Auf welch absurde Ideen Unternehmen dann kommen, hat Weingarten schon erlebt: Bei einem Einsatz druckten die Mitarbeiter 240.000 Seiten mit Protokollen und Zugangsdaten aus, stapelten sie auf einen Teewagen und schoben sie in den Raum der Task Force. „Mit so einem Papierberg kann ich gar nichts anfangen.“
Weingarten hat eine Forensic Cloud entwickelt, die viel Vorbereitungszeit spart. Über diese Plattform kann die Einsatztruppe – sicher und abgeschottet von den infizierten IT-Systemen – kommunizieren und jederzeit weitere Spezialisten hinzuziehen. Auch Juristen und Wirtschaftsprüfer bekommen einen genauen Überblick über den Stand der Rettungsarbeiten. „Die Unternehmen wollen sehen, wie die Arbeit vorangeht und was es kostet“, sagt Weingarten.
In der Forensic Cloud können auch die aufgespürten Schadprogramme hochgeladen und bearbeitet werden – ohne zu riskieren, dass weitere Computer infiziert werden. Die verseuchten Dateien werden automatisch mit Mustern aus anderen Angriffen verglichen. Im Hintergrund greift dieses Fahndungssystem auf eine riesige Asservatenkammer zu, um den Angriff zu analysieren. „Das Unternehmen ruft bei uns an, und wir stellen das Team zusammen“, sagt Weingarten. „Will der Vorstand noch Experten für Compliance oder Datenschutz hinzuziehen, schalten wir die dazu. Zum Unternehmen braucht dann keiner mehr rauszufahren.“
Ein Einfamilienhaus mit großem Garten und überdachter Terrasse mit Holzkohlegrill: Hier kämpft Stephan Kaiser, Geschäftsführer von BSK Consulting, manchmal bis tief in die Nacht. Das Erdgeschoss, insbesondere das Wohnzimmer, ist Kaisers Kommandozentrale; der Raum ist vollgestopft mit Rechnern und Monitoren. In der Mitte steht ein riesiger ovaler Tisch, an dem seine gesamte, inzwischen zehn Mitarbeiter umfassende Mannschaft Platz findet.
„Angreifer aus Fernost stehlen Daten und schädigen die deutsche Industrie“, sagt Kaiser: „Wir konnten da nicht länger wegschauen und haben eine eigene Lösung entwickelt.“ So entstand vor fünf Jahren die Idee, den nahezu unbesiegbaren Cyberhelden Thor zu bauen – einen „germanischen Gott“, der mit Blitz und Donner gegen die hinterhältigsten Angreifer austeilt. Seit 2016 ist Thor im Einsatz. Und seine Spürnase ist so gut, dass er aus einem Wust mit 20 Milliarden Fragmenten fünf herauspickt, die für ein Unternehmen gefährlich werden können: Thor ist auch eine Art Argus und durchleuchtet wie ein Scanner den gesamten Haufen. Gemeinsam mit dem IT-Spezialisten Florian Roth gründet Kaiser die Nextron Systems, die ab September den Einsatz von Thor steuert.
„Stellen Sie sich einen Weihnachtsbaum mit 8000 Glöckchen vor“, erläutert Kaiser. Einige Glöckchen markieren Schwachstellen in den IT-Systemen. Die nächsten markieren Hintertüren, über die sich Angreifer einen zweiten Zugang verschaffen, falls die anfangs genutzte Schwachstelle mal geschlossen wird. Weitere Glöckchen markieren Werkzeuge, mit deren Hilfe sich die meist überaus vorsichtigen Angreifer in den Netzen und IT-Systemen bewegen und schließlich Daten stehlen oder manipulieren. „Die Wahrscheinlichkeit, dass der Angreifer bei jedem einzelnen Schritt Werkzeuge oder Methoden einsetzt, für die wir noch kein Glöckchen haben, ist nahe null“, sagt Kaiser.
Zuerst durchleuchtet Thor nur den ganz konkreten Verdacht. Bestätigen sich die Befürchtungen, wird die Fahndung ausgeweitet. Und damit fangen die Probleme erst an: Statt der erwarteten 1500 findet Thor plötzlich 3000 IT-Systeme im Netz eines global verzweigten Konzerns: „Wir bekommen selten vollständige Inventarlisten“, so Kaiser, „die meisten Kunden haben doppelt so viele IT-Systeme im Einsatz, wie sie glauben.“ Der Frust ist dann groß: Viele Cyberangriffe ließen sich verhindern oder schneller abwehren, wenn Unternehmen einen vollständigen Überblick über ihre IT-Systeme hätten. Solch eine Generalinventur liefert Donnergott Thor in Zukunft automatisch mit.
