Herr Osten, die Fälle, dass Unternehmen, darunter auch Kommunalversorger, gehackt werden, häufen sich. Das Bundesamt für Sicherheit in der Informationstechnik sagt ganz klar, "kein Lösegeld zahlen". Doch lässt sich das in der Praxis auch umsetzen?
Roberst Osten, Geschäftsführer Iugitas GmbH: Eine Lösegeld-Zahlung ist maximal dann ein Weg, wenn es wirklich sonst keine andere Lösung gibt, das Unternehmen zu retten. In der Regel kann man Back-ups einspielen, auch wenn sie uralt sind und man hier viel nacharbeiten muss. Das ist immer noch besser, als zu bezahlen. Häufig st es so, wer einmal bezahlt, zahlt nochmals, weil er sich als williges Opfer darstellt. Man darf sich auch keine Illusionen machen, wohin das Geld fließt. Das heißt gegebenenfalls auch, dass man russische Aktivitäten mitfinanziert. Das muss einem bei jeder Lösegeld-Zahlung bewusst sein.
Wie kommuniziert man einen solchen Erpressungsfall am besten?
Viele Unternehmen neigen dazu, die typische Salamitaktik anzuwenden und nur so viel zuzugeben, wie die Presse ihnen nachweisen kann. Das ist unserer Erhfarung nach ungeschickt, weil allein der Eindruck von Intransparenz zum Vertrauensverlust führen kann. Dies ist leider ein ganz typisches Verhalten. Grundsätze einer guten Kommunikation sind, dass man möglichst transparent und so dicht wie möglich an der Wahrheit bleibt, so kann man gewissen Spekulationen auch einen Riegel vorschieben. Unglücklich wäre es, wenn später herauskommt, dass doch mehr passiert ist, als behauptet. In der Krisenkommunikation kann man das auch so formulieren, dass zum jetzigen Kenntnisstand nicht mehr bekannt ist.
Es empfiehlt sich auch, externe Krisenkommunikations-Experten ins Unternehmen zu holen, weil hier eine andere Fähigkeit als das Kommunizieren von normaler Pressearbeit oder Marketing gefragt ist. Die meisten Pressesprecher kennen sich mit Krisenkommunikation nicht aus. Das wäre auch ein Punkt in der Vorbereitung für Geschäftsführer: Pressesprecher dafür auszubilden, damit sie nicht vor die Kamera gezerrt werden und der einzige Satz ist "kein Kommentar".
Was kann noch schief gehen und was kann man dagegen tun?
Was wir oft sehen, ist, dass nach einem Hackerangriff private E-Mailaccounts verwendet werden, über die die Kommunikation aufgebaut wird. Das ist unprofessionell und lässt sich bei guter Vorbereitung leicht umgehen. Man kann zum Beispiel entsprechende E-Mail-Postfächer samt einer Kopie der Website bereithalten. Dann ist die Endung vielleicht nicht .de, sondern .org, und darüber kann das Unternehmen die grundlegende Kommunikation vor allem auch mit den Kunden und der Öffentlichkeit wieder über die Website stattfinden lassen. Wichtig ist, dass dies über ein anderes Rechenzentrum läuft. Man baut quasi eine sekundäre Infrastruktur auf. Dazu raten wir. Das gilt auch für Dienste wie Microsoft 365.
Es gibt den schönen Satz: „Viele sind auf den Krisenmodus vorbereitet, aber nicht darauf, schnellstmöglich wieder in den Normalbetrieb zu gehen“
Es ist tatsächlich so, dass es verschiedene Phasen gibt. Die erste ist die Chaos-Phase: Hier muss man feststellen, was ist passiert, was können wir überhaupt machen? Denn wenn ich das IT-System einfach neu aufsetze, wie das im Alltag bei Fehlern oft der Fall ist, dann mache ich Beweismittel kaputt. Und zweitens: Selbst wenn ich wieder ein sauberes System habe, hänge ich womöglich an einem infizierten System, dass dann ruckzuck wieder infiltriert ist. Es ist also ganz wichtig, dass wir diese Gratwanderung zwischen „Wir wollen etwas möglichst schnell zum Laufen bringen" und „Wir wollen aber auch Spuren sichern, wie der Angriff überhaupt gelaufen ist“ hinbekommen.
Erst muss die Schwachstelle gefunden werden, die dazu geführt hat, dass man gehackt wurde, dann müssen das Netzwerk und die Server-Strukturen bereinigt werden. Außerdem muss ich wissen, wie viele Back-up-Versionen sind potenziell schon verseucht. Dazu muss man feststellen, wann war der Zeitpunkt des Eindringens? Hier sollte man tunlichst auf die Forensiker hören. Anschließend geht man in den Notbetrieb. Hier sollte man sich natürlich schon vorher Gedanken gemacht haben, wie dieser aussehen kann. Dazu gehören Fragen wie: Was sind die wichtigsten Kern-Systeme? Was sind die grundsätzlichen Services? Wie kommuniziere ich?
Danach kann man ganz in Ruhe – auch wenn das viel manuelle Arbeit bedeutet – in die eigentliche Wiederherstellung gehen. Das dauert häufig Wochen, Monate, sogar bis zu einem Jahr, bis die Infrastruktur wieder komplett ist. Das ist in vielen Punkten auch sinnvoll, weil man bis dahin versäumte Themen wie eine Netzwerk-Segmentierung oder entsprechend strengere Firewall-Richtlinien im Zuge des Wiederaufbaus angehen kann. Das nimmt viel Zeit in Anspruch, weil viele denken, ich spiele einfach das Back-up ein – und dann ist man oft nach einer Woche wieder handlungsunfähig. So eine Wiederherstellung kostet sehr viel Geld. Mein Credo ist allerdings: Wer glaubt, nur die Vorsorge ist teuer, der sollte mal den Notfall ausprobieren.
Sie haben Forensiker erwähnt: Brauche ich diese auch in meinem eigenen Unternehmen? Wie viel Sicherheitspersonal brauche ich überhaupt?
Das kann man so pauschal nicht beantworten, weil es natürlich auf die Komplexität, Größe und Beteiligungsstruktur des Unternehmens ankommt. Häufig hat man allgemein das Problem, dass sich die IT-Sicherheit auf sehr wenige Köpfe erstreckt. Diese haben vor lauter Arbeit oft gar keine Chance, eine vernünftige Dokumentation zu erstellen, präventive Tätigkeiten fallen dann auch gerne unter den Tisch, weil man sich eben im Alltagsgeschäft bewegt. Um Schwachstellen zu schließen, muss man eben auch mal zeitweise die entsprechenden Dienste herunterfahren, um sie zu patchen. Das ist ein äußerst unbeliebtes Thema. Eigene Forensiker vorzuhalten, würde ich nicht empfehlen, weil das sind wirklich Spezialisten. Es ist wertvoller, externe Forensiker hereinzuholen, weil sie sich nur mit solchen Themen beschäftigen. Außerdem haben sie den Blick von außen. Intern ist so etwas ohnehin immer schwierig, weil ja potenziell rauskommen könnte, dass jemand irgendwo nicht das gemacht hat, was er hätte machen sollen. Das wird intern selten aufgedeckt, um das mal vorsichtig zu sagen.
Die Fragen stellte Stephanie Gust
Mehr zur Geschäftsmethode Ransomware-as-a-Service und wie man Hackerangriffe am besten auch bei Dienstleistern vorbeugt, lesen Sie in der aktuellen Printausgabe auf Seite 11. Das Abo zur ZfK finden Sie hier.
