Hackerangriff auf Thyssenkrupp Warum Unternehmen eine eigene Cyberabwehr brauchen

Der Spionageangriff auf Thyssenkrupp zeigt: Neben Werkschutz und Werksfeuerwehr brauchen Unternehmen auch eine Cyberwehr in einem eigenen Notfallzentrum. Nur so lassen Hackerbanden aufspüren und in die Flucht schlagen.

Die Konzernzentrale von Thyssenkrupp in Essen. Quelle: dpa

Es ist gerade mal ein paar Tage her, dass der Industriekonzern Thyssenkrupp den schlimmsten Spionageangriff in seiner 205-jährigen Geschichte abgewehrt hat. Doch Zeit zum Durchatmen bleibt in der Essener Konzernzentrale nicht. Den IT-Verantwortlichen im Unternehmen ist längst klar: Das war nur die erste Schlacht. Die jetzt vertriebenen Hacker werden nicht so schnell aufgeben und den nächsten Angriff vorbereiten.

Per Stellenanzeige sucht der Konzern gerade Verstärkung und hat die Stelle eines „IT Security Incident Handlers“ ausgeschrieben. Das sind die Spezialisten, die bei einem Cyberangriff an vorderster Front im Notfallzentrum kämpfen. Dieses Notfallzentrum, offiziell auch Computer Emergency Response Team (CERT) genannt, will Thyssenkrupp weiter ausbauen. Die Aufgabe des künftigen Mitarbeiters: Er soll „neue Angriffe analysieren“, um „die Auswirkungen aus den Konzern besser einzuschätzen und pro-aktive Maßnahmen empfehlen zu können“ – wie es im Anzeigentext heißt.

Dabei ist es nicht so, dass sich die Unternehmen nicht schützen würden. Gerade in Branchen, in denen Know-how mehr wert als Geld ist – Pharma, Auto, Maschinenbau, Rüstung – gehören häufige Passwort-Wechsel, abgetrennte Sicherheitsbereiche und die Ausschau nach verdächtigen Bewegungen im Firmennetz zum Standard. Dass die „Abwehrschlacht“ bei Thyssenkrupp sechs Monate dauerte und es nicht gelang, dem Abfluss zumindest „einiger Datensätze“ zu verhindern, beweist, wie komplex die Aufgabe ist.

Thyssenkrupp gehört zu den wenigen Unternehmen in Deutschland, die selber solch ein Notfallzentrum betreiben. Dabei müsste solche eine Cyberwehr bei allen größeren Unternehmen so selbstverständlich sein wie der Werkschutz und die Werksfeuerwehr. Denn solch ein Notfallzentrum schlägt nicht nur Eindringlinge zurück. Viel wichtiger für die dort beschäftigten Spezialisten ist, Angriffe überhaupt erst mal zu entdecken – und zwar rechtzeitig, bevor ein größerer Schaden entsteht.

Denn die professionellen Spione tarnen sich inzwischen so gut, dass sich unter dem Radar in den Firmennetzen bewegen und wertvolles Firmen-Know-how absaugen. Herkömmliche Firewalls und Virenschutzprograme schlagen noch nicht einmal Alarm. Das zeigt der jüngste Bedrohungsbericht des kalifornischen IT-Sicherheitsanbieters Fireeye. Danach kommen Unternehmen Datendieben erst nach durchschnittlich 146 Tagen auf die Spur. Ein Angreifer bleibt also 20 Wochen unentdeckt.

Angriffsziele von aufsehenerregenden Cyberangriffen

Thyssenkrupp hat zwar nur 45 Tage gebraucht. Doch auch damit sind die Verantwortlichen nicht zufrieden. Ihr Ziel: Das Versteckspiel auf wenige Stunden verkürzen. Das soll einer der Aufgaben von Cyberdetektiven sein wie dem jetzt von Thyssenkrupp gesuchten Spezialisten.

Sie durchleuchten unablässig mit intelligenten Analyseverfahren den riesigen Datenstrom, der tagtäglich bei Managern und Mitarbeitern ein- und ausgeht. Zudem suchen sie nach Hinweisen, die auf einen Cyberangriff schließen lassen, und spüren Schad- und Spionageprogramme im Idealfall schon beim ersten Versuch auf, bevor sie ins Unternehmensnetzwerk eindringen.

Der Einsatz solcher Früherkennungs- und Frühwarnsysteme gilt als großer Zukunftsmarkt. Fast alle IT- und Telekommunikationskonzerne buhlen inzwischen um die Gunst der Sicherheitsverantwortlichen in den Unternehmen und bieten an, den Betrieb solch eines Notfallzentrums auszulagern.

Marktforscher wie Gartner prophezeien ein Milliardengeschäft mit zweistelligen Zuwachsraten. Da gilt es, sich frühzeitig zu positionieren. Ob IT-Riesen wie IBM, Hewlett-Packard und Atos oder Telekommunikationskonzerne wie AT&T, Verizon, Orange (ehemals: France Télécom), die britische BT oder die japanische NTT - allesamt bauen eigene Cyberabwehreinheiten auf und bieten den IT-Verantwortlichen die konzernweite Überwachung des gesamten Datenverkehrs an.

So schön die Werbeversprechen der Anbieter sind: Unternehmen sollten sich nicht auf externe Anbieter verlassen und sich auch nicht vom Bau eines eigenen Notfallzentrums abbringen lassen. Denn bei einem externen Anbieter ist jedes Unternehmen nur einer von vielen Kunden, heißt es bei Thyssenkrupp.

So genau und engagiert wie die eigenen Spezialisten schauen die dann doch nicht in den Datenstrom. „Ein externer Anbieter hätte den Angreifer wahrscheinlich gar nicht erst gesehen“, sagt Alpha Barry, Chef der Task-Force „White Amflora“, die bei Thyssenkrupp den Angriff abwehrte.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%