https://www.faz.net/-j0w-ac3rx
Verlagsspezial

Interview : „Das Vertrauensverhältnis zum Kunden ist ein hohes Gut“

Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt. Bild: Fraunhofer SIT

Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt. In diesem Jahr wurde die gebürtige Israelin mit dem ersten Platz beim hochdotierten Deutschen IT-Sicherheitspreis ausgezeichnet. Im Interview spricht sie über die Vorgehensweise von Cyberkriminellen und zeigt auf, wie wichtig es für Unternehmen ist, einen Notfallplan in der Schublade zu haben.

          3 Min.

          Frau Shulman, Sie sind IT-Sicherheitsexpertin und forschen tagtäglich zum Thema Cybersecurity. Wie real ist die Gefahr eines Cyberangriffs für Unternehmen heutzutage?  

          Die Gefahr, Opfer eines Cyberangriffs zu werden, ist sehr groß. Betroffen sind dabei nicht nur Unternehmen, sondern zum Beispiel auch Universitäten, kritische Infrastrukturen wie etwa Krankenhäuser oder staatliche Behörden. Bereits im vergangenen Jahr gab es viele Angriffe von Cyberkriminellen und sogenannten APT-Gruppen. Und ich sehe keine Anzeichen dafür, dass sich das bald ändern wird – eher im Gegenteil.

          Was unterscheidet Cyberkriminelle von den als APT-Gruppen bezeichneten Hackern?  

          APT steht für Advanced Persistent Threat und beschreibt die Aktivitäten von Gruppen, die Organisationen mit einem klaren Ziel strategisch und über längere Zeit hinweg angreifen. Während Cyberkriminelle finanziell motiviert sind, werden APT-Gruppen von ihren Auftraggebern – vor allem ausländischen Staaten – unterstützt. Beispielsweise gibt es starke Indizien, dass Russland mithilfe solcher APT-Gruppen politische Spionage und eine gezielte Desinformationspolitik gegen Deutschland betreibt. Gerade vor dem Hintergrund der anstehenden Bundestagswahl in diesem Jahr ist das eine Entwicklung, die wir genauestens beobachten müssen.

          Weshalb sind Cyberangriffe so gefährlich?

          Die Schäden, die durch Cyberangriffe entstehen, kosten nicht nur viel Geld, sie können im schlimmsten Fall auch Menschenleben kosten und die Stabilität von Gesellschaften gefährden.
          Erst kürzlich kam es zu einem gravierenden Angriff gegen den Pipelinebetreiber Colonial in den Vereinigten Staaten. Die Firma musste nach einer Cyberattacke bestimmte Systeme vom Netz nehmen, um die Bedrohung einzudämmen. Die Folge: Der Betrieb der Pipeline kam komplett zum Erliegen, die Benzinversorgung an der amerikanischen Ostküste wurde tagelang empfindlich gestört, es gab sogar Panik-Benzinkäufe an den Tankstellen. 

          Was wollten die Angreifer damit bezwecken?

          Die Cyberkriminellen verfolgen in einem Fall wie diesem meist zwei Ziele: Innerhalb von zwei Stunden stahlen sie Daten in einer Größenordnung von mehr als 100 Gigabyte. Diese Daten wiederum verwendeten sie, um Lösegeldzahlungen zu erpressen. Falls ein Unternehmen nicht zahlt, drohen die Angreifer mit der Veröffentlichung empfindlicher Daten im Internet – was für die betroffenen Unternehmen natürlich ein riesiges Problem darstellt. In einem zweiten Punkt geht es den Cyberkriminellen darum, die kritischen Systeme lahmzulegen und für Chaos zu sorgen. Dafür müssen sie nicht mal die kritische Infrastruktur selbst angreifen – es genügt, die IT-Systeme einer kritischen Infrastruktur zu attackieren. Der Operator wird dann nämlich gezwungen, die Systeme herunterzufahren, wie es auch beim Pipelinebetreiber Colonial der Fall war.

          Weshalb haben Cyberangriffe derzeit Hochkonjunktur?

          Das ist ein Ergebnis der zunehmenden Digitalisierung. Verkehrssysteme werden digital gesteuert, kritische Infrastrukturen sind digital erreichbar, wir arbeiten aktuell vermehrt im Homeoffice – das sind alles Einfallstore für Cyberkriminelle. Hinzu kommt, dass kriminelle Gruppierungen erkennen, wie lukrativ die Erpressung mittels Daten sein kann. Es ist zu einem professionellen Geschäftsmodell geworden. Und ein dritter Punkt: Die Attacken können bequem per Internet von überall auf der Welt durchgeführt werden, es braucht also keinerlei physischen Angriff wie etwa bei einem Banküberfall.

          Wie können sich Unternehmen für den „Fall der Fälle“ vorbereiten?

