Dieses Transkript wurde maschinell erstellt. Wenn dir ein Fehler auffällt, schreib uns gerne zu diesem unter redaktion@digitalkompakt.de.
Sven Weizenegger: Hallo und herzlich willkommen zum Hackers Podcast von Digital Kompakt. Mein Name ist Sven Weizenegger und ich bin Mitgründer und CEO von SUSE Technologies und heute sprechen wir über Krisenmanagement, also darüber, wenn das Haus schon brennt. Heute lernst du als erstes natürlich etwas über unseren Gast Michael Bartsch, wie es zu einer Krise kommt, was kurzfristig getan werden muss, was die häufigsten Fehler bei einer Krise sind und Beispiele aus der Realität und vieles mehr. Lieber Michael, wir kennen uns ja schon, glaube ich, gefühlt seit 15 Jahren aus der Telekom-Zeit. Du bist mir bekannt als der Krypto-Michael, als der Mr. Simcoe oder auch als Mr. Merkel-Phone. Erzähl doch mal was über deinen Werdegang und was du aktuell eigentlich machst.
Michael Bartsch: Ja Sven, vielen Dank. Ich denke, es sind schon fast gefühlte 30 Jahre, so oft wie wir immer über irgendwelche Technologiethemen gesprochen haben. Wie gesagt, die gefühlten 30 Jahre, du hast es angesprochen, Merkel-Phone, das war zu Zeiten, als ich noch bei der T-Systems war, daher kennen wir uns ja auch. haben da viele lustige Vorträge gemacht und damals schon versucht, die Welt ein bisschen schlauer zu machen für Cyberrisiken. Da uns das heute immer noch nicht gelungen ist, sitzen wir wieder hier und reden heute über die Themen, weil Cybersicherheit ist mein Steckenpferd. Also nicht die klassische IT-Sicherheit, sondern immer das, wenn da draußen ein Gegner ist, der irgendjemand was Böses möchte. Mittlerweile bin ich Geschäftsführer der Deuter Cyber Security Solutions und wir sind Cyberkrisenmanager. Und wenn wir mal keine Cyberkrise zu managen haben, dann versuchen wir Unternehmen zu erklären, dass man sich auch vorher schon auf eine Krise vorbereiten kann, damit, wenn es passiert, es nicht ganz so schlimm kommt, wie es meistens wirklich kommt.
Sven Weizenegger: Vielen Dank. Wieso kommen denn Kunden eigentlich zu dir? Also Krise klingt jetzt erstmal, wir haben ja sehr viele Krise in der Welt, Klimakrise, politische Krisen. Wieso kommen Kunden genau zu dir? Aus welchem Grund?
Michael Bartsch: Meistens ist das so, dass die montags morgens ins Büro kommen und die Computer nicht mehr funktionieren. Manchmal die Client-Computer, also die Arbeitsplatz-PCs. Manchmal sind es die Server oder die zentralen Anwendungen. Und im Allgemeinen sucht man dann erstmal selber. Und dann dauert es meistens bis freitags abends, bis man sich dann an Polizei, BKA, Landeskriminalämter, manchmal auch an das Bundesamt für Sicherheit der Informationstechnik gewendet hat. Und irgendwie Finden die dann raus, dass man vielleicht Hilfe braucht. und dann klingelt das Telefon, meistens freitags abends zwischen 9 und 0 Uhr. Und dann ist natürlich schon meistens eine Woche vergangen und dann muss es schnell gehen, weil die Unternehmen dann merken, dass sie ohne IT-Unterstützung gar nicht mehr arbeitsfähig sind.
Sven Weizenegger: Du hast gerade erwähnt, dass die am Montag etwas merken und am Freitag rufen sie dich an. Das sind ja sehr offensichtliche Beispiele. Ja, so typischerweise ein Krypto-Trojaner, das sieht man dann auf dem Bildschirm. Ich würde behaupten, es gibt ja auch eine Vielzahl von Angriffen, die man vielleicht gar nicht so direkt merkt, weil es nicht eine direkte Auswirkung hat. Hast du auch Kunden, die glauben, ich habe so ein diffuses Gefühl, wir wissen, da ist was. abhanden gekommen, weil wir auf einer Messe Dinge gesehen haben, was vielleicht gerade bei einem Patentantrag stattfindet. Hast du auch solche Fälle?
Michael Bartsch: Das ist die klassische Spionage. Die wird manchmal von internationalen Wettbewerbern betrieben. Die werden von Staaten betrieben. Also das Thema Spionage ist sehr spannend, weil man merkt es einfach nicht. Und das ist ja auch Ziel der Spionage im Gegensatz zur Computerkriminalität, wo der Angreifer sagt, hier, ich habe was gemacht, ich möchte dafür Geld haben, dann mache ich es wieder gut. Und bei der Spionage hat man das manchmal über Jahre, dass dort die IT-Infrastrukturen kompromittiert sind. Und letztendlich merkt man das dann viele Jahre später, wenn auf einmal ein Wettbewerber ein ähnliches Produkt, ein gleiches Produkt, ein besseres Produkt oder ein schlechteres, aber sehr viel billigeres Produkt auf den Markt bringt.
Sven Weizenegger: Und ich glaube, das große Problem, was wir haben, ist, dass nach Jahren eigentlich keine Evidenz mehr vorhanden ist, wer es war, wann es genau war und was wirklich abhandengekommen ist. Die Kunden, die du hast, in welchem Segment bewegen sich eigentlich? Die Krise klingt erstmal sehr kostspielig. Wir wissen allerdings auch, dass eine Vielzahl von Kunden angegriffen werden, von SME, KMU, Richtung Mittelstand bis zu großen Enterprises. Kommt jeder zu dir gefühlt oder sind es nur die Großen, die sich das leisten?
Michael Bartsch: Sind die großen, mittlere, sind auch manchmal Privatpersonen bzw. Freiberufler wie Rechtsanwälte, Ärzte, Berater, kleine Softwareentwickler, die festgestellt haben, dass sie einen Kunden haben, der für einen Angreifer interessant ist. Aber im Schwerpunkt fokussieren wir uns beim Cyberkrisenmanagement auf kleine und mittlere Unternehmen. Wir sagen immer 50 Mitarbeiter bis 500 Millionen Euro Jahresumsatz. Dafür gründen wir auch gerade eine neue Tochtergesellschaft, die sich hauptsächlich und ausschließlich um dieses Thema kümmert, weil wir dort Infrastrukturen vorfinden und Organisationen vorfinden, die nicht im Tagesgeschäft über die Sicherheitsexpertise verfügen, die man benötigt, um solche Cyberkrisen abwenden zu können oder dass man eben zumindest mit dem geringstmöglichen Schaden durch eine solche Situation hindurchkommt. Bei den großen Konzernen hingegen ist es eher die Vorbereitung auf Stabsarbeit, Krisenräume, Strategieentwicklung. Also was sind die Themenfelder in dieser Vielzahl von digitalen Straftaten, auf die man sich vorbereiten sollte?
Sven Weizenegger: Also würdest du sagen, dass die Zusammenarbeit mit großen Konzernen sich einfacher gestaltet als mit dem klassischen KMU?
Michael Bartsch: Das sind zwei unterschiedliche Ansätze. Einfach ist das ganze Thema nicht, weil wir reden immer von Straftaten und wir reden davon, dass es gerade für inhabergeführte Unternehmen eine sehr emotionale Belastung ist, wenn von außen jemand kommt und sagt, ich trage. möchte dir Böses tun. Wenn man mal einen Auftrag nicht gewinnt, wenn man mal einen Wettbewerber hat, der besser ist, weil der Auftraggeber ihn lieber mag, warum auch immer. Aber wenn so von außen einer kommt und sagt, ich zerstöre dein Unternehmen, es sei denn, du bezahlst Geld, das ist eine ganz besondere Situation. Und gerade die Mittelständler, die suchen dann auch sehr häufig nach Fehlern, die intern gemacht worden sind. Das heißt für uns als Krisenmanager auch immer eine sehr psychologische Aufgabe, dafür zu sorgen, dass die wenigen EDV- und IT-Ressourcen, die man in einem Unternehmen hat, auch dementsprechend eingesetzt werden. Und im Allgemeinen sind die auch nicht schuld daran, sondern es ist immer das Problem verursacht. Wissen, sich mit dem Thema beschäftigen und natürlich die Einsicht, dass Computersicherheit ein Qualitätsmerkmal ist und nicht irgendetwas, was Geld kostet oder irgendetwas, was lästig ist. Man kann heute ohne Sicherheit keine Firma mehr auf hohem Niveau betreiben. Egal wie groß.
Sven Weizenegger: Du hast gerade erwähnt, inhabergeführte Unternehmen. Das heißt, wenn es passiert, dann ist das auch eine Attention da vom Management mit oberster Priorität. Im Konzern wäre das vielleicht noch ein bisschen was anderes. Da gibt es den Sicherheitsverantwortlichen. Der würde sich vielleicht darum kümmern. Manchmal sticht das vielleicht nach oben. Aber du würdest sagen, beim SME ist die Brisanz wesentlich größer bei den C-Leveln.
Michael Bartsch: Ja klar, weil dort ist sofort das gesamte Unternehmen betroffen. Sehr häufig stehen diese Geschäftsführer vor mir und sagen, das ist mein Lebenswerk. Das ist natürlich eine ganz andere Situation, als wenn man einen Großkonzern hat, der von Managern beherrscht wird, der von Stabsfunktionen beherrscht wird. Und es ist bis jetzt noch nie vorgekommen, dass ein gesamter Konzern angegriffen worden ist oder so gestört worden ist, dass die ganze Firma nicht mehr funktioniert, sondern das sind Tochtergesellschaften, das sind Teilbereiche in der Cybercrime und bei der Spionage, das Das sind so Sachen, das werden wir in den nächsten Jahren sehen, wer dort in den Bereichen Produkt und Weiterentwicklung die Nase vorn hat und ob man das wirklich auf digitale Spionage zurückführen kann.
Sven Weizenegger: Sind auch Behörden ein Kundenklientel von dir und verhält es sich da vielleicht noch ein bisschen anders?
Michael Bartsch: Behörden arbeiten natürlich gerne mit Behörden. Das heißt, Behörden nehmen im Allgemeinen ihre eigenen Dienstleister und natürlich die ganze Staatsmacht über Behördenstrukturen, die dort sind. Einige von denen kommen auch mal zu uns, aber die lassen sich meistens dann eher von größeren Unternehmen helfen, die vielleicht nicht so spezialisiert sind, aber wo man möglicherweise, wenn man denn in der Presse landet, dass man immer sagen kann, die haben das Nötigste getan und haben mit den Größten der Großen zusammengearbeitet. Weil das eben marketingträchtig sind natürlich viele große Konzerne da auch aufgestellt. Sehr häufig fragen die dann bei uns wieder an, ob wir helfen können, was wir manchmal tun, aber nicht in jedem Fall.
Sven Weizenegger: Und jetzt nehmen wir mal an, es ist passiert, es ist jetzt in den Medien, erster Tag, wie geht ihr vor? Das ist ja, wie du gerade gesagt hast, emotional sehr aufwühlend. Was macht ihr? Also macht ihr so eine Bestandsaufnahme? Wen bindet ihr ein vor allem auch?
Michael Bartsch: Genau, das Krisenmanagement, wir sagen immer, das muss in 168 Stunden, muss man alle Maßnahmen aufgesetzt haben. Das heißt, man hat eine Woche Zeit und jeden Tag steht ein anderes Programm auf der Tagesordnung. Das heißt, am ersten Tag müssen wir uns mal schauen, was ist das für ein Unternehmen, was tut das Unternehmen, wie ist es betroffen, was sind die Kundenstrukturen, was sind Lieferantenstrukturen. Hat man schon eine Täterkommunikation? Das heißt, hat irgendwo ein Angreifer gesagt, ich möchte Geld haben oder ich möchte dieses oder jenes haben? Was ist die Erpressungsforderung? Und Erpressungen machen in unserem Geschäft 95 Prozent aller Cyberkrisen aus. Und wenn wir das verstanden haben, dann schauen wir mal auf die IT-Architektur. Was ist betroffen? Welche Systeme waren im Einsatz? Und dann müssen wir natürlich schnell dafür sorgen, dass wir das Unternehmen wieder dazu bringen, wie es gewesen ist vor dem Cyberangriff. Das heißt, man muss schauen, dass die Systeme wieder laufen. Steht die Produktion? Stehen besondere Maßnahmen an? Also wir hatten im letzten Jahr einen Fall, die kam dann immer zum Monatsende. Und wenn man dann keine Personalbuchhaltung hat, dann fällt es einem Unternehmen, organisatorisch schwer, Gehälter zu bezahlen. Da muss man natürlich Workarounds machen, man muss Mitarbeiterkommunikation machen, man muss eben Maßnahmen ergreifen, die auf der einen Seite das Vertrauen der Mitarbeiter stabilisiert, dass die nicht sagen, hups, die können mich gar nicht bezahlen. Auf der anderen Seite eben auch die Kunden. Einbinden, die merken das relativ schnell, wenn etwas nicht geliefert wird, wenn etwas nicht so funktioniert, wie es funktionieren sollte. Und wenn dann noch die Presse ins Spiel kommt, weil Informationen durchsickern, dann haben wir als Krisenmanager relativ viel zu tun, weil dann rufen alle an, dann wollen alle Statements haben, dann wollen alle wissen, was ist passiert. Und das sind Dinge, die eigentlich davon abhalten, das Unternehmen wieder so auf die Beine zu stellen, dass man wieder vernünftig arbeiten kann. Und gleichzeitig auch weitere Sicherheitsmaßnahmen plant, damit zumindest der Angriff, der gerade passiert ist, nicht nochmal passieren kann. Das ist immer das Wichtigste. Man wird nicht alles vermeiden können, aber die Situation, die man gerade jetzt hat, dass die nicht gleich, wenn man alles bereinigt hat, wieder eintreten können.
Sven Weizenegger: Im Punkt der Kommunikation, gibt es einen Unterschied dazwischen, wenn der Täter geglaubt von innen oder von außen kommt? Weil du willst ja vielleicht nicht auf die Tat aufmerksam machen oder ist das in dem Fall total egal?
Michael Bartsch: Ich nenne das immer das Märchen vom Innentäter. In allen Fällen, die wir jetzt bearbeitet haben, und das sind fast 30 Fälle, sind die Innentäter nie mit Absicht dabei gewesen. Das heißt, die sind durch Social Engineering, die sind durch bestimmte Umstände auf Dinge reingefallen oder haben es gar nicht rechtzeitig bemerkt. Aber wir haben nur ganz, ganz wenige Fälle und die sind dann meistens nicht Cybercrime, sondern die sind Datendiebstahl. Das sind interne Betrugsfälle, die natürlich mit Computersystemen gesteuert und durchgeführt werden, die aber nicht im klassischen Sinne dieses Cybercrime. oder ich ärgere jetzt mal meinen früheren Arbeitgeber, weil er mich entlassen hat oder weil er mich nicht wertgeschätzt hat. Das sind ganz, ganz wenige Fälle und die führen im Allgemeinen auch nicht zum Cyberkrisenmanagement.
Sven Weizenegger: Cybersecurity ist ja kein nationales Problem, sondern Cyberangriffe passieren ja letztendlich aus aller Welt. Es gibt keine Grenzen im Internet. Inwieweit ist es erstens wichtig, für den Mittelstand zu ermitteln, wer der Täter ist? Ich persönlich glaube, es ist nicht so wichtig, weil es eher darum geht, die Tat nicht wieder vorkommen zu lassen. Und dann ist sekundär eher, glaube ich, interessant, wer es wirklich war. Bei Großkunden, bei Enterprises, bei Behörden ist das vielleicht anders. Aber wie ist ja deine Sicht auf die Dinge, insbesondere im Zusammenspiel mit, wenn man glaubt, ich sage immer glaubt mit Absicht, wir kommen auch gleich dazu zu sprechen, wieso ich das mit Absicht sage. Wenn die Angriffe aus China oder aus Russland kommen, wie ist da die Zusammenarbeit auch international?
Michael Bartsch: Ja, das ist immer so ein zweischneidiges Schwert. Zum einen geht es ja darum, dem Unternehmen, der betroffenen Behörde, der Firma zu helfen, schnell wieder arbeitsfähig zu werden und auf der anderen Seite natürlich auch der Polizei zu ermöglichen, ihren Strafverfolgungsauftrag durchzuführen. Wir zum Beispiel nehmen keine Fälle, bei denen unsere Kunden sagen, bitte nicht zur Polizei gehen. Es gibt immer Themen, wo man die Polizei benötigt, auch wenn ein Unternehmen das jetzt nicht als sonderlich sinnvoll ansieht, weil die wollen halt schnell arbeiten und denen ist der Täter meistens egal. Aber das bringt mich dazu, einfach mal vielleicht ein paar Beispiele zu bringen, wo das eben wichtig ist, dass man die Polizei hat und wie man eben mit nationalen oder internationalen Tätergruppen umgeht. Zum einen hatten wir 2018 einen Fall, das fing an mit einer klassischen Denial-of-Service-Attacke, so ein klassischer DDoS-Angriff, in dem man einfach die aus dem Internet erreichbaren Systeme durch Überfrachtung von Anfragen ausschaltet. Das ist erstmal gar nicht so schlimm, das kommt relativ häufig vor. Das ist so im klassischen Sinne eine Sabotage, die aber gekoppelt wird mit einer Erpressungsforderung. Und in dem Fall hatten wir ganz massive DDoS-Angriffe, aber keine Erpressungsforderung. Also stellt man sich die Frage, warum passiert das überhaupt? Und dazu ist es relativ schwierig, die Tätermotivation rauszufiltern. Und wir haben dort Methoden entwickelt, das sogenannte Crime Mapping, wo wir einfach mal versuchen, was ist die Tätermotivation? Und eine Tätermotivation spielt sich in einem sogenannten Täterkorridor ab. Das heißt, wir reden über Sabotage, Spionage, Cybercrime, über Hacktivism, also um Meinungsverschiebung zu bestimmten Situationen, seien sie politisch, seien sie produktbezogen. Und das ist genau das Interessante daran, wenn man eben keine Erpressungslage hat. Und dann kann man natürlich nicht sagen, das waren jetzt die Russen oder die Chinesen oder die Inder oder jemand aus Luxemburg oder Lichtenstein, um auch mal andere Länder zu nennen. Weil meistens ist es ja nicht Russland oder China, sondern es sind einfach Tätergruppen, die aus diesen Ländern kommen. Und das macht die Sache natürlich so schwierig, dass man dann eben sehr tief in einem Unternehmen herumwühlen muss, um rauszufinden, warum ist es denn angegriffen worden. Das war ein Fall. Wir haben dann jede Woche neue technischen Maßnahmen gemacht und der Angreifer hat immer wieder eine neue Angriffswelle gestartet und immer andere und immer komplexere Methoden benutzt. Und dazu muss man dann eben auf der Krisenmanager-Seite ein sehr feinfühliges Verständnis für die jeweilige Organisation entwickeln. Und wir haben dann am Ende auch die Tätermotivation herausfiltern können. und waren somit in der Lage, mit der Polizei die Täter zwar nicht zu fangen, aber zumindest davon abzuhalten, an dem Angriff weiterzumachen.
Sven Weizenegger: Du hattest vorhin das Thema Erpressung angesprochen. Man kriegt häufig die Frage, insbesondere wenn man sich im Versicherungsumfeld bewegt, wie ich das die letzten zwei Jahre auch gemacht habe, sollen wir zahlen? Was ist dann deine Meinung dazu?
Michael Bartsch: Ich habe immer gesagt, man soll nicht zahlen. Das sollte man auch nicht. Weil man unterstützt damit Tätergruppen, die mit dem Geld in die Lage versetzt sind, neue Angriffe zu entwickeln. Und man weiß einfach nicht, was mit diesem Geld, das man dort bezahlt. Und wir reden ja nicht über wenig Geld. Wir reden ja für Unternehmen, erschwingliche Größen, aber für Privatpersonen unvorstellbare Gelden. Das heißt, wenn so ein mittelständisches Unternehmen angegriffen wird, so in der Umsatzgruppe 30 bis 100 Millionen Euro, dann möchten die Täter 50 Bitcoins haben. 50 Bitcoins, das sind so um die 350.000 Euro. Das heißt einmal mal so ein Einfamilienhaus. Nicht gerade in Berlin-Mitte, aber in vielen Bereichen kriegt man dafür schon ganz nette kleine Eigentumshäuser oder Wohnungen. Das ist die Menge Geld, von der wir reden. Jetzt gibt es aber Situationen, wo Unternehmen so schlecht auf die IT-Angriffe vorbereitet sind, dass die keine Datensicherung haben. Das heißt, der letzte Anker, den man hat, ist möglicherweise zu zahlen, dass man seine Daten wiederherstellen kann. Das ist zwar kein Garant, dass das passiert, aber man muss mittlerweile sagen, die Tätergruppen, die wir erlebt haben, die sind so hoch professionell, die bieten Hotline-Support, die haben eine E-Mail-Adresse, wo man Fragen stellen kann. Die Tools und diese Entschlüsselungsroutinen, die die entwickelt haben, die funktionieren allgemein sehr gut. Wobei das nicht auf Knopfdruck passiert. Das ist ein erheblicher Aufwand, diese Daten dann mit diesen vom Täter bereitgestellten Systemen wiederherzustellen. Aber es funktioniert. Wenn man in der Lage ist, eine Datensicherung zu nutzen, wenn man sich im Vorfeld dazu Gedanken gemacht hat, wie solche Angriffe funktionieren, dann muss man nicht zahlen. Das heißt, man hat zwar den gleichen Ärger, Und auch die gleichen Kosten. Aber das Einfamilienhaus kann man sich dann selber bauen. Das ist dann schon nicht weg, das Geld. Und gerade für international tätige Unternehmen, es ist nicht in jedem Land erlaubt, Erpressungszahlungen durchzuführen. Es gibt Länder, wo das strafbar ist. Das heißt, da braucht man natürlich auch die passende globale Expertise und Rechtsberatung, ob es denn Sinn macht, solche Zahlungen eben in bestimmten Ländern zu leisten, weil eine Tochtergesellschaft im Ausland angegriffen worden ist.
Sven Weizenegger: Wir haben das als Thema Attribution, was in der Branche mal heftiger, mal weniger heftig diskutiert wird. Besonders heftig dann, wenn was passiert, wenn man das in den Medien merkt, besonders wenn es auf behördlicher Ebene passiert, auf staatlicher Ebene. Und ich persönlich halte Attribution für ziemlich ein Murks, weil die Brisanz dahinter ist nämlich wie folgt, dass man nämlich glaubt, mit einer richtigen Attribution, das heißt jemanden dingfest machen und ermitteln zu können, wer es wirklich war, der Meinung ist, man könnte neben Cybermitteln auch konventionelle Mittel benutzen, wie in der klassischen Kriegsführung. Wichtiges Thema oder ist das eher so beiläufig?
Michael Bartsch: Ja, man muss da mal zwei Ebenen unterscheiden oder drei Ebenen. Das, wo wir uns im Tagesgeschäft beschäftigen, ist Cybercrime und alles, was mit Datenausspähungen für finanzielle und Wettbewerbsvorteile zu tun hat. Das Thema Attribution kommt aus dem zwischenstaatlichen Willen, Cyberangriffe einem Staat zurechnen zu können. Das heißt, wir sehen heute durch Spionageaktivitäten immer wieder die Frage, die aufkommt, wo ist die Grenze zwischen staatlicher Spionage, zwischen gut gemeinten Cyberangriffen und ab wann ist es ein kriegerischer Akt? Und die Schwierigkeit ist natürlich, dass man bei einem kriegerischen Akt, rausfinden möchte, wer ist es denn gewesen. Das heißt, auf der Ebene von Staaten ist die Attribution ein sehr wichtiges Thema. Sehr häufig sagt man dann im Bereich der Strafverfolgung, man muss den einzelnen Cyberangriff auch attributieren können. Das ist aber eine Straftatenzurechnung auf einen Täter. Da ist Attribution eigentlich das falsche Wort. Aber man hat dort natürlich in den globalen Tiefen des Internets die gleichen technischen Schwierigkeiten. Man weiß nicht, wo sitzt die Person, über welche Kanäle, Gateways, Infrastrukturen, Ländergrenzen hinweg, über Gateways, Zusammenarbeit mit anderen Beteiligten in anderen Ländern, wie man das zuordnen soll. Und deswegen glaube ich, dass das Thema Attribution natürlich insbesondere für die großen Technologiestaten Asien, Russland, China, China von großer Bedeutung ist und natürlich auch in Europa, gerade für Deutschland sehr wichtig. Aber wenn man mal Parallelen zieht, wer sollte denn ein Land angreifen, ohne nicht im Vorfeld schon Spannungen zu haben? Das macht man aus dem Internet heraus nicht einfach so aus Spaß. Und das ist das Gleiche eben dann auf der Ebene, wenn wir Tätergruppen auf der Spur sind bei Cybercrime-Vorfällen. Wir attributieren immer über das jeweilige Geschäftsmodell. Klassisches Cybercrime ist einfach. Gelegenheit macht Cyberangriff. Wer ungeschützte Infrastrukturen hat, wird eher Opfer von Cyberangriffen. Das nimmt zu. Wir haben jede Woche bestimmt fünf oder zehn große Fälle in Deutschland. Viele gehen mittlerweile zur Polizei, viele auch nicht. Das Dunkelfeld ist relativ hoch. Und dabei ist es dann eben wichtig, dass wenn man nicht über Crime redet, sondern über Spionage, da muss man genau schauen, wer ist der Wettbewerber? In welchen Ländern ist man tätig? Wem tritt man möglicherweise mit einem neuen Produkt im Ausland auf die Füße? Das heißt, wir, will ich sagen, attributieren, aber wir grenzen die Tatmotivation über das Business-Geschäftsfeld ein. Und es wird keiner Deutschland digital in Schutt und Asche legen, wenn es nicht vorher schon auch innerstaatliche Konflikte oder Spannungen gibt. Deswegen ist das immer so ein Denkspiel, ein Denkmuster. Und ich glaube, dass Länder wie Amerika und China sehr wohl daran arbeiten, das gesamte Internet so genau zu kartografieren, dass man wirklich attributieren kann. Aber mal ganz ehrlich, die meisten Unternehmen wissen nicht, wie viele Computer in ihren Netzen sind, welche Anwendungen sie haben. Wenn wir das auf der globalen Seite des Internets betrachten, wissen wir das auch nicht. Und solange wir das nicht wissen, wird die Attribution nicht funktionieren.
Sven Weizenegger: Also wir sollten erstmal unsere Basics beherrschen. Ja. Du hattest die Ermittlungsbehörden erwähnt und ich glaube, wir sind uns darüber einig, dass eigentlich alles zur Anzeige gebracht werden sollte. Auch mit dem Wissen, dass die Ermittlungsbehörden vielleicht nicht in der Lage sind, den Täter dingfest zu machen. Aber das Wichtige ist, dass, sag mal so, die Statistiken nach oben getrieben werden, damit nämlich die Behörden gegenüber ihren Vorgesetzten argumentieren können, dass man mehr Leute braucht. Wir haben ja einen immensen Mangel an Personal im Cyberspace oder im Cybersecurity-Bereich. Das heißt, das Know-how fehlt. Wie ist denn deine Sicht auf das Thema Nachwuchskräfte und was muss da eigentlich noch gemacht werden, damit die Politik Zeit besser und effizienter wird? Weil das ist ja deren Aufgabe letztendlich.
Michael Bartsch: Ja, das ist ganz schwierig. Also wenn wir mal alle in einen Topf schmeißen, haben wir eh nicht genug Nachwuchskräfte in den MINT-Studienfächer. Also Mathematik, Informatik, Naturwissenschaften und Technik. Und gerade diese Komplexitäten in der IT, die sich dann mit Sicherheit beschäftigen, da wird der Korridor immer schmaler. Und dann gibt es natürlich große Konzerne, die mit großen Gehältern schon junge Nachwuchskräfte locken können, auch mit Trainee-Programmen und ähnliches. Das gibt es natürlich bei den Sicherheitsbehörden so in der Form nicht. Wobei man sagen muss, dass die mittlerweile auch ein bisschen besser aufgestellt sind, was internationale Reisetätigkeiten, internationale Kooperationen anbelangt. Aber es fehlen dort einfach viele, viele Menschen, weil diese digitalen Straftaten werden bei zunehmender Digitalisierung steigen. Und ich glaube, dass die Steigerungskurve der Digitalisierung auch eine Steigerungskurve in den Straftaten mit sich zieht. Und das muss auch eine Steigerungskurve in der Masse der Mitarbeiter, aber auch in der Klasse sein. Und das ist eines der größten Herausforderungen, dass viele IT-Security- Firmen, Berater sagen, sie machen Cyber, weil sie machen eigentlich IT-Sicherheit. Und auf der Polizeiseite macht man Cyber. Also die machen jetzt keine Firewall-Implementierung oder keinen Virenschutz installieren. Die empfehlen das, dass man das tut, aber die tun das nicht selber. Die sind daran interessiert, diese Straftäter zu fassen. Und dazu muss man schneller werden. Man muss globaler, schneller kooperieren können. Es gibt jetzt so ein paar Gesetzesvorlagen wie die E-Evidenz-Verordnung, dass man schnell Informationen aus anderen Ländern bekommt. Das wird sich einspielen müssen. Aber die Täter sind so schnell, das wird eine Zeit lang dauern, bis Staaten auf dem Niveau sind, dass sie es tun. Und wir haben sehr starke regionale Unterschiede. Wir haben keine Standardisierung, wir haben keine Qualitätsstandards. Also das sind so Dinge, die müsste man auch politisch mal adressieren, das auf einem Niveau zu bringen in Deutschland, in Europa mit weltweiten Kooperationspartnern, dass man eben sehr schnell in der Lage ist, unter gleichen Standards und gleichen Voraussetzungen diesen Herausforderungen der Cybercrime-Täter zu begegnen.
Sven Weizenegger: Das heißt, wir müssen wesentlich mehr automatisieren, damit die entsprechende Skalierung eintritt, weil es die Leute nicht gibt.
Michael Bartsch: Ja, das mit der Automatisierung ist ja immer so eine Sache. Man weiß ja nicht, wo der nächste Angriff ist. Und man kann nicht hingehen als Staat, durch Automatisieren Zugriff auf private Infrastrukturen fordern und dann passiert nichts. Also da muss man sich wirklich mal überlegen, wie sehen denn optimierte Prozesse der Strafverfolgung aus und wie sehen Kooperationsmöglichkeiten aus. Und wir sehen immer wieder als Krisenmanager, dass beide Seiten zusammen sehr viele Reibungsverluste haben, wenn die IT von einem Unternehmen oder die Geschäftsleitung von einem Unternehmen mit den jeweiligen Funktionen und Verantwortlichkeiten bei den Strafverfolgungsbehörden reden. Also da redet man sehr häufig immer noch ein bisschen aneinander vorbei.
Sven Weizenegger: Wir haben sehr viel über reaktive Maßnahmen geredet. Das heißt, das Kind ist schon in den Boden gefallen. Das Haus brennt schon. Das ist natürlich einerseits gut für dich, weil es die Auftragsbücher füllt. Allerdings möchte man es ja eigentlich nicht. Das ist ja ein sehr nervenaufreibender Prozess, den ich auch niemandem wünsche übrigens. Wie hilfst du deinen Kunden denn proaktiv, damit es erst gar nicht dazu kommt? Weil man sagt ja auch, Vorbeugung ist die beste Medizin. Was sind so deine Maßnahmen neben den typischen, sag ich mal, Awareness-Kampagnen? Wobei man auch sagen muss, dieses Victim-Blaming gegenüber dem Mitarbeiter, da bin ich auch kein Freund von. Ja. Wenn ich mir Websites angucke, das größte Einfallstore ist der Mitarbeiter. Dann muss ich mir die Frage stellen, wie kann es sein in unserer Branche, und ich glaube, wir sind gefühlt die einzige Branche, die das macht, die den Mitarbeiter als etwas Böses darstellt. Ich würde sogar eher sagen, der Mitarbeiter ist ja eigentlich die Lösung. Man will ja Leute bei sich einstellen und nicht vergraulen. Das ist aber vielleicht so ein Soziallekt, den wir haben, sondern so eine Ansprache, die ich nicht schön finde. Wie siehst du das Thema Awareness im Allgemeinen? Natürlich ist das ein wichtiges Thema. Aber dieses Victim Blaming, hilft das wirklich? Oder ist das nicht wirklich durchdrungen worden von einigen Marktplayern?
Michael Bartsch: Was wir sehen, ist, dass viele Awareness-Maßnahmen einfach im Sande verlaufen, weil wenn ein Unternehmen keine ausgeprägte Sicherheitskultur hat, also wenn man nicht als Unternehmen für sich entscheidet, dass die Sicherheit von den IT-Systemen, Der ganz normale Arbeitsplatz eines Mitarbeiters, der Leitrechner einer Industrieanlagensteuerung, eine Lagerverwaltung, ein Kundengateway. Wenn man das nicht definiert als qualitative Maßnahme oder als Qualitätsmerkmal für die eigenen Produkte, dann wird man diese Sicherheitskultur nicht aufbauen können. Die IT-Industrie hat natürlich, gerade letzte Woche haben wir beide ja darüber gesprochen, dass E-Mail gemacht worden ist, um Attachments zu versenden und jetzt soll man da nicht mehr draufklicken. Das geht ja natürlich nicht. Und von einer Million Klicks ist vielleicht der eine dabei, der gerade infiziert ist. Dafür kann man aber Technologien kaufen. Die sind natürlich kein hundertprozentiger Schutz, aber sie machen es den Angreifern auch nicht einfach. Und wenn man das schon nicht vermeiden kann, dass es Angreifer gibt, dann muss man es zumindest detektierbar machen. Also dass man feststellt, da stimmt irgendetwas nicht, da muss jetzt mal einer nachgucken. Und in dem Moment, wo wir nachgucken, haben wir ein Notfallmanagement, das dafür sorgt, dass eben keine stärkeren Infektionen oder Angriffe durchgeführt werden können. Und das ist natürlich eine Aufgabe, die muss man vorher machen. Und wir haben die Feststellung gemacht, wenn ein Unternehmen Opfer von Angriffen geworden ist, dann kommt natürlich die Erkenntnis und dann wird die Präventionsarbeit gemacht, aber halt nach dem Angriff. Da ist das Kind schon einmal im Brunnen gefallen. Man kann im Vorfeld natürlich sehr viel tun. Und da muss ich sagen, da hat die IT-Industrie in den letzten Jahren auch nicht sonderlich viel dazugelernt, weil wenn wir, nehmen wir ein Analogiebeispiel, wenn wir im Internet surfen und einen Urlaub auf den Malediven suchen und wir dann vier Wochen später eine neue Bohrmaschine kaufen wollen, kriegen wir Maledivenurlaub eingeblendet. Da wird unser Konsum gesteuert über die Personalisierung von verfügbaren Informationen im Internet. Was wir aber noch nicht geschafft haben, ist die Security zu personalisieren. Und das ist das, was wir mit dieser neuen Tochtergesellschaft machen, dass wir in der Lage sind, ein Risikoprofil für jedes Unternehmen aufzuzeigen und zu sagen, welche technische Maßnahme bringt wie viel und mit welchen Produkten und Systemen und Organisationen tut man das. Und wenn man das macht, dann ist das so, als geht man zum Arzt und der stellt dann fest, ja, man hat da irgendwas und dann gibt es eine Genesungspfad. Und wir bauen genau diesen Genesungspfad für Unternehmen auf dem Weg hin, zu einer gut dokumentierten, spürbar hohen Sicherheitsarchitektur, die auf jeder Größe eines Unternehmens und vor allen Dingen auf jedem Ressourcen- und Skill-Level eines Unternehmens sicher betreibbar ist, sodass die Unternehmen wirklich auf ihr Kerngeschäft fokussieren können und nicht den ganzen Tag sich mit Security rumschlagen und rumärgern müssen.
Sven Weizenegger: Du erinnerst dich vielleicht, wir haben vor einigen Jahren in der T-Systems sogenannte Cybersecurity-Incident-Simulationen gemacht. Das zielt ja genau darauf ab, dass man sich mit dem Unternehmen beschäftigt, mit dem Geschäftsmodell, was für mögliche Krisen können auftreten, wie wird kommuniziert. Und das als Anekdote vielleicht auch, das war sehr interessant, weil letztendlich wir die Vorstände in einen Raum geholt haben, die letztendlich auf einem Hot Seat saßen und dann unter Druck gesetzt wurden. Das war deswegen so interessant, weil wir konnten nicht gewinnen. Egal, was sie gesagt haben und getan haben, am Ende des Tages ist doch irgendwie was passiert. Allerdings mit einem Zeitdruck, den sie nicht gewohnt sind in der Art und Weise und vor allem auch mit einem Kenntnisstand, den sie gar nicht haben und entsprechend auch gar nicht bewerten können. Das heißt, es ist eine sehr unkomfortable Position. Ihr macht, glaube ich, auch sowas, richtig? Beschäftigt euch wirklich sehr tailored, sehr zugeschnitten mit dem jeweiligen Unternehmen und spielt auch so Videos ein, dass man wirklich fühlt, das ist jetzt mein Unternehmen, weil viele Empfehlungen sind sehr allgemein und ich glaube, man fühlt sich nicht so abgeholt. Ich werde auch häufig gefragt bei Keynotes, können Sie nicht ein Hacking machen, so Live-Hacking? Lehne ich immer ab? Dann werde ich gefragt, wieso lehnen Sie das denn ab, Herr Weiznäger? Dann sage ich, das ist wie folgt. Jetzt mache ich einen Live-Hack, der übrigens nicht live ist. Der ist ja immer ein bisschen vorbereitet, wenn man ehrlich ist. Ja, in den meisten Fällen nicht. Dann ist man sehr erstaunt und dann diskutiert man noch fünf Minuten darüber beim Catering und dann geht man raus in die Sonne und stellt fest, ah, die Vögel zwitschern, in zwei Tagen ist das wieder vergessen. Genau.
Michael Bartsch: Und wenn es passiert, ist es genau andersrum. Dann ist es eben nicht vergessen. Das heißt, diese ganzen Inzidentübungen, seien sie technisch oder organisatorisch, sind Schulungen, Kampagnen, Planspiele, damit Unternehmen verstehen, was denn da passieren kann. Aber die erste Frage, wenn wir zu einem Unternehmen kommen, ist immer, guten Tag Herr Bartsch, warum ich? Und dieses warum ich, das kann man mit diesen Schulungen, wenn sie allgemein gehalten werden, einfach nicht rausfinden. Das heißt, wenn wir für Konzerne oder für den gehobenen Mittelstand solche Projekte planen, dann beschäftigen wir uns mit einem kleinen Team sehr intensiv drei, vier Monate lang mit dem Unternehmen. Das heißt, wir müssen organisatorische Schwachstellen, technische Schwachstellen, Wir müssen Skills und Fähigkeiten bewerben und dann ein Szenario entwickeln, das wirklich für dieses Unternehmen relevant ist. Und wir sprechen von sogenannten Referenzszenarien, weil Cybercrime ist jeder betroffen. Aber wenn wir im Bereich Spionage, Wettbewerbssituationen, globale Marktpositionen, neue Produkteinführungen uns das anschauen, Patente ist immer so ein Kronjuwelen, ist immer so ein Thema. Und wenn wir das gezielt auf diese Unternehmen zuschneiden, dann hat man ein Referenzszenario. Und daran kann man jede Maßnahme verproben. Das heißt, wenn dann der IT-Leiter oder, wenn es den gibt, der Sicherheitschef kommt oder, was viel häufiger der Fall ist, wenn eine vertragliche Auflage kommt, das heißt, ein Kunde sagt, ich möchte einmal Datenschutz, ich möchte Informationssicherheit, ich möchte ein Datenschutz. oder ein Auditrecht haben, in ihrer Zuliefererinfrastruktur Prüfungen zu machen, weil sie Teil meines eigenen Produktes oder Geschäftsmodells sind, dann ist es eben wichtig, solche Referenzszenarien zu haben. Und wir sehen immer, dass nur ganz wenige Unternehmen heute allein dargestellt sind im Markt, sondern sehr viele sind Teil einer höherwertigen Zukunft. Weil sie Zulieferer sind, weil sie Forschungs- und Entwicklungspartner sind, weil sie bestimmte Outsourcing-Leistungen übernehmen. Da ist es dann schon sehr relevant, wirklich zutreffende Szenarien zu machen. Und man kann dann an diesem Referenzszenario die Wirkung jeder einzelnen Maßnahmen und Technik und Organisation verproben. Und deswegen dauern Umstände. Unsere Planspiele im Schnitt zwischen drei und sechs Monate und bei anderen Anbietern manchmal vielleicht nur einen Nachmittag. Das ist so eine typische Awareness-Kampagne. Aber die Chefs sagen dann, ich habe das doch jetzt gemacht. Dann bin ich ja sauber und sicher. Oder sehr häufig kommen die Fragen, ja, wir hatten ja die Hacker im Haus. Das heißt, man hat vorher einen Penetrationstest gemacht. Und hat mal irgendwas überprüfen lassen. Und das ist eben immer bezogen auf die Technologie. Aber das, was wir in Cyber sehen, ist immer geschäftsgetrieben. Das ist nie technologiegetrieben. Technologie ist immer nur Mittel zum Zweck.
Sven Weizenegger: Du hast gerade das Warum-Ich erwähnt. Das finde ich sehr interessant. Der ehemalige Sicherheitsberater von Howard Schmidt hat mal bei einer Konferenz gesagt, es gibt bei einem Cybervorfall immer zwei Probleme. Es gibt einmal den K.O. durch den Angreifer, wenn man es dann gemerkt hat, und es gibt den K.O. durch die Medien. Das heißt, man möchte eigentlich gar nicht darüber reden. Und wenn es dann in den Medien auftaucht, dann wird sofort draufgehauen, meiner Meinung nach. Glaubst du, wir brauchen eine andere Kultur in der Art und Weise, wie wir mit Vorfällen umgehen? Weil es passiert ja jeden Tag. Man kann es ja gar nicht vermeiden. Die Frage ist ja nur, wann es passiert, nicht ob. Braucht man eine andere Kultur in den Medien, um damit umzugehen, um das Thema vielleicht auch anders zu kommunizieren, besser zu kommunizieren, für mehr Aufmerksamkeit zu sorgen? Weil es ist ja ein sehr großes angstgetriebenes Thema. Wäre das nicht besser, wenn man das einfacher kommuniziert und besser kommuniziert über den Menschen, die da draußen sind?
Michael Bartsch: Also wir nennen ja in solchen öffentlichen Formaten, wie wir das jetzt hier machen, in so einem Podcast natürlich keine Firmennamen. Man kann aber mal in den großen Online- und Printmedien unseren Firmennamen googeln, dann findet man das. Und da gibt es ein sehr schönes Beispiel. Dort hat ein Täter bei einem Unternehmen, das nicht zahlen wollte, die Presse informiert darüber, dass die das Unternehmen angegriffen haben und dass sie im Vorfeld relevante Daten gestohlen haben und die dann auch veröffentlicht. Und an der Stelle reden wir ja nicht mehr von Journalismus oder von Medien, sondern ich nenne das immer Verwertungsberichterstatter. Da schreibt der eine von dem anderen ab, sobald man irgendwas Spannendes hat. Und jeder macht so ein bisschen stille Post und dichtet etwas dazu. Und in diesem Fall haben wir dann, nachdem der Angreifer, und das ist auch neu, dass der Angreifer so funktioniert, frontal und direkt mit Unternehmen selbst, mit deren Kunden und den Medien kommuniziert, hat er einfach in England ein namhaftes Magazin, Online-Magazin, Technologie-Magazin, über diesen Vorfall informiert. Die haben sich bei der Firma gemeldet, die haben auf Krisenmanager, also auf uns verwiesen. Wir haben das übernommen und innerhalb von 24 Stunden haben wir über 1000 Medienberichte rausgeschickt. Wir haben sechs Radiointerviews, vier Fernsehinterviews gehabt. Das sind solche Mechanismen, wo man sagt, Wenn man denn sowas hat, dann wird draufgehauen. Und zwar nicht auf den Täter, sondern auf das Unternehmen, das die Hausaufgaben nicht gemacht hat. Und das war ja schon immer klar, dass dieses Unternehmen keinen Wert auf IT-Sicherheit liegt. Und, und, und, und, und. Und das ist eine Wahrnehmungsverschiebung. Da kann man aber der Journalie keinen Vorwurf machen, weil das sind nicht mehr die klassischen Journalisten, sondern das sind Menschen oder Maschinen, die darüber schreiben, sehr reißerisch, was passiert ist, um einfach Auflagen und Klicks und Ähnliches in die Höhe zu treiben. Und es ist sehr, sehr schwer. Wir selber arbeiten mit mehreren Investigativjournalisten zusammen. Aber das ist so ein Thema, wo man auch nicht so richtig rein will, aber gerne drüber schreibt. Ich glaube, da ist noch ein bisschen Medienaufklärarbeit zu tun. Aber was wir sehen, dass bestimmte große Medienhäuser, Fernsehanstalten jetzt angefangen haben, Fachexpertise festzulegen. für diese Digitalthemen aufzubauen und damit eben auch für digitale Straftaten und Cybercrime. Und da hat man dann auch einen Ansprechpartner. Aber die haben halt nicht den Power wie Online-Medien, wie Twitter, wie Social Media. Und das ist nur sehr, sehr, sehr schwer in den Griff zu bekommen. Und da hauen dann einfach gut gemeinte Aktivisten drauf und erzählen dann Dinge, die nicht wahr sind. Und das ist für einen Krisenmanager dann sehr schwierig, das eben wieder auf einen vernünftigen Weg zu bringen, weil die betroffenen Kunden dieser Unternehmen oder die Lieferanten Die werden dann sehr genau in der Nachfrage und das führt dann manchmal zu 40, 50 bis zu 100 einzelvertraglichen Audits, die man durchführen muss und das ist schon sehr viel Arbeit für Unternehmen.
Sven Weizenegger: Wir kommen jetzt zum Ende der aktuellen Folge. Ich würde gerne pragmatisch nochmal werden wollen für die Zuhörer. Was sind aus deiner Sicht so die Do's und Don'ts bei einem Cybervorfall? aus deiner Sicht, aus deiner Erfahrung?
Michael Bartsch: Datensicherung haben. Wer eine gute Datensicherung hat, die man nicht beschädigen kann, der muss nicht bezahlen. Kann immer noch schwerwiegende Folgen haben, aber man hat dieses Datenproblem nicht. Man muss dafür sorgen, dass man gut dokumentiert ist, dass man Nachweispflichten bringen kann, weil das ist das, was im Vertragsrecht hinterher schwierig ist. Man muss ehrlich mit den Mitarbeitern sein. Die Mitarbeiterkommunikation ist ganz, ganz schwierig in solchen Situationen. Technik blenden wir an der Stelle aus. Das ist immer ein lösbares Problem, immer nur limitiert durch Budgets und durch Skills und Ressourcen. Das nehmen wir so einem Unternehmen ab und legen das auf so einen Genesungspfad über mehrere Monate oder Jahre. Aber wir haben sehr viele Angriffe, wo 20, 30 Mitarbeiter kündigen, weil man schlecht kommuniziert hat. Und das ist eben wichtig. Man muss ehrlich sein, man muss die Dinge anpacken, man muss sich beraten lassen, man muss diese Tipps, die wir den Unternehmen geben, auch annehmen. Und dann kommt man eigentlich ganz gut durch die Lage. mit dem Thema beschäftigen, Technik und Organisation in kleinen Schritten in eine sichere Unternehmenszukunft führen, eine kleine Strategie entwickeln, im Vorfeld mit wichtigen Kunden und Partnern über Anforderungen reden, weil die technischen Kosten eines Angriffes, die sind gar nicht mal so hoch. Businesskosten, das ist das, was weh tut und da muss man sich im Vorfeld drum kümmern.
Sven Weizenegger: Und der Kulturaspekt, da spielt, glaube ich, auch ein wichtiges Thema mit hinein, dass auch die Führungskräfte natürlich eine Rolle haben und ein Vorbild sein müssen. Wir erleben ja sehr oft, dass der CEO dann seine eigene Lösung haben möchte. Anstatt Android gibt es ein iPhone. Das sind so Dinge, die man vielleicht auch betrachten sollte. Das heißt, der Fisch stinkt vom Kopf. Meine Abschlussfrage an dich, wenn du einen Wunsch hättest und auch gern mehrere, um den Cyberspace, ich nenne es jetzt mal so, sicherer zu machen, was wäre das?
Michael Bartsch: Hören Sie diesen Podcast, bereiten Sie sich darauf vor, stellen Sie die richtigen Fragen, rufen Sie bei uns an und darauf hoffen, dass man diese Warum-ich-Frage sich nicht stellen muss. Das ist keine Lösung. Die Dinge anpacken und auf dem Weg zum Ziel nicht die Lust verlieren und die Dinge so nutzen, wie sie da sind und nicht immer versuchen, an der einen Stelle viel zu viel zu machen und an der anderen Stelle viel zu wenig und immer in die eigenen Mitarbeiter investieren.
Sven Weizenegger: Meinung sagen können. Vielen Dank, lieber Michael. Du und ich gehen jetzt ein Bierchen trinken. Das haben wir uns verdient. Und bis bald.
