Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Emotet-Angriffe Cybersicherheit ist noch immer selten Chefsache – das kann sich rächen

Der Virus Emotet infiziert deutschlandweit IT-Systeme. Vielen Unternehmen fehlt es an einer Sicherheitsstrategie – mit drastischen Folgen fürs Geschäft.
Update: 07.12.2018 - 17:37 Uhr Kommentieren
Unternehmen brauchen ein Sicherheitskonzept. Das kann keine Angriffe verhindern – wohl aber, dass wichtige Prozesse stillstehen. Quelle: imago stock&people
Codeknacker

Unternehmen brauchen ein Sicherheitskonzept. Das kann keine Angriffe verhindern – wohl aber, dass wichtige Prozesse stillstehen.

(Foto: imago stock&people)

Düsseldorf Klemmbrett statt Tablet, Hauspost statt E-Mail: Im Klinikum Fürstenfeldbruck mussten die Mitarbeiter einige Tage arbeiten, wie es vor 30 Jahren üblich war. Der Computervirus Emotet hatte die IT-Systeme infiziert, sicherheitshalber ließ die Leitung alle PCs abschalten. Notfälle musste das Personal zwischenzeitlich zu umliegenden Krankenhäusern schicken. Patienten seien aber zu keinem Zeitpunkt in Gefahr gewesen, betonte das Unternehmen.

Auch viele andere Organisationen plagen sich derzeit mit Emotet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vermeldet eine „auffällige Häufung“ an Meldungen. Die Folgen fürs Geschäft sind wie bei der Klinik teils erheblich.

Dabei ließen sich die schlimmsten Schäden einfach eindämmen: Für die Sicherheitslücke, die das Programm ausnutzt, gibt es bereits seit anderthalb Jahren ein Update. Offenbar haben es viele immer noch nicht installiert.

Der Fall illustriert, dass es vielen Organisationen an einer Strategie für die IT-Sicherheit mangelt. Auch große Unternehmen haben durchaus Nachholbedarf, wie eine Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC zeigt, die dem Handelsblatt exklusiv vorliegt. Demnach benennen lediglich elf Prozent der Unternehmen in Dax und MDax einen Vorstand öffentlich einsehbar als Verantwortlichen für Sicherheit.

Gerade dort müsse das Thema jedoch verankert sein, sagt Jörg Asma, Partner bei PwC und in Europa für das Geschäft mit Cybersicherheit verantwortlich: „Das Risiko für die Unternehmen ist groß, die Kosten durch Cyberangriffe lassen sich kaum abschätzen.“ Zumal durch neue Gesetze wie die Datenschutzgrundverordnung (DSGVO) bei Schlampereien auch noch Strafen drohen. „Das Management muss sich für die IT-Sicherheit verantwortlich fühlen“, lautet daher die Empfehlung des Beraters.

Wenn alles stillsteht

Cyberangriffe haben das Potenzial, das Geschäft massiv zu stören. Die Reederei Maersk beispielsweise konnte im vergangenen Jahr zehn Tage lang keine Containerschiffe löschen, weil alle Computer lahmlagen. Die Kosten betrugen nach Angaben des Konzerns bis zu 300 Millionen Dollar. Und wenn es Hackern gelingt, große Datenmengen zu stehlen wie jüngst im Fall der Hotelkette Marriott, nimmt zusätzlich das Image Schaden.

Auch im aktuellen Fall könnte es für die betroffenen Unternehmen teuer werden: Nach Angaben des BSI hat Emotet in einigen Fällen geschäftskritische Prozesse gestört – die Schäden können der Behörde zufolge in die Millionen gehen. Weitere Vorfälle seien wahrscheinlich: „Wir gehen davon aus, dass die Dunkelziffer hoch ist.“

Beim Maschinenbauer Krauss Maffei Technologies liegt beispielsweise die Produktion seit dem 21. November brach, als die Attacke bekannt wurde. Nach einem Bericht der „Frankfurter Allgemeinen Zeitung“ wird die Firma von den unbekannten Kriminellen erpresst, sie sollen sich mit einer Lösegeldforderung gemeldet haben.

