Herr Köhler, Sie schreiben in Ihrem Buch: „Es gibt nur zwei Arten von Unternehmen – die, die gehackt wurden, und die, die es noch nicht wissen.“ Das ist arg zugespitzt, oder?
Thomas Köhler: Ein bisschen vielleicht. In Gesprächen mit Mittelständlern habe ich aber festgestellt, dass fast jeder eine Geschichte dazu hat. Manchmal war nur ein Rechner befallen, manchmal das ganze Netzwerk. Laut Branchenverband Bitkom waren schon drei Viertel der Unternehmen Opfer von Cyberattacken. Manche Firmen merken das sehr spät. Ich erinnere mich an den Fall eines Unternehmens aus Bayern, das hochwertige Plattenspieler herstellt. Bei denen hat sich jemand auf den Servern umgeschaut. Gemerkt haben sie es erst, als auf einer Fachmesse ein Mitbewerber aus China einen Plattenspieler vorgestellt hat, der schon die neu entwickelte Technologie des bayerischen Unternehmens verbaut hatte, die noch gar nicht auf dem Markt war.
Sind sich die Unternehmen des Risikos bewusst, dem sie ausgesetzt sind?
Selten, gerade Mittelständler halten sich für klein und unwichtig. Die wachen erst auf, wenn es jemanden in der Branche erwischt. Seit 2017 die Reederei Maersk lahmgelegt wurde, stellen wir beispielsweise fest, dass nun viele Firmen in der Logistik ihren Schutz vor Attacken erhöhen.
Thomas Köhler, Experte für Cyberrisiken und Autor
Wie kommen Angreifer denn auf die Unternehmen?
Entweder werden Spam-Mails mit Schadsoftware über einen möglichst großen Verteiler verschickt, in der Hoffnung, dass irgendjemand auf den Link oder den Anhang klickt. Oder es werden Unternehmen gezielt ausgewählt. Dann überlegen die Kriminellen, wie sie am besten in das System kommen – und wie sie am meisten Geld machen können. In Finnland gab es den Fall Vastaamo, ein Unternehmen, über das Psychotherapeuten ihre Arbeit abgerechnet und dokumentiert haben. Hier haben Hacker Patientendaten gestohlen und gedroht, sie zu veröffentlichen. Vastaamo ist nicht auf die Forderungen eingegangen. Parallel wurden Patienten angeschrieben und ebenfalls mit der Veröffentlichung ihrer Daten erpresst. Mehrere Tausend sollen gezahlt haben.
Dahinter steckt ein richtiges Geschäftsmodell?
Ein sehr professionelles sogar. Es gibt Softwareentwickler, die die Schadsoftware bauen. Die verkaufen Nutzungslizenzen an andere Kriminelle – Franchisenehmer sozusagen. Die suchen wiederum die Opfer aus und erpressen sie. Anschließend teilen sich beide Seiten die Einkünfte.
Was sind das für Leute?
Wenn wir über Ransomware sprechen, sitzen viele Kriminelle in Osteuropa. Sie sind in der Regel jung, gut ausgebildet, haben aber wegen fehlender Arbeitsplätze keine Perspektive. So werden sie auf die falsche Seite gezogen, denn da lockt das große Geld. Es gibt regelrechte Start-ups. Hin und wieder werden einzelne Kriminelle festgenommen, deren Platz übernehmen aber schnell andere. Ich befürchte, dass erstmals in der Geschichte der Cybersicherheit die klügeren Leute aufseiten der Angreifer sitzen.
In Ihrem Buch plädieren Sie dafür, Cybersicherheit zur Chefsache zu machen. Warum?
Weil es sonst niemanden gibt, der sich darum kümmert. Das Aktiengesetz verpflichtet zum Risikomanagement, und ein Cyberangriff kann ein Unternehmen in Existenznot bringen. Die Beratungsfirma Gartner geht davon aus, dass bis 2024 75 Prozent der Vorstände für die Schäden durch Cyberattacken haftbar gemacht werden können, weil sie ihr Unternehmen nicht entsprechend darauf vorbereiten.
Was ist Ihr Rat für Unternehmer?
Sie sollten ihre Abwehrmaßnahmen regelmäßig überprüfen und für den Fall der Fälle einen Notfallplan aufstellen, damit klar ist, was bei einer erfolgreichen Attacke zu tun ist. Auch die richtige Datensicherung ist wichtig.
Kann es ein Ausweg sein, auf die Forderungen der Kriminellen einzugehen?
Davon rate ich ab. Lösegeld für seine Daten zu bezahlen, sollte Ultima Ratio sein – wenn alles andere nicht hilft. Denn rechnen Sie nicht damit, dass Ganoven eine Ehre haben. Wer einmal zahlt, wird immer wieder angegriffen.
Gibt es absolute Sicherheit?
Nein, eine hundertprozentige Sicherheit werden wir nie hinbekommen, allein schon, weil es Angreifer immer einfacher haben werden als ihre Ziele. Sie müssen nur eine Schwachstelle finden. Stellen sich ein schönes Haus vor, abgesichert mit einem hohen Zaun und Gittern vor den Fenstern. Das alles bringt nichts, wenn sie die Terrassentür nicht abschließen.
