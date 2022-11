Es dürfte noch Wochen oder gar Monate dauern, bis der Hackerangriff auf Continental vollständig aufgeklärt ist. Was sich aber jetzt schon sagen lässt: Die kriminelle Gruppe Lockbit 3.0 hat offenbar 40 Terabyte Daten erbeutet, darunter viele vertrauliche Dokumente. Und: Was die IT-Sicherheit angeht, hat der Automobilzulieferer einen Totalschaden erlitten.

Aus den Fragen, die der Fall aufwirft, lassen sich bereits jetzt wertvolle Erkenntnisse ableiten. Die wohl zentrale lautet: Die Verantwortlichen in einem Unternehmen müssen beim Schutz der digitalen Infrastruktur immer den Ernstfall mitdenken. Es gilt also, die Organisation darauf auszurichten, dass Einbrecher bereits im System sind.

Neu ist diese Erkenntnis nicht, aber relevanter denn je. Die digitale Erpressung mit Ransomware stelle „eine der größten Cyberbedrohungen für Staat, Wirtschaft und Gesellschaft dar“, erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich. Continental ist nur ein Fall von vielen.

Der erste Fragekomplex betrifft die Technik. Wie konnte die Gruppe so große Datenmengen unbemerkt aus dem Netzwerk schleusen, und das innerhalb eines Monats? Und warum benötigte das Management mehrere Wochen, um das festzustellen?

Es gibt Programme, die den Datenverkehr in Netzwerken automatisch analysieren und auf Anomalien hinweisen – beispielsweise, wenn ungewöhnlich große Datenmengen auf ungewöhnlichen Wegen das Netzwerk verlassen. Und es gibt Systeme, die im Sinne eines Risikomanagements sensible Daten besonders schützen. Die Lehre lautet daher: IT-Abteilungen sollten nicht nur in die Prävention von Hackerangriffen investieren, sondern auch in die Detektion. Firewall, Virenscanner und Schulungen für die Mitarbeiter sind essenziell. Ebenso aber braucht es Systeme, die wie Alarmanlagen über das Netzwerk wachen. In Konzernen mag das Standard sein, im Mittelstand ist es die Ausnahme.

Die zweite Frage betrifft die Kommunikation. Continental hat einen Tag nach der Entdeckung des Vorfalls den Landesdatenschutzbeauftragten informiert, wie es vorgeschrieben ist. Die interne Kommunikation erfolgte jedoch später. So erfuhr der Aufsichtsrat erst mit mehr als einem Monat Verzögerung vom Datenverlust. Warum ließ sich das Management damit so viel Zeit?

Natürlich: In einer unübersichtlichen Lage ist die interne Abstimmung komplex, es gilt, die Belegschaft genauso im Blick zu behalten wie die Aktionäre. Das dauert. Allerdings ist es möglich, solche Szenarien durchzuspielen und die Krisenkommunikation vorzubereiten. Die Lehre lautet daher: Firmen brauchen einen Notfallplan – und sie müssen ihn testen.

In der dritten Frage geht es um die Organisation. Alle Cyberangriffe abzuwehren ist utopisch – irgendwo gibt es immer einen fehlkonfigurierten Server oder veraltete Software. Aber warum hat Lockbit so viele sensible Daten kopieren können, ob Preislisten, Personalakten oder Aufsichtsratsprotokolle?

So wichtig technische Schutzmaßnahmen und die Schulung des Personals sind, sie allein reichen nicht. Um Schäden möglichst gering zu halten, braucht es ein ganzheitliches Konzept, das eine ständige Verbesserung vorsieht. So können Organisationen ethische Hacker damit beauftragen, von außen in die Systeme einzudringen – ein Stresstest für die Organisation.

Eine letzte Lehre lautet daher: Das Management muss der IT-Sicherheit genug Aufmerksamkeit und Budget geben. Das ist allemal billiger, als nachher Schäden zu beseitigen. Es wird Zeit, dass die Unternehmen das umsetzen. Warnende Beispiele gibt es viele, nicht nur Continental.