Das Risiko für derartige Ausfälle dürfte in den nächsten Jahren weiter deutlich zunehmen. Einer Umfrage des Weltwirtschaftsforums (WEF) zufolge sehen Spitzenmanager in den Industrieländern Cyberangriffe als größte Gefahr. Kein Wunder: Die Digitalisierung treibt alle um – sie arbeiten an digitalen Geschäftsmodellen, statten Mitarbeiter mit Smartphones aus und tauschen Daten über Cloud-Dienste aus.

Eine Aufgabe für den Chef

„Entscheidungen des Vorstands haben in vielen Fällen weitreichende Auswirkungen auf die IT und damit die Sicherheitsinfrastruktur“, erklärt PwC-Berater Jörg Asma. Die IT-Sicherheitsspezialisten sind daran aber häufig nicht direkt beteiligt. Der PwC-Untersuchung zufolge weisen nur neun der 80 Dax- und MDax-Mitglieder in ihrer Selbstdarstellung einem Vorstand die Verantwortung für die Sicherheit zu. Immerhin 38 Konzerne nennen für das Thema IT einen Zuständigen auf oberster Ebene.

Die Untersuchung mag die Situation nicht vollständig erfassen. So können Firmen die IT-Sicherheit Aufgabengebieten wie Compliance zuordnen. Andere Studien bestätigen das Ergebnis aber im Grundsatz.

So hat der IT-Sicherheitsdienstleister Kaspersky festgestellt, dass internationale Firmen, die einen Verantwortlichen für Informationssicherheit (CISO) haben, diesen häufig nicht ins Management einbinden – nur die Hälfte der 250 befragten IT-Spezialisten gab an, eng mit der Geschäftsführung zusammenzuarbeiten.

Dabei ist ein ganzheitliches Konzept nötig, um sich so gut wie möglich vor Gefahren zu schützen. „Mensch, Technik und Organisation gehören bei der IT-Sicherheit zusammen“, sagt Thomas Nowey, der beim Getränkeanlagenhersteller Krones für Informationssicherheit und Datenschutz zuständig ist. Konkret: Ein IT-Spezialist kann wenig ausrichten, wenn er weder Firewall noch Notfallplan hat.

„Die Aufmerksamkeit des Managements für IT-Sicherheit ist ein wichtiger Punkt“, betont Nowey daher. Eine Führungskraft, möglichst ein Vorstand, sollte bei der Abwehr von Cyberbedrohungen eine maßgebliche Rolle spielen. Er kann die Pläne durchsetzen und auch für das notwendige Budget kämpfen. Wenn etwa ein Technologieunternehmen die Produktentwicklung umstellen muss, geht das nur mit Nachdruck.

Ein IT-Sicherheitskonzept kann keine Angriffe verhindern – wohl aber, dass wichtige Prozesse stillstehen wie im Klinikum Fürstenfeldbruck. Der Betreiber beantwortete eine Anfrage nicht. „Unternehmen müssen eine Reihe an Maßnahmen umsetzen, um sich zu schützen, die meisten gehören aber zum Standardrepertoire“, betont das BSI. Die Behörde hat dafür das Konzept IT-Grundschutz entwickelt.

So hilft ein professioneller Umgang mit Updates, Sicherheitslücken frühzeitig zu schließen. Die Unterteilung des Netzwerks in verschiedene Segmente verhindert, dass sich Viren und Trojaner von den E-Mail-Postfächern der Mitarbeiter in die Produktionsanlagen ausbreiten können. Und regelmäßige Schulungen sensibilisieren die Mitarbeiter dafür, wie verdächtige Nachrichten aussehen.

„Das Krisenmanagement ist die Aufgabe des Vorstands“, sagt PwC-Berater Asma. „Er muss dafür sorgen, dass die Firma möglichst schnell wieder zum Ausgangspunkt zurückkommt.“

Startseite

Mehr zu: Emotet-Angriffe - Cybersicherheit ist noch immer selten Chefsache – das kann sich rächen

0 Kommentare zu "Emotet-Angriffe: Cybersicherheit ist noch immer selten Chefsache – das kann sich rächen"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote