Die Experten für Cybersecurity sind sich schon seit Jahren einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann! Die Bedrohung ist real und allgegenwärtig. Wie man sich auf den Tag X vorbereitet und was im Falle eines Angriffes zu beachten ist war Thema des Treffens der Gruppe IT-Security Management am 19. März beim mbuf Partner Orange Cyberdefense Germany in Augsburg.

Am Nachmittag vor dem eigentlichen Treffen gab es bereits die Möglichkeit, an einem rund dreistündigen Cyber Crisis Management Training teilzunehmen. Diese Trainings adressieren eigentlich weniger die IT-Security Spezialisten in einem Unternehmen, sondern sie haben zum Ziel, Entscheider auf Geschäftsleitungsebene für das Thema zu sensibilisieren. Es geht weniger um die technischen Details, sondern eher gleich einem „Wake-Up-Call“ um die Verdeutlichung der Notwendigkeit von vorbeugenden organisatorischen Maßnahmen. Denn für Unternehmen ist jede Minute Stillstand durch einen Cyberangriff auch ein finanzieller Verlust – während des Trainings durch einen Counter verdeutlicht, der die sich summierenden Verluste in Euro hochzählt. Und bei der Risikobewertung in Sachen Cybersecurity darf es eben nicht bei einem lapidaren „Nun ja, wir machen ja regelmäßige Backups, setzen aktuelle Sicherheitstools ein  und unsere Systeme sind immer gepacht“ bleiben. Ein sehr guter Einstieg in dieses Treffen!

Nach einem gemütlichen Abend mit Bierprobe im Riegele WirtsHaus in Augsburg, einer regional bekannten Biermanufaktur, griff am nächsten Morgen Thomas Wisdorf, Enterprise Cybersecurity Sales bei Orange, den roten Faden des Trainings mit seinem Vortrag „Cyber Resilienz beginnt nicht im SOC – es beginnt im Vorstand!“ noch einmal auf. Seine Kernaussage: Cybersecurity scheitert selten an Technik, meist scheitert sie an mangelnder Vorbereitung und fehlender Klarheit in der Führung. Security ist weit mehr eine wirtschaftliche Management-Entscheidung als eine blose IT-technische Betrachtung. Cyberkrisen entstehen nicht wegen mangelnder Technik, sondern weil sie auf Board-Level nicht verstanden werden und dadurch bedingt die Vorbereitung auf mögliche Angriffsszenarien unzureichend ist. Daraus ergibt sich eine neue Aufgabe für den CISO: Er muss Übersetzer und Brückenbauer sein. Er muss denkbaren Cyber-Risiken die entsprechenden Business-Risiken gegenüberstellen und mit dafür sorgen, dass die drei wesentlichen Faktoren Geschwindigkeit in der Erkennung, Geschwindigkeit in der Entscheidung und Geschwindigkeit in der Wiederherstellung ineinandergreifen.

Martin Steiner, Solution Engineer Data Security, Compliance & AI Security bei Microsoft Deutschland und auch Pate dieser mbuf Gruppe, berichtete über einen realen Major Security Incident durch eine Ransomware Attacke im Jahr 2020 bei einem – nicht genannten – global agierenden Unternehmen im Bereich der Businessanwendungen. Die wesentlichen „lessons learned“: Man hatte den Angriff zunächst unterschätzt und auch nicht bemerkt, dass der Angreifer schon weit vor dem eigentlichen Hauptangriff in den IT-Systemen unterwegs war und unter anderem Daten abgezogen hatte. Ganz besonders in den ersten 48 Stunden nach dem Angriff verspürte man einen großen Entscheidungsdruck, der durch ungenügend definierte Prozesse, vorherrschende Unsicherheit bezüglich der notwendigen Schritte, unklaren Abhängigkeiten der Teilsysteme voneinander und unklaren Zuständigkeiten weiter anwuchs. Die größten Fehleinschätzungen im Vorfeld:

• Man verfügte über Notfallpläne, aber die waren nicht realistisch und nicht erprobt.
• Teilweise durchgeführte Tests gingen von zu optimistischen Szenarien aus.
• Prozesse waren unklar und schlecht definiert.
• Entscheidungsbefugnisse waren nicht klar geregelt und Personen zugeordnet.

Was kann man tun, um einen „headless chicken run“ zu vermeiden? Man sollte der IT den rein technischen Part überlassen, schon vorher einen Krisenstab bestimmen, der den organisatorischen Part übernimmt, rechtzeitige externe Unterstützung mit einbeziehen und vor allen Dingen seine Systeme und ihre Abhängigkeiten untereinander detailliert dokumentieren und solche Krisenszenarien üben. Sein Resümee:
Die größten Schwachstellen liegen selten in der Technologie – sondern in Vorbereitung, Verantwortung, Kommunikation und Entscheidungsfähigkeit.

Krisenstab – Aufgaben und personelle Besetzung

Entgegen landläufiger Meinung gehört in den Krisenstab weder die IT (bestenfalls jemand, der über den Sachstand berichtet) noch unmittelbar die Geschäftsleitung. In den Krisenstab gehören Personen aus dem Business, die sich darüber Gedanken machen, wie man trotz des Incidents das Unternehmen am Laufen halten kann, wie die Kommunikation nach außen erfolgen soll und was gegebenenfalls zum Beispiel mit den Standorten und Mitarbeitenden passiert. Ferner gehören in den Krisenstab Personen, die rechtliche Aspekte klären (z.B. Meldungen an Behörden) und Kontakt zu den Ermittlungsbehörden aufrecht erhalten, sowie Personen, die als Forensiker eng mit der IT zusammenarbeiten (Beweissicherung, Handlungsanweisungen), und Personen, die professionelle abgestimmte Verhandlungen mit den Erpressern führen.

Nach der Mittagspause beleuchtete Wolfgang Straßer, Krisenmanager und Geschäftsführender Gesellschafter der @-yet GmbH, anhand eines fiktiven Falles noch einmal ein solches Krisenszenario aus Sicht des Krisenmanagers. Nach und nach wurde in über 25 Slides anschaulich dargestellt, wie sich eine Krisensituation von den ersten Indikatoren für einen Angriff (plötzlich keine Kontaktdaten und Termine mehr auf dem Firmen-Smartphone, keine Verbindung ins Firmen-VPN) über die Arbeit des von @-yet unterstützten Krisenstabes bis hin zur Wiederherstellung der Systeme entwickelt – aus der Praxis, für die Praxis mit vielen Details aus allererster Hand. Die Details hier aufzurollen, würde den Rahmen sprengen. mbuf Mitgliedsunternehmen können die Präsentation anfordern. Ein hoch interessanter Vortrag, der an einen spannenden Thriller erinnerte.

Zum Abschluss des Treffens schaute man sich noch gemeinsam den Dokumentarfilm „Ein einziger Klick – und 350.000 Unternehmen sind sofort lahmgelegt.“ an, dessen Handlung im Detail die Geschehnisse rund um einen Angriff auf den französischen IT Dienstleister Coaxis schildert. Dieser Film brachte weitere Aspekte eines Ransomware Angriffes ans Tageslicht.

Das nächste Treffen der Gruppe IT-Security Management findet am 01. und 02. Juli 2026 bei der Firma KWS Saat in Einbeck statt. Im Fokus werden dabei Tools stehen, die im Falle von Ransomwareattacken hilfreich sein können. Wer Interesse hat, in dieser mbuf Gruppe mitzuarbeiten, der nimmt bitte Kontakt auf mit der mbuf Geschäftsstelle (info@mbuf.de).