07
Juli
Autor: UNIVERSUM Fachredaktion
Eine Cyberkrise beginnt oft harmlos, beispielsweise mit einem ungewöhnlichen Verhalten eines Servers oder verdächtigen Logeinträgen. Doch innerhalb kurzer Zeit kann daraus eine ernsthafte Bedrohung für das gesamte Unternehmen werden. Die Experten der MTNI GmbH aus Karlsruhe schildern, wie sich scheinbar banale Hinweise in dramatische IT-Notfälle verwandeln – und warum schnelles Handeln essenziell ist.
UNIVERSUM Fachredaktion:
Der Wendepunkt von einem Notfall zu einer Krise kann ganz plötzlich und überraschend passieren. Gab es einen konkreten Moment, in dem Ihnen schlagartig klar wurde, das ist der Ernstfall, jetzt zählt mein Handeln?
Leonard Frank:
Ja, definitiv, aber das ist nicht immer für alle so klar erkennbar. Wir sind als Beratungsfirma in der Regel nicht selbst die Betroffenen, sondern wir helfen Betroffenen. Es kommt regelmäßig vor, dass uns Anfragen erreichen, wo den Betroffenen vielleicht selbst noch nicht ganz klar ist, was eigentlich der Sachstand ist. Vielleicht kommen sie mit verdächtigen Log-Einträgen auf uns zu und wir sollen uns das mal anschauen. Im Idealfall stellt sich in der weiteren Analyse heraus, dass das alles nur ein technischer Fehler war. Es gibt aber auch Situationen, wo wir feststellen: Das ist gerade nicht nur ein kleines Problem, sondern eine ausgewachsene Krise. Es kommt oft vor, dass den Betroffenen zu diesem Zeitpunkt das Ausmaß nicht bewusst war oder sie die Folgen nicht abschätzen konnten. Hier werden wir dann oft zum Überbringer der schlechten Nachricht.
Alexander Sperber:
Es kommt häufiger vor, dass Kund*innen anrufen und sagen, unser Server verhält sich etwas komisch. „Etwas komisch“ ist natürlich im ersten Schritt eine Problembeschreibung, die einer genaueren Spezifikation bedarf. Sprich im Normalfall fragen wir: Was ist der erwartete Normalzustand bzw. wo bestehen auffällige Abweichungen? In unserer Analysephase stoßen wir gelegentlich auf Fälle, in denen Server offensichtlich unerwünschtes Verhalten zeigen. Das betrifft beispielsweise Datenbankzugriffe im Backend, bei denen Server unberechtigt Kundendaten abziehen oder Funktionen ausführen, die nicht vorgesehen sind. Solche Situationen sind kritisch und erfordern sofortiges Handeln, da die Sicherheit sensibler Informationen direkt gefährdet ist.
Klar ist: Wenn mich Kund*innen auf meiner Unternehmenswebseite besuchen und die Webseite zeigt geschäftsschädigende Inhalte, dann möchte ich das in aller Regel auch so schnell wie möglich geregelt und aufgeklärt haben. Da stellt sich dann die Frage: Was ist passiert und was sind die möglichen Folgen? Von hier an ist der Übergang von einem Routineanruf zu einem größeren Problem fließend.
Leonard Frank:
Wenn man sich jetzt einen klassischen Ransomware Angriff anschaut, kann man bei den wirklich großen Fällen beobachten, dass die Angreifenden in Phasen vorgehen. Die erste Phase ist in der Regel die initiale Infektion, anschließend versucht sich der Angreifende im Firmennetz auszubreiten und möglichst viele Rechner zu kompromittieren. Denn das Ziel ist ja am Ende eine Lösegeldforderung. Wenn ich jetzt aber nur zwei Rechner kompromittiert habe und beispielsweise ein Backup existiert, mit dem die Betroffenen alles wieder herstellen können, dann ist es als Angreifer natürlich schwer, diese Lösegeldforderung durchzubringen. Das heißt, die Angreifer versuchen, erst in allen Systemen Fuß zu fassen, bevor sie dann die Verschlüsselung starten. In dieser Frühphase der Ausbreitung lässt sich so eine Krise noch abwenden. Das ist immer noch ein Sicherheitsvorfall, weil man natürlich kompromittiert wurde und alle Systeme bereinigen muss. Aber in dem Moment, wo der Angreifende den Schalter umlegt und plötzlich alle Systeme verschlüsselt sind, wird es zu einer handfesten Krise.
UNIVERSUM Fachredaktion:
Wie oft haben Sie in den letzten Jahren Cyberangriffe in Unternehmen miterlebt oder betroffene Firmen unterstützt?
Alexander Sperber:
Wir haben in den letzten Jahren zahlreiche Cyberangriffe miterlebt und dabei auch Firmen aus sehr unterschiedlichen Branchen unterstützt. Über einen Zeitraum von mehreren Wochen wurde beispielsweise eine schwerwiegende Schwachstelle in einem bei vielen Unternehmen extern erreichbaren System festgestellt. In dieser Phase spezialisierten sich bestimmte Gruppierungen darauf, diese Schwachstelle systematisch auszunutzen. Dazu durchsuchten sie das Internet gezielt nach anfälligen Systemen. Dies führte in der Folge zu einem spürbaren Anstieg der Vorfallhäufigkeit. Während wir früher möglicherweise ein bis zwei Anfragen pro Woche verzeichneten, erhalten wir in solchen Fällen teilweise mehrere pro Tag, oft sogar mit derselben oder einer sehr ähnlichen Beschreibung. Dies verdeutlicht die organisierte und häufig automatisierte Vorgehensweise der Angreifer und macht die Dringlichkeit deutlich, derartige Schwachstellen proaktiv anzugehen.
