordiniert werden müssen. Seine Erfahrung: „Man verliert sehr schnell an Vertrauen, wenn man quasi schon mit einer Lüge in der Kommunikation gestartet ist. Das einzufangen, ist extrem schwierig.“ Denn – auch Hacker lesen Zeitung. Oft sind diese zudem auf Twitter aktiv und üben mit Veröffentlichungen zusätzlichen Druck auf die Unternehmen aus.
Die richtige Kommunikation müsse man aber schon vorab in einem Kommunikationskonzept festlegen und diese allgemeinen Krisenmanagementstrukturen üben und aufbauen.
Beispiel aus der Praxis
Auch Thomas Mösl, Technischer Vorstand der Technische Werke Ludwigshafen AG, dessen Unternehmen im April 2020 Opfer einer Cyberattacke wurde, betont, dass dies ein enorm wichtiges Thema sei, dass der KRisenstab durch eine eigene Kommunikationseinheit ergänzt werde. „Die Frage ist auch, wie offensiv geht man vor“, so Mösl. Die TWL haben sich bewusst dafür offensiv zu informieren, im ersten Schritt berichtete man, dass man gehackt worden sei, dann habe man mitgeteilt, was passiert sei.
"Im Nachhinein würde ich sagen, ich würde es wieder so tun. Warum? Weil ich lieber das Heft des Handelns in der Hand habe.“ Sonst werde man zum Getriebenen, so Mösl. Der Geschäftsführer hatte damals schon in IT-Sicherheit investiert, was sich auch bezahlt machte. Durch einen sogenannten Honigtopf fiel der Datenabfluss auf. Glück für den Versorger: Man entging damit einer kostspieligen Verschlüsselung.
Keine Salamitaktik
Seiner Erfahrung nach versuchen die Erpresser alles mögliche, dazu gehören auch Massenmails an Mitarbeiter und Kunden, deren Daten erbeutet wurde. „Da fällt Ihnen so etwas wie Salamitaktik bitterböse auf die Füße, weil dann ist das Vertrauen weg“. Heute, noch mehr als 2020 gebe es viel Verständnis dafür, wenn man offen kommuniziere, dass man gehackt wurde und den Kunden das Gefühl gebe, wir tun alles, „dass wir Euch informieren und Euch Tipps zur Hand geben, wie Ihr Euch schützen könnt“.
Von der Zusammenarbeit mit den Sicherheitsbehörden war Mösl schwer beeindruckt. Und auch Osten betont dass es sehr hilfreich se, proaktiv mit den Ermittlungsbehörden zusammenzuarbeiten und auch Themen wie Kommunikation oder Pressemeldungen abzustimmen.
Kommunikation mit Erpressern
Auf eine besondere Art der Kommunikation wies noch die digitale Forensikerin Rößler hin: Denn auch mit den Erpressern muss richtig kommuniziert werden. „Wir unterstützen beim Transfervorgang des Lösegelds, wir nehmen die Unternehmen hier bei der Hand, das ist keine Sache, die innerhalb von wenigen Stunden erledigt ist. Ihr Unternehmen lasse diese spezielle Kommunikation sogar von externen Kommunikationsexperten begleiten, da die Kommunikation hier sehr sensibel sei. Allerdings, darauf verweist auch Rößler, Lösegeldzahlungen seien kein Garant, dass man nicht wieder angegriffen werde.
Schreiber hat laut eigenen Aussagen bisher – in Anführungszeichen – gute Erfahrungen mit der Übergabe von Lösegeld gemacht. Sein Unternehmen hält hier zwei Wallets mit Bitcoins vor, damit Opfer auch schnell mit der entsprechenden Menge zahlen können. Lösegeld zu zahlen sei in äußerster Not oft der einzige Weg ist, wieder an die notwendigen Daten zu kommen. „Ich sollte Lösegeld zahlen, wenn überhaupt kein anderer Ausweg mehr existiert. Und damit meine ich jetzt keine Bequemlichkeitsgründe, dass man die Backups nicht zurückspielen will“, so Rößler.
Denn klar sei auch, so Osten, das Geld fließe womöglich an Russland, den islamischen Staat oder andere Terrororganisationen, die man damit unterstütze. Das Geld sollte man lieber gleich für IT-Sicherheit ausgebe. „Wenn ich feststelle, dass ich keinen anderen Weg sehe, an meine Daten zu kommen, muss ich als Geschäftsführer eben die Interessen meines Unternehmens verteidigen. Und das ist der Fortbestand des Unternehmens", so Schreiber.
Cyber-Versicherungen
Schreiber prophezeit zudem, dass es in fünf Jahren das Produkt Versicherungen nicht mehr geben werde. „Oder es ist ein Fake-Produkt, das nur unter ganz kuriosen Umständen überhaupt bezahlt wird“. Versicherungen würden zunehmend aus dem Markt für Cyber-Versicherungen aussteigen, da er kaum beherrschar sei. Oft seien es dann komplizierte Verträge, wo nicht klar sei, ob die Versicherung zahlen muss oder nicht.
Das ist auch die Erfahrung von TWL-Geschäftsführer Mösl: „Genauso klingt es auch im Moment bei Verhandlungen nach dem Motto: Wir tun alles, damit Du ja keinen Vertrag bei uns abschließen willst“. (sg)