          Unternehmen müssen ihre IT-Systeme unbedingt regelmäßig warten – das ist vergleichbar mit einem Haus oder Auto, bei dem auch immer wieder Reparaturen anfallen. Nur so lassen sich Schwachstellen in der IT-Infrastruktur identifizieren und alle Systeme mit den aktuellen Patches versorgen. Auch können Unternehmen auf diese Weise Netzwerkaktivitäten überblicken und Unregelmäßigkeiten aufdecken. Außerdem müssen Back-ups ausnahmslos auf isolierten Servern abgelegt werden, um im Notfall die verschlüsselten Daten wiederherstellen zu können. Und nicht zuletzt gilt: Üben, üben, üben . . .

          Das müssen Sie erklären!

          Es ist wie bei einer Feuerübung: Unternehmen müssen Angriffsszenarien wieder und wieder durchspielen, um im Ernstfall optimal vorbereitet zu sein. Dann kommt es nämlich auf jede Minute an. Ich muss also wissen, wie eine Cyberattacke abläuft, und kann in einer solchen Situation nicht erst anfangen zu überlegen, wer zuständig ist und wen ich als Erstes kontaktiere. Meist funktioniert ja weder das Firmennetzwerk noch die E-Mail-Kommunikation. Unternehmen müssen daher eine Infrastruktur aufsetzen, die ausschließlich dann zum Einsatz kommt, wenn nichts anderes mehr geht. Wurden alle Vorbereitungen optimal getroffen, können die IT-Systeme betroffener Unternehmen durchaus innerhalb von einer Stunde wieder zum Laufen gebracht werden. Das setzt aber auch die Bereitschaft der Unternehmen voraus, entsprechend in die IT-Sicherheit zu investieren.

          Welche Kommunikationsempfehlungen geben Sie Unternehmen, die von einem Cyberangriff betroffen sind?

          Ich plädiere für einen offenen und transparenten Umgang. Aber auch hier brauche ich einen klaren Fahrplan: Wann und in welcher Form sollen Kunden und Geschäftspartner bei einem Datendiebstahl informiert werden? Wartet man zu lange, könnte der Angriff von der Presse aufgedeckt werden und es kann der Eindruck entstehen, dass das Unternehmen den Cyberangriff unter den Teppich kehren wollte. Kommuniziert man zu überstürzt, ohne Antworten auf wichtige Fragen zu haben, läuft man Gefahr, die Kunden noch mehr zu verunsichern. Es gibt aber die Möglichkeit, je nach Szenario unterschiedliche Kommunikationsbotschaften zu formulieren und diese vorab mit den Verantwortlichen abzustimmen. So lässt sich im Notfall schneller eine Kommunikationsstrategie umsetzen. In jedem Fall gilt: Unternehmen sollten Verantwortung übernehmen und ihre Kunden in dieser schwierigen Situation bestmöglich begleiten. Schließlich ist gerade das Vertrauensverhältnis zwischen Unternehmen und Kunden ein hohes Gut.

          Das Interview führte Christina Lynn Dier.

          Topmeldungen

          : Cyberangriffe: Deutsche Firmen im Visier

          Angriffe aus dem Cyberspace nehmen zu, der Schaden für die deutsche Wirtschaft ist immens. Unternehmen müssen nicht nur in die technische IT-Sicherheit investieren – sondern auch die Mitarbeiter für die Gefahren der digitalen Sphäre sensibilisieren.
          Täuschend echte Nachrichten: Phishing-E-Mails sind heutzutage zum Teil so gut gemacht, dass man nur beim genaueren Hingucken etwas bemerkt.

          : Mit einem Klick in der Falle

          Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance.
          Gravierende Auswirkungen: Am Haupteingang zum Universitätsklinikum Düsseldorf fährt ein Krankenwagen vorbei. Nach dem umfangreichen IT-Ausfall an der Uniklinik im September 2020 dauert die schwierige Suche nach den Hackern weiter an.

          : Schutzmechanismen gegen Verschlüsselungstrojaner

          Ferngesteuerte, digitale Erpressung mittels spezieller Erpressersoftware ist inzwischen eine der größten Bedrohungen für die Cybersicherheit weltweit. Betroffen sein kann jedes Unternehmen, wichtig sind eine schnelle Reaktion und eine gute Vorbereitung für den Ernstfall.
          Johannes Bahrke ist Sprecher für Digitale Wirtschaft und Gesellschaft der Europäischen Kommission.

          Interview : „Cyberangriffe hören nicht an physischen Grenzen auf“

          Die Europäische Union will die Sicherheit des Internets und anderer kritischer Netz- und Informationssysteme erhöhen. Dazu soll in Bukarest ein neues Kompetenzzentrum für Cybersicherheit entstehen. Ein Interview mit Johannes Bahrke, Sprecher für Digitale Wirtschaft und Gesellschaft der Europäischen Kommission.