Es gibt kaum noch Unternehmen, die noch nie Opfer einer cyberkriminellen Attacke geworden sind. Manche kommen glimpflich davon, andere Angriffe sind existenzbedrohend. Besonders lukrativ für die Täter sind sogenannte Ransomware-Attacken auf die Geschäftsdaten zahlungskräftiger Unternehmen. Die Kriminellen versuchen dann, ein Lösegeld (englisch: ransom) für die Herausgabe der sensiblen Daten zu erpressen.
Mit den ständig wachsenden Angriffen gehen regelmäßig neue Gesetze und Auflagen einher, die vermeintlich alles sicherer machen sollen. Geholfen hat das wenig. Die Angriffe gehen munter weiter.
Wir sehen auch bei Familienunternehmen eine starke Zunahme von Fällen, einige davon besonders heikel. Man fühlt sich, als wäre man in einen Kriminalfilm geraten: mafiöse Strukturen, Kryptowährungen, Erpressung, Lösegeldzahlungen.
Um dem zu entgehen, rüsten IT-Abteilungen ständig auf. Aber die Angreifer auch. Schnell entwickelt sich ein endloses Katze-Maus-Spiel, welches sich in einer unternehmensinternen IT-Sicherheitsorganisation manifestiert, die stets nach mehr Budget und Headcount fragt, um den aktuellen Anforderungen gerecht zu werden. Diese Anforderungen erschweren dabei regelmäßig das tägliche operative „Doing“.
Um das Ganze weiter zu verschärfen, werden Gesetze verabschiedet, welche die IT-Sicherheit der Unternehmen erhöhen sollen und dabei mit persönlicher Haftung der Organe bei Nichteinhaltung „drohen“.
Das ohnehin schon ungeliebte Thema IT-Sicherheit wird immer teurer und immer komplizierter. Das Unternehmen scheint immer mehr einer gehärteten Burg zu ähneln, deren Schutzwall immer höher wird, weniger Sonne reinlässt aber dafür viele Abläufe verkompliziert und zudem Unsummen verschlingt.
Prävention statt Reaktion
Auffällig ist die rein reaktive Prägung der IT-Sicherheitsmaßnahmen. Ein Unternehmen rüstet die IT-Sicherheit auf und hofft, damit in der Lage zu sein, einen Angriff erfolgreich abwehren zu können. Da sich die Angreifer aber technisch sehr dynamisch weiterentwickeln, bleibt der Wettlauf zwischen Angreifern und Verteidigern bestehen. Dabei sollte jedem klar sein, dass eine 100%ige IT-Sicherheit völlig illusorisch ist.
Es lohnt sich, in dieser Phase des Wettrennens einmal einen Schritt zurückzutun und die eigene IT-Verteidigungsphilosophie zu überdenken. Dafür muss man verstehen, wie Angreifer vorgehen und welche Schritte dem großangelegten Cyber-Angriff auf ein Unternehmen vorangehen. Denn genau dort, in der sogenannten Anbahnungsphase, sollten Unternehmen ansetzen und versuchen, aufkommende IT-Sicherheitsrisiken im Keim zu ersticken. Der Schaden und die Aufwände sind am geringsten, wenn ein Angreifer vor dem großangelegten Angriff gestoppt oder dieser identifiziert wird, bevor das Netzwerk kompromittiert ist. Dies ist jedoch leichter gesagt als getan, zumal ein dafür erforderliches Monitoring der Bedrohungsakteure und des Darknets im Normalfall nicht durch die hauseigene IT geleistet werden kann.
Spezialisierte Cyberkriminelle trollen Tag täglich durchs Netz auf der Suche nach Lücken in den IT-Festungen von Unternehmen. Diese identifizierten Lücken werden dann regelmäßig anderen Personen zum Kauf angeboten, um die Schwachstelle weiter auszuloten bzw. diese auszubeuten. Während diese „Vermarktung“ historisch auf sog. DarkMarkets stattfand, hat dort mittlerweile der Wind of Change Einzug gehalten. Während sich bis vor ein paar Jahren nur „Gleichgesinnte“ auf solchen dunklen Marktplätzen rumtrieben, ist den Cyberkriminellen heute klar, dass sich dort mittlerweile auch zahlreiche Vertreter von Strafverfolgungsbehörden, IT-Sicherheitsdienstleistern, etc. tummeln. Aus diesem Grunde nutzen Cyberkriminelle in zunehmendem Maße eine Art Direktvertrieb, um die gefundenen Schwachstellen zu monetarisieren. Anstatt die gefundenen Schwachstellen auf einen gänzlich anonymen Marktplatz einem breiten Publikum anzubieten, bieten Cyberkriminelle immer öfter die identifizierten Schwachstellen ihrem bewährten Netzwerk an, mit denen sie in der Vergangenheit bereits zuverlässig interagiert haben. Dies hat zur Folge, dass einem wesentlich kleineren Kreis von Personen diese Schwachstelle bekannt wird.
Für Unternehmen sollte es selbstverständlich sein, solche Netze regelmäßig zu screenen und auch im Darknet unterwegs zu sein, um potenzielle Risiken abzuwenden.
Allerdings verfügen viele Unternehmen über sehr wenig Wissen zu diesen Themen. Wir sind überzeugt, dass sie sich mehr Zeit nehmen müssen, um sich mit diesem Thema zu beschäftigen. Es ist nicht eine Frage des „Ob“, sondern nur eine Frage des „Wann“ und in welcher Forma auch immer ein Unternehmen durch Cyberkriminalität geschädigt wird.
Fazit: Ein Umdenken beim Umgang mit Cyberkriminalität ist anzuraten. Anstelle einer rein reaktiven Aufstellung der IT-Sicherheit im eigenen Netzwerk sollte die Mitigation von Cyberrisiken in deren Anbahnungsphase in das IT-Sicherheitskonzept von Unternehmen mit einbezogen werden. Um es bildlich zusammenzufassen, wird durch dieses Umdenken die Prävention nicht mehr ausschließlich auf die Stärkung der bereits existierenden Burgmauern begrenzt, sondern adressiert auch aufkommende Gefahren außerhalb des Schutzwalls, wo die Risiken überhaupt erst entstehen.
Marc Becker ist Chef/Geschäftsführer der Unternehmensberatung Palladium GmbH aus Frankfurt, die sich auf die Bekämpfung von Wirtschaftskriminalität und besonders Cybercrime spezialisiert hat. Palladium hat sich bereits vor über 15 Jahren neben Compliance-konformen Verhandlungen mit Ransomware-Bedrohungsakteuren auch auf die kontinuierliche Überwachung der Foren und Märkte für Cyberkriminalität spezialisiert. Dabei werden Bedrohungshinweise gesammelt, die die IT-Sicherheit ihrer Kunden betreffen und die Experten helfen dann, diese Risiken in einer frühen Entwicklungsphase zu mitigieren. Die Kosten für die erfolgreiche Mitigation stellen in der Regel nur einen geringen Bruchteil der Kosten für die Abwehr eines qualifizierten Angriffs dar.
Dr. Matthias Händle ist Partner und Geschäftsführender Gesellschafter der PETER MAY Family Business Consulting GmbH & Co. KG und Mitglied verschiedener Beiräte in Familienunternehmen. Er begleitet viele Inhaberfamilien bei der zeitgemäßen Anpassung und Umsetzung ihrer Familienverfassungen.