Was viele Entscheiderinnen und Entscheider unterschätzen: Spätestens im Krisenfall liegt die Verantwortung nicht mehr bei der IT-Abteilung, sondern bei der Geschäftsleitung – organisatorisch, kommunikativ und zunehmend auch rechtlich. „Es ist alles andere als ein reines IT-Thema. Denn ein Hackerangriff betrifft in der Regel immer die Gesamtorganisation“, sagt Joanna Lang-Recht, IT-Forensikerin und Partnerin bei Intersoft Consulting Services in Hamburg.
Die entscheidenden Fehler passieren lange vor dem Angriff. Viele Unternehmen verfügen zwar über Notfallpläne, doch sie bleiben zumeist Theorie. „Es gibt manchmal ein Blatt Papier, wo ein paar Namen draufstehen“, sagt Lang-Recht – ohne getestete Rollen, ohne eingeübte Abläufe. Tritt dann der Ernstfall ein, wird improvisiert. Der Krisenstab bildet sich spontan, Entscheidungen werden unter Unsicherheit getroffen, Verantwortlichkeiten verschwimmen. Dabei ist gerade die erste Phase entscheidend: Wer spricht mit den Kunden? Wer informiert die zuständigen Behörden? Wer koordiniert die wichtigsten internen Maßnahmen? Die technische Lage lässt sich in diesem Moment kaum noch drehen. Bei einem voll ausgeprägten Ransomware-Angriff geht es laut Lang-Recht darum, Schadensbegrenzung zu betreiben – vor allem kommunikativ. „Vorsichtig gesagt kann ich in den nächsten 60 Minuten die Welt auch nicht mehr retten“, stellt die IT-Forensikerin klar.
Cybercrime als Geschäftsmodell
Die Cyberangreifer hätten sich in den zurückliegenden Jahren – auch dank der technologischen Möglichkeiten – immer weiter professionalisiert, erklärt Lang-Recht. „Cyberangriffe folgen heute arbeitsteiligen Strukturen. Zugangsdaten, Infrastruktur, Schadsoftware – alles lässt sich einkaufen.“ Sie nennt das Modell „Cybercrime as a Service“. Was sie meint: Kleinere Tätergruppen greifen auf fertige Angriffssysteme zurück und konzentrieren sich auf die Art und Weise der Umsetzung. Die Folge ist eine neue Qualität der Angriffe. Sie sind schneller, gezielter, schwerer zu erkennen. Künstliche Intelligenz beschleunigt diese Entwicklung zusätzlich. „Mal eben Phishing-Mails an 100.000 Unternehmen zu senden, in allen Sprachen – dafür brauche ich mit einer KI meiner Wahl zehn Minuten“, so Lang-Recht.
Währenddessen öffnen Unternehmen selbst immer neue Angriffsflächen für Cyberkriminelle. Viele integrieren KI-Systeme, ohne Datenflüsse zu kontrollieren. Lang-Recht erläutert: „Gefühlt jeder kann darauf zugreifen, und keiner hat mehr Kontrolle.“ Was sie außerdem beobachtet: Die Diskussion über zukünftige Bedrohungen überlagert dabei oft grundlegende Defizite in der bestehenden IT-Sicherheit.
Die größte Schwachstelle liegt ihrer Ansicht nach selten in spektakulären Sicherheitslücken, sondern im Alltag. Unbekannte Schnittstellen, vergessene Cloud-dienste, unklare Zuständigkeiten. „Vielen Unternehmen ist nicht klar, welche Assets nach außen kommunizieren“, sagt Lang-Recht. Hinzu komme der menschliche Faktor. „Phishing-Mails erreichen heute ein Niveau, bei dem selbst geschulte Mitarbeitende Fehler machen. Man kann niemandem einen Vorwurf machen, wenn man es nicht checkt.“ Entscheidend sei daher nicht die Illusion vollständiger Prävention, sondern die Fähigkeit, mit dem Fehler bestmöglich umzugehen.
Wenn Daten zur Währung werden
Besonders gravierend wird es, wenn sensible Daten von Kundinnen und Kunden betroffen sind. In den meisten Fällen werden sie nicht nur verschlüsselt, sondern auch kopiert – und später im Darknet veröffentlicht. Auf sogenannten Leak-Seiten erscheinen Unternehmen mit Download-Links zu ihren internen Informationen. Die Dimension ist erheblich: „Wir sehen pro Datensatz durchschnittlich zwischen 5.000 und 30.000 Downloads“, berichtet Lang-Recht. Die Abnehmer seien dabei nicht nur Wettbewerber, sondern auch andere kriminelle Akteure, die die Daten für weitere Angriffe nutzen. Der ursprüngliche Vorfall wird so zum Ausgangspunkt einer Kettenreaktion. Und der Schaden für das Unternehmen wird immer größer.
Wenn der Schaden bereits eingetreten ist und die ersten Notfallmaßnahmen vom Krisenstab eingeleitet worden sind, kommt die IT-Forensik dazu. Sie rekonstruiert Abläufe, identifiziert Schwachstellen, sichert Beweise – ähnlich wie Forensiker in einschlägigen Krimiserien im Fernsehen. Das klingt ein Stück weit romantisch, doch deren Möglichkeiten sind oftmals auch nur begrenzt, gibt Lang-Recht zu: „Forensik kann schließlich keine Spuren auswerten, die nicht da sind. Fehlen Logdaten oder Back-ups, bleiben zentrale Fragen des Cyberangriffs trotz der IT-Forensik unbeantwortet.“ Gerade deshalb verschiebt sich der Fokus: weg von reaktiver Analyse, hin zu struktureller Vorbereitung. Dabei kann die IT-Forensik wichtigen Input liefern – und wird dann zur Voraussetzung, um im Ernstfall überhaupt handlungsfähig zu bleiben.
Die eigentliche Herausforderung
Für Unternehmen liegt die Herausforderung nicht allein in der Abwehr, sondern im Umgang mit der Realität, dass heutzutage ein Angriff jederzeit möglich ist. Egal wie groß oder klein eine Firma ist. Lang-Recht formuliert es nüchtern: Es gehe nicht darum, Angst zu erzeugen, sondern darum, Perspektiven zu verändern. „Was passiert denn, wenn wir davon ausgehen: Uns trifft es?“ Aus dieser Frage ergeben sich die entscheidenden Maßnahmen. Wichtig seien zudem die Transparenz der eigenen IT, klare organisatorische Strukturen, eingeübte Krisenprozesse. Denn in der digitalen Ökonomie entscheidet nicht mehr nur, wer sicher ist. Sondern wer vorbereitet ist, wenn Sicherheit versagt.
