Cyberprotection Day 2025: „Der Cyberangriff hat uns stärker gemacht“
Der Schreck kam zwei Tage vor Weihnachten 2023: Ein Grafiker stand im Büro von Stephan Vogelskamp und sagte, es gebe Daten im Computer, die sähen nicht gut aus. Dateien in den betroffenen Ordnern verschlüsselten sich und hießen plötzlich „Akira“ – der Name eines Hacker-Netzwerks. Dann begannen hektische Stunden, die darin mündeten, dass alle Systeme geschlossen wurden. „Wir hatten bereits Kontakte zum Landeskriminalamt und einem Spezialisten für Cyberattacken, die wir schnell mobilisieren konnten“, sagt Vogelskamp, der die Bergische Struktur- und Wirtschaftsförderung leitet. „Und dennoch wäre ich gerne viel besser vorbereitet gewesen. Denn das, was man in den ersten 24 Stunden schafft, ist entscheidend.“
Zum dritten Mal haben beim Cyberprotection Day 2025 der Wirtschaftswoche IT-Sicherheitsexperten mit Verantwortlichen aus kleineren und mittelständischen Unternehmen zusammengefunden, um sich über eine bessere Vorbeugung vor Hackerangriffen auszutauschen. Sie wollen ihre Geschäftsmodelle und sensible Kundendaten schützen, ohne dabei auf eine vielköpfige IT-Sicherheitsabteilung zurückgreifen zu können. Denn gerade der Mittelstand liegt im Fokus der Angreifer, so der Lagebericht 2024 des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Demnach „gehen die Kriminellen oft den Weg des geringsten Widerstandes, sodass zunehmend die kleinen und mittleren Unternehmen (KMU) stärker betroffen sind“, schreiben die BSI-Autoren. „Einen Angriff kann man nie zu 100 Prozent verhindern, sich wohl aber auf den Ernstfall so gut wie möglich vorbereiten“, warnt Frank Schwaak, der Field Chief Technology Officer Europe, Middle East, and Africa der Cybersecurity-Firma Rubrik, auf dem Podium in Düsseldorf. Die Häufigkeit von erfolgreichen Attacken wird bis 2030 von einem Angriff alle elf Sekunden auf einen Angriff alle zwei Sekunden steigen, so eine Prognose.
Maßnahmen zur perfekten Vorbereitung standen im Mittelpunkt der Diskussion: „Man sollte seine wichtigsten 150 Kontakte schriftlich ausgedruckt auf Papier haben“, rät Vogelskamp, „und auch wissen, wie man seine Kollegen am Samstagnachmittag erreicht, wenn das Teams-System nicht mehr funktioniert.“ Alternative Kontaktgruppen zu den Mitarbeitenden auf WhatsApp oder Facebook erleichterten das Leben.
Einen Krisenstab ins Leben zu rufen und auch konkrete Stellvertreter zu bestimmen, sei der wichtigste erste Schritt. Bereits zu wissen, wen man im Ernstfall in der Region anruft, mache die Führungskräfte sofort handlungsfähig. Vogelskamp rät: „Es ist wichtig, in solch einer Situation Führungsstärke zu zeigen.“ Auch sei ein Plan für alternative Hardware wichtig: „Wir brauchten ein komplettes zweites Set an privater Hardware mit Smartphones und Laptops.“
Mehr als ein Krisenplan in der Schublade
„Einen Krisenplan in der Schublade zu haben, reicht nicht“, sagt Sandra Heger, eine Expertin für Informationssicherheit der Hochschulen in NRW. Sie steuerte durch die Cyberattacke an ihrer Universität, der Hochschule Ruhr West in Mülheim, Anfang 2023. Die fiel zwar in die vorlesungsfreie Zeit, doch mussten die Studierenden zum Beispiel über ihre Prüfungen informiert bleiben: „Der Plan muss zumindest im Konferenzraum alle paar Monate wieder durchgespielt werden“, rät sie, damit man im Ernstfall wirklich so effektiv wie möglich agiere. Dabei solle auch jemand bestimmt werden, der zuständig ist, dem Krisenstab „Pizza zu bestellen, wenn die Sitzungen bis in die Nacht dauern“.
Schwaak weist darauf hin, dass ein Krisenplan für eine Cyberattacke nichts mit dem zu tun habe, was man früher „Desaster Recovery Plan“ nannte: „Damals plante man dafür, was man tut, wenn die EDV bei einem Hochwasser ausfällt“, so der Experte. Jetzt vielmehr ginge es darum, dass man aus einem Backup schadhafte Malware nicht wieder von vorne aufspiele. Unternehmen kontaktierten ihn oft in der Recovery-Phase der Daten, um sicherzustellen, dass sie ihre digitale Infrastruktur gleich resilienter neu aufstellen. Oft würde er Datei für Datei prüfen und von Malware befreien, ehe er sie wieder aufspiele.
Entscheidend ist, so schnell wie möglich eine Übersicht zu gewinnen, welche Art von Daten betroffen ist: Falls personenbezogene Daten betroffen sind, müsse man zeitnahe Meldepflichten einhalten. Sonst drohen Schadenersatzansprüche.
Einen Kommunikationsplan zu haben, ist ebenfalls wichtig: Auf der einen Seite sollte so offen wie möglich mit Mitarbeitern und Kunden kommuniziert werden, auf der anderen Seite müsse dies aber mit den Behörden abgestimmt verlaufen, damit den Angreifern nicht versehentlich strategisch wertvolle Informationen mitgeteilt würden. „Wir haben unseren Studierenden tägliche Updates gegeben“, sagt Heger.
Wichtig sei auch, finanziell vorzusorgen für eine Cyberattacke, meint Vogelskamp:„ Man muss einen sechsstelligen Betrag einbudgetieren für den Ernstfall“, um damit die Dienstleister zu bezahlen.
Eines aber sollte auf keinen Fall Teil des Plans werden, warnt Sebastian Barchnicki, der sich aus dem Publikum zu Wort meldet: „Lösungsgeld zu zahlen ist niemals eine gute Idee“, sagt der Experte vom Kompetenzzentrum für Cybersicherheit in der Wirtschaft in NRW, „das macht ein Unternehmen nur zu einem guten Kunden.“ Acht von zehn Unternehmen, die bezahlten, würden später noch einmal angegriffen.
Für Vogelskamp bedeutete der Angriff einen tagelangen Betriebsausfall. Doch obwohl die Täter 18 Gigabyte an Daten klauten, erwischten sie nur Marketingmaterial aus der Region und Bildmaterial in Hochauflösung. Wegen seiner klaren Statements zum Ukrainekrieg sei er als Wirtschaftsknotenpunkt Opfer des Wirtschaftskriegs geworden, teilten ihm die Behörden mit. Obwohl ihm der Angriff seine Schwachstellen offenbart hat, seien er und seine Organisation an dem unliebsamen Vorfall gewachsen: „Am Ende hat der Angriff uns stärker gemacht.“
Lesen Sie auch: Putins Geheimdienstkrieg gegen Europa