Am 26.09.2024 findet ab 17 Uhr im neuen Redaktionsgebäude der Frankfurter Allgemeine Zeitung ein hochkarätig besetztes F.A.Z. Towergespräch zur Frage „Cyberwarfare und Cybercrime – welche Szenarien drohen deutschen Unternehmen?“ statt. Veranstaltet wird das Event vom Geschäftsbereich F.A.Z. Konferenzen in Zusammenarbeit mit dem Beratungsunternehmen FTI Consulting. Der Deutsche AnwaltSpiegel ist als Kooperationspartner mit an Bord. Die Brisanz des Themas liegt auf der Hand: Die zum Teil kriegerischen Konflikte rund um den Globus finden immer mehr auch im digitalen Raum statt. Die globale Vernetzung ist nicht nur eine Chance für Fortschritt und Wohlstand, sondern immer öfter auch eine enorme Bedrohung für Parteien, kritische Infrastrukturen und Unternehmen. Cyberkriminalität und Cyberwarfare stellen Unternehmen und die Gesellschaft vor immense Herausforderungen. Fehlerhafte Entscheidungen in diesem Bereich können zu massiven finanziellen Schäden, Reputationsverlusten und sogar schwerwiegenden Sicherheitsrisiken führen. Hinzu kommen feindliche Aktivitäten anderer Staaten als Teil von hybrider Kriegsführung, Industriespionage, politischer Einflussnahme und gezielter Angriffe auf kritische Infrastrukturen wie Flughäfen und Unternehmen.
Das F.A.Z. Towergespräch bringt hochrangige Experten aus Wirtschaft und Sicherheitsbehörden zusammen, um die aktuellen Bedrohungen durch Cyberkriminalität und Cyberwarfare zu beleuchten und effektive Gegenmaßnahmen zu diskutieren. Mitwirken werden: Prof. Dr. Haya Schulmann (Professur für Cybersicherheit, Universität Frankfurt am Main), Prof. Dr. Roman Poseck (Hessischer Minister des Innern, für Sicherheit und Heimatschutz), Renato Fazzone (Geschäftsführer FTI Consulting DACH), Hans-Peter Fischer (Senior Managing Director, Leiter Cybersecurity, FTI Consulting DACH), Michael Grams (Referatsleiter Strategische Cyber-Bedrohungsanalyse, Bundesnachrichtendienst), Carsten Meywirth (Direktor beim Bundeskriminalamt und Leiter der Abteilung Cybercrime), Stefan Heissner (Senior Managing Director, Chair of DACH Forensic & Litigation Consulting, FTI Consulting). Moderator ist Alexander Armbruster, Wirtschaftsredakteur der F.A.Z. Die Veranstaltung richtet sich an General Counsels. Die Teilnahme ist für diesen Personenkreis kostenfrei.
Zur Vorbereitung des Events sprach Thomas Wegerich mit Hans-Peter Fischer von FTI Consulting.
Deutscher AnwaltSpiegel:
Herr Fischer, welche aktuellen Trends und Entwicklungen sehen Sie im Bereich Cybercrime?
Fischer:
Auch weiterhin machen Angriffe der Ransomware-Gruppen die größte Anzahl der Vorfälle aus, die wir beobachten. Dabei stellen wir einen Anstieg von Angriffen durch kleinere und unbekanntere Gruppen fest. Die Angriffe werden also häufiger individuell ausgeführt und nutzen demnach weniger Standard-Malware. Dies könnte seine Ursache in Aktionen der Strafverfolgungsbehörden haben, welche Teile der Ransomware-Infrastruktur in Verbindung mit einigen der größten RaaS-Gruppen (Ransomware-as-a-Service) gestört haben. Das heißt aber auch, dass standardisierte Erkennungs- und Abwehrmaßnahmen angepasst werden müssen, um sich erfolgreich zu schützen. Zudem nehmen Angriffe auf die Lieferketten deutlich zu, was bedeutet, dass Unternehmen ihre kritischen Zulieferer und Dienstleister in die Risikobetrachtung mit aufnehmen müssen.
Deutscher AnwaltSpiegel:
Wie helfen Sie Unternehmen, sich auf den Ernstfall eines Cyberangriffs vorzubereiten?
Fischer:
Aus unserer Sicht sind drei Maßnahmen zu priorisieren. Zuerst sollte eine Bestandsaufnahme beziehungsweise Reifegradanalyse der aktuellen Sicherheitsmaßnahmen durchgeführt werden, idealerweise durch eine neutrale Instanz und auf Basis eines anerkannten Standards wie ISO 27001 oder NIST, um „blinde Flecken“ zu vermeiden und die Stärken und Risiken des Unternehmens zu identifizieren und dokumentieren. Sinnvoll ist es, diese Ergebnisse mit denen anderer Unternehmen zu vergleichen, die im gleichen Sektor aktiv sind.
Sehr wertvoll sind auch die Erkenntnisse, die man aus Krisensimulationen gewinnt. Hier zeigt sich sehr schnell, an welchen Stellen Kommunikationsdefizite auftreten oder wo Rollen und Verantwortlichkeiten nicht klar genug definiert sind. Verbessert man hier gezielt die Abläufe, wird das Unternehmen sehr viel robuster durch den tatsächlichen Krisenfall kommen. Als dritte wesentliche Maßnahme sollten sich die Unternehmen bereits im Vorfeld die Unterstützung von Experten sichern, damit diese im Krisenfall schnell und unbürokratisch unterstützen können. Insbesondere geht es hier neben der technischen Forensik auch um Krisenkommunikation.
Deutscher AnwaltSpiegel:
Was müssen Unternehmen bei einem Cyberangriff tun?
Fischer:
Die wichtigste Regel ist, nicht in Panik zu verfallen und die Situation objektiv zu untersuchen und zu bewerten. Dabei sollten nach Möglichkeit neutrale Experten hinzugezogen werden, um ein möglichst genaues Bild der Sachlage zu erhalten.
Der Standard-IT-Provider kennt vielleicht die Infrastruktur am besten, befindet sich aber gegebenenfalls in einem Interessenkonflikt, da er vertraglich auf die Verfügbarkeit der Systeme verpflichtet ist und diese neu installiert, bevor eine forensische Analyse stattfinden kann. Im schlimmsten Fall wird damit auch ein mögliches Mitverschulden verdeckt, wenn zum Beispiel Sicherheitspatches vom Provider nicht rechtzeitig eingespielt worden sind.
Aus technischer Sicht stellt das Beenden des Angriffs die höchste Priorität dar – solange der Angreifer noch Zugriff auf die Systeme hat, kann die Wiederherstellung der Systeme und damit das Hochfahren der Produktivität nicht begonnen werden.
Danach ist umgehend zu ermitteln, welche Systeme und Benutzerkonten kompromittiert worden sind, und mögliche noch bestehende Lücken sind zu schließen. Weiterhin ist festzustellen, auf welche Daten zugegriffen worden ist, um mögliche Meldungen an die Aufsichtsbehörden innerhalb der Meldefristen durchführen zu können. Parallel kann man mit den Wiederherstellungsmaßnahmen beginnen, das heißt Systeme neu installieren und Backups einspielen.
Deutscher AnwaltSpiegel:
Mit welchen Herausforderungen sehen sich Rechtsabteilungen im Fall eines Cyberangriffs konfrontiert?
Fischer:
Grundsätzlich sind Cyberangriffe sehr dynamische Situationen, bei denen sich das Wissen um die Faktenlage ständig ändern kann, was eine rechtliche Bewertung außerordentlich schwierig macht. Hier kommt es auf eine möglichst reibungslose Zusammenarbeit zwischen den unterschiedlichen Beteiligten im Krisenteam an – insbesondere zwischen den IT-Forensikern und den Anwälten, aber natürlich auch mit dem Krisenstab, der die Entscheidungen über die weiteren Schritte treffen muss, sowie der Kommunikationsabteilung, die mit den richtigen Botschaften zum richtigen Zeitpunkt an die Stakeholder – also Kunden, Mitarbeiter, Dienstleister und Öffentlichkeit – kommunizieren muss.
Aber selbst, wenn die Sachlage stabil bleibt, kann es sehr herausfordernd sein, alle wesentlichen Meldestellen innerhalb der Fristen zu informieren, insbesondere wenn es sich um einen grenzübergreifenden Vorfall handelt.
Deutscher AnwaltSpiegel:
Wie wichtig ist die Zusammenarbeit zwischen Unternehmen und externen Beratungsfirmen?
Fischer:
Zum einen bringen Berater, wie von FTI Consulting, einen neutralen und objektiven Blick auf das Unternehmen mit, was hilft, die eigenen Defizite zu identifizieren. Auch das Wissen um Maßnahmen, die bei anderen Unternehmen gut oder schlecht funktioniert haben, können zum anderen bei der eigenen Planung sehr viel Geld und Zeit sparen.
Im Krisenfall kann FTI Consulting die Expertise beisteuern, die die Unternehmen nicht dauerhaft intern vorhalten können. Im Krisenfall einen Experten im Krisenteam zu haben, der ähnliche Situationen schon vielfach erlebt hat, kann die Effektivität der Abwehrmaßnahmen signifikant erhöhen.
Deutscher AnwaltSpiegel:
Herr Fischer, vielen Dank für unser Gespräch und für die Einblicke, die Sie unseren Leserinnen und Lesern gegeben haben.
Autor
Hans-Peter Fischer
FTI Consulting, Frankfurt am Main
Senior Managing Director, Leiter Cybersecurity DACH