Geht es um Cyberattacken, ist eine rasche Reaktion gefragt. Firmen müssen vorbereitet sein, sagt die Expertin Mary Galligan. Nur dann lässt sich großer Schaden verhindern.
Was ist die größte Gefahr, wenn es um Kriminalität aus dem Internet geht? „Das ist, wenn man gar nichts tut. Wenn man glaubt, dass dieses Problem so groß ist, dass jede Maßnahme sinnlos ist“, sagt Mary Galligan, Expertin für Cybersecurity im Finanzbereich bei Deloitte in New York. Jahrzehntelang war Galligan als FBI-Beamtin hinter Kriminellen her, nach 9/11 jagte sie Terroristen. Jetzt, in ihrer zweiten Karriere, zeigt sie großen Firmen wie man sich auf Hacker und Cyberkriminelle vorbereitet. Zu den Kunden von Deloitte gehören eine Reihe von internationalen Banken. Mehr darf sie nicht sagen.
Um ihre Kunden auf die Gefahr aus dem Netz vorzubereiten, veranstaltet sie so genannte „Wargames“. Das reicht von einem kleinen Planspiel bis zu Szenarien, in die die ganze Firma eingebunden ist. „Viele Manager sagen uns, dass sie schon Erfahrung mit Krisen haben. Etwa mit Skandalen oder Pleiten. Was sie dabei nicht bedenken, ist die extreme Geschwindigkeit, mit der solche Attacken ablaufen“, sagt Galligan.
Schon alleine deswegen, müsse man auf Cyberangriffe gezielt vorbereitet sein. „Die meisten wollen immer wissen, wer dahinter steckt. Wer sie da angreift. Aber im Fall so einer Attacke ist das zweitrangig. Was nützt es mir? In so einem Fall ist das nur Ablenkung. Viel wichtiger ist die Frage, wer jetzt zuständig ist. Und wer die Entscheidungen trifft.“
50 Mio. Euro an Kriminelle
Nur wer vorbereitet ist, kann die Folgen rasch abschätzen. Börsenotierte Firmen müssen etwa rasch melden, wenn sie erfolgreich angegriffen werden. So war das bei der österreichischen FACC, die Opfer eines so genannten „Fake President Frauds“ wurde und rund 50 Millionen Euro an Kriminelle in Asien überwiesen ließ. Das ist die zweite Lektion von Mary Galligan: „Die verwundbaren Stellen sind oft nicht im Computernetzwerk zu finden, sondern zwischen Sessel und Laptop.“ Übersetzt: Die größte Schwachstelle sind die Mitarbeiter. Nicht, weil sie absichtlich kriminell handeln. Das geschehe nur sehr selten, so Galligan. „Aber oft sind sie sich nicht im Klaren über die Regeln, die sie einhalten müssen. Dann geschehen Fehler. Da wird dann eine Mail geöffnet, die Malware enthält. Oder eine Überweisung getätigt, die man eigentlich noch hätte abklären sollen.“ Gegen solche Fehler kann man sich wappnen, indem klar geregelt wird, wer was darf und wer Zugang zu welche Informationen hat.
„Auch schier banale Dinge sind unglaublich wichtig. Etwa, die Passwörter regelmäßig zu ändern und die Software immer auf dem neuesten Stand zu halten“, sagt Galligan.
Sind diese grundlegenden Fragen geklärt, kann man sich der konkreten Bedrohung zuwenden. Die ehemalige FBI-Agentin unterscheidet zwischen vier Gruppen: Staatliche Akteure, Kriminelle, Aktivisten und Terroristen. Motive und Ziele sind sehr unterschiedlich. Manche wollen Geld stehlen, andere Betriebsgeheimnisse. Terroristen sind oft auf Zerstörung aus, Aktivisten ebenso. „Große internationale Institutionen erleben jeden Tag hunderte Angriffe, auf die sie schon vorbereitet sind. Bisher ist es etwa Terroristen Gott sei Dank noch nicht gelungen, mit Cyberterror großen Schaden anzurichten“, sagt Galligan.
Cyber-Erpressung von Hotels
Aber auch kleine und mittlere Unternehmen müssen vorbereitet sein. Eine gängige Variante ist die Cyber-Erpressung, wie sie in Österreich auch schon kleine Hotels getroffen hat. Dabei dringen Kriminelle in Netzwerke ein und legen sie so lange lahm, bis eine Art Lösegeld bezahlt wurde. „Dies geschieht heute vor allem in Form von Bitcoin“, erzählt Galligan. Inzwischen haben sich eigene Firmen etabliert, die Opfer von Cyberattacken im Notfall mit Kryptowährungen versorgen.
Aber auch Lieferketten und Firmengeflechte müsse man bedenken. Einem großen Konzern würde es genauso schaden, wenn ein wichtiger Zulieferer lahmgelegt wird oder Betriebsgeheimnisse gestohlen werden. Wenn etwa einem kleinen Pharmaunternehmen das Research zu einem Medikament gestohlen wird das über einen großen Konzern vertrieben werden soll, dann leiden beide. Die kleine Firma wäre sogar in ihrer Existenz bedroht, wenn dieses eine Medikament eines von wenigen Produkten darstellt.“
Folgen sind nicht zu isolieren
Die Folgen eines Cyberangriffs sind selten zu isolieren, so Galligan: „Viele unserer Kunden sind auch Hedge Fonds, die verschiedene Firmenbeteiligungen in ihrem Portfolio haben. Um deren Wert zu schützen, müssen sie auf adäquate Cybersecurity pochen – um hier kein Risiko einzugehen“, so Galligan.