Ein ebenfalls häufig unterschätzter Faktor im Krisenmanagement ist die frühzeitige Inanspruchnahme externer Hilfe. Wir erleben immer wieder, dass Kunden uns viel zu spät kontaktieren. Obwohl Anzeichen einer Kompromittierung teilweise schon seit Tagen vorliegen, zögern manche aus verschiedenen Gründen, uns zu kontaktieren – sei es aus Unsicherheit oder weil das volle Ausmaß des Problems noch nicht erkannt wurde.
Dies unterstreicht die kritische Bedeutung, schnellstmöglich professionelle Unterstützung anzufordern. Denn jede Verzögerung verschafft Angreifern mehr Zeit, sich im Netzwerk auszubreiten und ihren Schaden zu maximieren. Eine verspätete Reaktion erschwert die gesamte Aufarbeitung erheblich und führt erfahrungsgemäß zu signifikant höheren Kosten.
Ein außerdem häufig beobachtetes Problem in Krisensituationen ist die Tendenz zu hektischem Aktionismus. Dies ist zwar menschlich nachvollziehbar, führt jedoch oft zu unzureichender Kommunikation und damit zu Missverständnissen. Gerade in einer Krise kann dies schwerwiegende Folgen haben.
Wir stellen beispielsweise immer wieder fest, dass die Weitergabe von Informationen verzögert erfolgt oder dass Mitarbeiter relevante Details nicht als kritisch erkennen und sie somit nicht weiterleiten. Dies erschwert das Krisenmanagement erheblich und verlängert die Reaktionszeit.
Ein weiteres Problem ist die Tendenz zu impulsiven Reaktionen, sobald eine Anomalie in Systemen oder Abläufen festgestellt wird. Unternehmen und Administratoren neigen dazu, unkoordinierte Erstmaßnahmen zu ergreifen, um die Ursache schnellstmöglich zu identifizieren und idealerweise intern zu beheben. Leider verschärft dies oftmals die Situation. Unzureichend vorbereitete technische Maßnahmen werden übereilt implementiert, was zu einer hohen Dichte administrativer Änderungen in kürzester Zeit führt. Diese Menge an Veränderungen wird unübersichtlich und es mangelt an der nötigen Evaluierung, ob die ergriffenen Schritte tatsächlich zielführend waren oder ob andere Maßnahmen zur Eindämmung des Angriffs effektiver gewesen wären.
Leider beobachten wir darüber hinaus allzu oft, dass in kritischen Situationen die Suche nach einem Schuldigen beginnt. Dies halten wir für kontraproduktiv. In solchen Fällen gibt es grundsätzlich selten einen einzelnen Schuldigen, sondern es ist das Zusammenspiel mehrerer Faktoren, das zu einer Problemlage führt
Darüber hinaus ändert die retrospektive Schuldzuweisung nichts an der aktuellen Situation. Der Fokus sollte stattdessen stets darauf liegen, die Krise schnellstmöglich zu bewältigen, aus Fehlern zu lernen und zukünftige Vorfälle zu vermeiden.
Leonard Frank:
Man sollte immer im Kopf behalten: In einer Cyberkrise sitzen alle, die am Tisch sitzen, in einem Boot. Einen Schuldigen gibt es, aber das ist der Angreifer. Nur weil ich vergesse, meine Tür abzuschließen, rechtfertigt das nicht, dass jemand reinkommt und mich ausraubt.
Neben dem Verlieren in Schuldzuweisungen ist ein weiterer häufiger Fehler eine fehlende Dokumentation. Sprich: ich habe keine klaren Protokolle davon, was eigentlich durchgeführt wurde oder ich weiß nicht, was noch zu tun ist. Das erschwert mir massiv die Nachverfolgung des Aufräumens. Denn viele der Maßnahmen, die ich bei der Eindämmung eines Schadens treffe, muss ich ja auch anschließend wieder zurückrollen. Eine Cyberkrise ist einfach eine Stresssituation – was ich mir nicht aufschreibe, werde ich im Zweifelsfall vergessen.
Ganz häufig ist auch die fehlende Priorisierung ein Problem: Entweder denkt man, dass alle Systeme wichtig sind oder man weiß gar nicht, welches System jetzt überhaupt wichtig ist. In einer Cyberkrise ist Priorisierung allerdings sehr entscheidend, weil ich nur begrenzte Ressourcen, also Zeit und Personal habe.
Im Fazit kann man letztendlich sagen, dass all diese Fehler in der Regel aus fehlender Vorbereitung, fehlender Übung und fehlender Routine resultieren. Wenn ich mich gut auf eine Cyberkrise vorbereitet habe, das Vorgehen regelmäßig geübt habe, dann kann ich in solchen Fällen einen kühlen Kopf bewahren. Dann weiß ich, was ich tue – wenn es dann ernst wird, werden solche Fehler zumindest deutlich weniger passieren.
Zusammenfassend:
Wenn sich Cybervorfälle häufen und immer schneller eskalieren, braucht es Reaktionsfähigkeit. Unternehmen müssen lernen, frühe Signale richtig zu deuten – bevor es zu spät ist.
Sie möchten sich und Ihr Unternehmen vorbereiten? Dann entdecken Sie unsere Lernwelt „Krisen managen“! Dort finden Sie auch das gesamte Interview mit den Experten.
Wie gut funktioniert das Krisenmanagement in Ihrem Unternehmen?
Machen Sie den kostenfreien Krisencheck und erhalten Sie direkt eine erste Einschätzung!
Zum Krisencheck
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen