Lisa Lobmeyer, Teammanagerin Incident Response bei der IT Beratung HiSolutions erklärt im Gespräch mit Jana Samsonova (Handelsblatt Media Group), wie Unternehmen sich gegen Hackerangriffe wappnen können, wie sie am besten bei einem Cyberangriff reagieren und was sie tun können, wenn ihre Daten gekapert worden sind.

Jana Samsonova [00:00:00] Stellen Sie sich vor, jemand macht sich an Ihren Unternehmensdaten zu schaffen, verschlüsselt Sie und verlangt dann ein Lösegeld, um Sie wieder zu entschlüsseln. Genau das passiert bei einem sogenannten Ransomware-Angriff. Wenn Sie damit noch keine Erfahrungen gemacht haben, können Sie sich glücklich schätzen. Denn allein im vergangenen Jahr waren 67 Prozent der Unternehmen in Deutschland von einer Ransomware-Attacke betroffen. Die Zahl stammt aus einem aktuellen Report der Cybersicherheitsanbieters Sophos. Und sie passt ins Bild. Fast jede Woche ist in den Medien von einem neuen Angriff auf Geschäftsgeheimnisse oder Kundendaten zu lesen. Die Frage ist jetzt nicht mehr, ob ein Unternehmen von Hackern angegriffen wird, sondern wann - und vor allem, wie es reagiert, wenn Angreifer über Nacht die Systeme kapern und nur gegen Lösegeld wieder freigeben wollen. Einige Unternehmen wählen dann die Nummer von meiner heutigen Gästin. Sie ist Teammanagerin Incident Response bei der IT Beratung HiSolutions und weiß, was zu tun ist, damit der Schaden eines Hackerangriffs möglichst gering bleibt. Mein Name ist Jana Samsonova und ich freue mich auf Lisa Lobmeyer. Herzlich willkommen!

Lisa Lobmeyer [00:01:07] Vielen Dank!

Jingle [00:01:11] Gute Geschäfte. Business-Wissen in zehn Minuten. Der Creditreform Podcast.

Jana Samsonova [00:01:26] Frau Lobmeyer, wie ist denn Ihr Eindruck aktuell? Schätzen die Unternehmen die Bedrohung durch Cyberkriminelle realistisch und richtig ein.

Lisa Lobmeyer [00:01:34] Leider muss ich das ganz klar verneinen. Bei den Unternehmen ist es heutzutage so, dass leider immer noch viel zu viele Unternehmen davon ausgehen, dass dieses Problem sie nie betreffen wird und dass sowieso nur andere Unternehmen darunter leiden. Und dass Hacker ja nur ein Interesse daran haben, extrem sensible Informationen zu erlangen. Und dass deswegen gerade Kleinstunternehmen vielleicht nicht betroffen wären. Und das ist etwas, was mir aus der Praxis ganz klar verneinen müssen.

Jana Samsonova [00:01:58] Nach welchen Kriterien wählen denn Hacker überhaupt ihre Opfer aus?

Lisa Lobmeyer [00:02:02] Da gibt es unterschiedliche Gruppierungen bei den Angreifergruppierungen und die gehen auch nach unterschiedlichen Motiven vor. Da gibt es einerseits staatliche Gruppierungen, die es sicherlich besonders darauf abgesehen haben, entweder an besonders sensible Daten zu kommen und dementsprechend sogenannte High-Value-Targets zu attackieren. Also die Unternehmen, die halt insbesondere vielleicht im Rüstungsbereich unterwegs sind oder die anderweitig interessante Daten haben könnten. Dann gibt es Fälle von Industriespionage, wo es vielleicht darauf ankommt, einen neuen Prototyp zu erkennen oder so was. Und dann gibt es auch Kriminalitäts-Gruppierungen, die sogenannten Crime-Gruppierungen. Und bei denen ist es so, dass häufig ganz einfach mit dem Gießkannenprinzip angegriffen wird und geschaut wird: Wo finde ich denn jetzt im Internet einfach angreifbare Unternehmen? Und die sind dann in der Regel nicht zielgerichtet, sondern da ist einfach das Prinzip: Okay, ich finde eine offene, verwundbare Schwachstelle, die ich ausnutzen kann und dann kann es jedes Unternehmen treffen, was gerade von dieser Schwachstelle betroffen ist.

Jana Samsonova [00:02:58] Sie sagen jedes Unternehmen. Wie ist denn Ihre Einschätzung? Wie viele Unternehmen haben denn überhaupt eine klare Cyberstrategie für den Fall, dass so was passiert?

Lisa Lobmeyer [00:03:07] Leider viel zu wenige Unternehmen. Ich kann mich da nicht auf eine Prozentzahl festlegen. Und ich meine, ich habe ja nun beruflich auch leider gerade mit den Unternehmen zu tun, die es dann betrifft. Man muss aber trotzdem sagen, dass es häufig so ist, dass gerade die Unternehmen, die es betrifft, entweder wirklich kleiner sind, weil dann das Budget fehlt, das Personal fehlt, um sich damit auseinanderzusetzen. Und es gilt auch das Prinzip, dass es hundertprozentige Sicherheit einfach nicht gibt. Also selbst Unternehmen, die wirklich sehr gut vorbereitet sind, auch die kann es treffen. Weil es manchmal auch sogenannte Zero Day Exploits gibt, die ausgenutzt werden. Und dort ist es einfach wirklich sehr schwer, sich vorher davor zu schützen. Und dann ist es auch so, dass es selbst wirklich gut geschützte Unternehmen im Zweifelsfall trotzdem betreffen kann.

Jana Samsonova [00:03:44] Worauf ist denn hier zu achten? Gibt es so etwas wie die fünf Bausteine, die jede Cybersicherheitsstrategie enthalten sollte?

Lisa Lobmeyer [00:03:52] Ich würde es sogar noch kürzer fassen und noch kleiner fassen. Ich würde eher von drei Bausteinen sprechen. Es ist letztendlich relativ simpel: Man spricht immer von diesem goldenen Dreieck der IT Sicherheit. Das umfasst die Prävention, die Detektion und die Reaktion. Ich habe ja gerade schon gesagt, dass es hundertprozentige Sicherheit einfach nicht gibt. Man kann sich aber natürlich trotzdem mit präventiven Maßnahmen beschäftigen. Das heißt, dass man sich überlegt, Was habe ich denn eigentlich für exponierte Systeme, die vom Internet aus erreichbar sind? Wie kann ich diese besonders schützen? Dass man sich strategisch mit dem Thema beschäftigt, sprich, vielleicht sogar eine Informations-Sicherheits-Managementsystem aufsetzt und andere präventive Maßnahmen umsetzt. Da gehört zum Beispiel auch die Mitarbeitendenschulung dazu. Sodass Mitarbeitende wissen, wie bildet man sichere Passwörter? Das ist ein ganz simples Beispiel, was wirklich häufig immer noch ein Problem ist. Dass die Mitarbeiter einfach Sommer 2020, Sommer 2023 als Passwort verwenden. Dann müssen die alle drei Monate rotiert werden und dann wird halt der Herbst 2023. Und dann ist es aber natürlich auch wichtig, selbst wenn ich diese präventiven Maßnahmen durchgeführt habe, dass ich auch erkenne,  wenn ein Angriff passiert. Sprich die Detektion muss erfolgen. Weil letztendlich ist es häufig nicht so, dass diese Angriffe innerhalb von zwei oder drei Tagen erledigt sind, sondern es ist eher so, dass diese Angriffe über Monate passieren und dass man theoretisch einen Zeitraum hätte, in dem man erkennen könnte, dass ein Angriff passiert. Und dann muss ich aber natürlich auch reaktiv tätig werden können. Sprich auch die Reaktion kann vorbereitet werden und die Reaktion muss vernünftig passieren. Und das ist letztendlich auch ein Baustein, den ich vorbereiten kann. Zum Beispiel indem ich Wiederanlaufpläne habe, dass ich weiß, welches meiner Systeme muss ich denn überhaupt wieder wann ans Netz bringen? Welcher meiner Geschäftsprozesse tut mir denn am meisten weh, wenn der im Moment nicht mehr stattfinden kann und nicht mehr durchgeführt werden kann? Und auch so was kann vorbereitet werden, um in der Lage der Lage besser reagieren zu können.

Jana Samsonova [00:05:36] Es ist ja wie es ist. Komplett ausschließen kann man Angriffe nicht mehr, aber man kann sicherstellen, richtig auf einen Angriff zu reagieren. Wenn Sie jetzt gerufen werden, was tun Sie dann als erstes und welche Schritte folgen?

Lisa Lobmeyer [00:05:49] Meistens ist die erste Reaktion, die wir zusammen mit dem Betroffenen durchführen, erst mal Ruhe in die Situation zu bringen. Man muss ja sagen, dass diese Krisensituation für uns als Incident Response Dienstleister Standard sind. Und glücklicherweise sind diese Situationen für unsere Betroffenen in der Regel ja keine Standardsituationen. Das heißt, dass wir in dem Moment erst mal dafür sorgen müssen, dass die Leute runterkommen, dass erst einmal tief durchgeatmet wird. Und diese Erstreaktion, die führen wir häufig am Telefon durch. Das heißt, dass wir da auch erst mal gucken müssen, dass wir eine Art Vertrauensbeziehung aufbauen. Ich meine, das ist natürlich etwas, was man nicht innerhalb eines Telefonats durchführen kann. Aber wir müssen erst mal gucken, dass wir den Kunden verstehen. Dass wir dem Kunden verständlich machen können, was wir in dieser Situation leisten können. Und dass wir dann schauen: Wie ist denn eigentlich die Lage? Manchmal hat man ja auch Menschen am Telefon, die nicht sonderlich IT-affin sind. Wo dann Aussagen fallen wie: Mein Computer macht komische Sachen. Dann müssen wir erst mal gucken, wie sich denn diese komischen Sachen eigentlich konkret äußern und was wir jetzt konkret helfen können. Manchmal ist ja auch die Situation, dass es sich wirklich bloß um ganz, ganz kleine Probleme handelt, im Sinne von jemand hat eine Phishing Mail bekommen, ist verunsichert, möchte einfach nur wissen, ob die jetzt gelöscht werden soll oder was er jetzt am besten damit machen soll. Und manchmal ist es aber auch wirklich so, dass sich ganz, ganz große Organisationen, Krankenhäuser melden, wo dann halt im Zweifelsfall wirklich von uns diese extrem schnelle Reaktion erforderlich wird, um zu überlegen, wie können wir denn jetzt den Schaden minimieren und am besten helfen?

Jana Samsonova [00:07:11] Gut, ich meine, wenn die Unternehmen schon auf sie zukommen, ist der erste Schritt in die richtige Richtung ja bereits getan. Nehmen wir einfach mal an, ich bin Unternehmerin, werde Opfer eines Hackerangriffs und gerate in Panik. Was ist denn der größte Fehler, den ich aus dieser Panik heraus machen kann?

Lisa Lobmeyer [00:07:27] Da würde ich gerne auf zwei Fehler eingehen. Das eine ist eher etwas Organisatorisches, was einfach für uns im Laufe der Fallbearbeitung dann zu Problemen führen kann. Gerade wenn man in Richtung Ransomwareangriffe guckt und sich diese Probleme anschaut. Da hinterlassen die Angreifergruppierungen meistens eine sogenannte Ransomnote auf den Systemen. Das kennt man auch aus den Medien, meistens relativ groß und farbig oder einfach bloß einer Textdatei, dann meistens in Englisch: Hallo, wir waren auf ihren Systemen und ihre Systeme sind verschlüsselt. Bitte treten Sie mit uns in Kontakt und dann können wir über die Erpressungssumme mit Ihnen reden. Und da ist meistens ein Link dabei. Und wenn man auf diesen Link klickt, dann fängt ein Countdown an zu zählen. Sprich dieser Link sollte im Zweifelsfall am Anfang erst mal gar nicht erst benutzt werden und geklickt werden. Weil man dadurch erst mal etwas kostbare Zeit gewinnen kann. Deswegen sollte dieser Link nicht in einer Panikreaktion oder so was benutzt werden, sondern erst mal mit uns Rücksprache gehalten werden und dann die Reaktion oder die Situation vernünftig eingeschätzt werden, um zu wissen, wie man reagiert. Und dann wäre es auch definitiv wichtig mit uns zu sprechen, wie man mit den betroffenen IT Systemen vorgeht, weil man teilweise durch überstürzte Handlungen wertvolle Spuren für die IT Forensik zerstören kann. Und das ist natürlich etwas, was im Zweifelsfall dann auch die Aufklärung des Schadenfalls erheblich verzögern oder erschweren kann. Deswegen müssen wir dann gemeinsam mit den Kunden entscheiden: Wie machen wir denn jetzt weiter? Ist es am besten, einfach nur den Stecker zu ziehen? Sollen die Systeme vielleicht auch weiterlaufen gelassen werden und nur vom Netz getrennt werden? Oder wie gehen wir in dieser Situation weiter vor? Und das ist so ein Fehler, den man machen kann, dass man da überstürzt reagiert und dadurch vielleicht sogar eine falsche Entscheidung trifft, die dann die Spuren zerstört.

Jana Samsonova [00:09:01] Wie viel Zeit bleibt denn in der Regel für die Schadensbegrenzung? Große Datenmengen können ja nicht innerhalb von Minuten verschlüsselt werden.

Lisa Lobmeyer [00:09:08] Inzwischen gibt es Techniken, dass man bloß noch die die ersten Bits oder Bytes einer Datei verschlüsselt und dadurch geht das dann schon relativ schnell. Das Problem ist ja auch, dass es die Unternehmen erst mal bemerken müssten, während Dateien verschlüsselt werden. Und da hatten wir auch schon Fälle, wo Kunden einfach bei ihren Systemen die Stecker gezogen haben und dadurch die Verschlüsselung gestoppt haben. Und das hat dann geholfen. Es ist aber nicht die Regel, dass es die Unternehmen sofort schon bemerken, während die Verschlüsselung stattfindet. Das ist ein Glücksfall. Dann kann man das auch machen. Aber Backups sind da definitiv die bessere Wahl, dass man Ransomware-sichere Offline-Backups hat, die man im Zweifelsfall im Nachhinein einspielen kann. Weil man darf ja nicht vergessen, selbst wenn man das im Laufe dieser dieser Verschlüsselung erkennt: Da waren Angreifer auf den Systemen. Man muss trotzdem Maßnahmen umsetzen und das wird trotzdem ein sehr langwieriger Prozess, das Ganze dann im Nachhinein wiederherzustellen. Aber es kann natürlich wirklich in dem Moment ein paar Daten retten, weil die dann nicht verschlüsselt werden.

Jana Samsonova [00:09:59] Es gibt ja auch nach wie vor Unternehmen, die sich dann am Ende doch dafür entscheiden, Lösegeld zu bezahlen, um gegebenenfalls Schlimmeres zu verhindern. Ist das denn jemals der richtige Weg?

Lisa Lobmeyer [00:10:11] Ich würde sagen nein. Einfach aus ethischen Gründen, weil man damit natürlich kriminelle Gruppierungen unterstützt. Man muss aber trotzdem sagen, dass es in Einzelfällen für Organisationen nach deren Empfinden natürlich die richtige Entscheidung sein kann. Einfach weil dort persönliche Existenzen oder sogar Schicksale dranhängen. Wenn ein Unternehmen vielleicht insolvent geht nach so einer Verschlüsselung, dann kann es für Unternehmen sicherlich nach ihrem Empfinden die richtige Entscheidung sein, die Erpressung somit zu bezahlen, um wieder an Daten zu kommen. Wenn sie dann keine Backups hatten oder um vielleicht Reputationsschaden zu vermeiden, wenn Daten veröffentlicht wurden. Wir haben natürlich auch Fälle, wo diese Erpressung bezahlt wird, sonst würde sich das Geschäftsmodell ja natürlich auch einfach nicht lohnen. Aber ich persönlich aus meiner eigenen Empfindung würde sagen, dass diese Zahlungen natürlich nicht getätigt werden sollten.

Jana Samsonova [00:10:58] Inzwischen gibt es ja zum Glück auch die sogenannten guten Hacker, also Experten, die Software oder ganze IT Umgebungen auf Schwachstellen durchleuchten. Ist so eine Art Daten-Crashtest denn empfehlenswert oder eher nicht?

Lisa Lobmeyer [00:11:12] Definitiv ist das empfehlenswert. Ich habe vorhin ja von diesem goldenen Dreieck der IT-Sicherheit gesprochen. Das ist auch einer dieser Aspekte, die man dabei tun kann. Das ist präventiv eine gute Möglichkeit zu entscheiden: Wie gut sind meine Systeme denn eigentlich aufgestellt? Und gerade für besonders wichtige Systeme oder für besonders exponierte Systeme sind solche Tests zu empfehlen. Die nennen sich dann Penetrationstests. Da gibt es Red-Teaming-Sachen, die man da durchführen kann. Unsere Seite, die Incident-Response-Seite, die wird dann klassischerweise als Blue Teaming betrachtet. Dass wir also die verteidigende Seite einnehmen und die Red-Teaming-Seite die angreifende Seite sind. Und das ist definitiv empfehlenswert, einfach um Schwachstellen zu erkennen, bevor Angreifer diese erkennen. Und dementsprechend können die dann natürlich vorher geschlossen werden, bevor so ein Angriff potenziell durchgeführt wird.

Jana Samsonova [00:11:57] Ich halte fest: In erster Linie ruhig bleiben, Hilfe suchen und am besten schon vorab Präventivmaßnahmen ergreifen.

Lisa Lobmeyer [00:12:05] Gut zusammengefasst.

Jana Samsonova [00:12:06] Vielen Dank, dass Sie heute bei mir waren und bis zum nächsten Mal bei Gute Geschäfte.

Lisa Lobmeyer [00:12:10] Sehr gerne. Vielen Dank.

Jingle [00:12:16] Gute Geschäfte. Business-Wissen in zehn Minuten. Der Creditreform-Podcast.