Risiko & IT
21.07.16

Bis zu 10 Millionen Euro Strafe

FINANCE-Ratgeber: Erste Schritte nach einem Cyberangriff

Von Jakob Eich

Unternehmen haben nach einer Hackerattacke 72 Stunden Zeit, um diese zu melden, sonst wird es teuer. Der FINANCE-Ratgeber zeigt die wichtigsten Sofortmaßnahmen für den Fall der Fälle.

Nach einem Hackerangriff haben Unternehmen 72 Stunden Zeit, um den Vorfall zu melden. Ansonsten drohen bald millionenschwere Strafen.

scyther5/iStock/Thinkstock/Getty Images

FACC, RUAG, Deutsche Telekom: Das sind nur einige der Unternehmen, die in den vergangenen Monaten Opfer einer Cyberattacke wurden. Ein Hackerangriff ist für Mittelständler sehr kostspielig.

Doch jetzt kommt es noch dicker: Vor kurzem hat die EU zusätzlich die neue Datenschutzgrundverordung (DSGVO) verabschiedet. Das neue Gesetz soll im Mai 2018 in Kraft treten. Danach haben Unternehmen maximal 72 Stunden Zeit, um eine Cyberattacke zu melden. Dabei geht es ausschließlich um Hackerangriffe, bei denen personenbezogene Daten betroffen sind, was bei einem Großteil der Fall ist.

Wenn CFOs, denen die Ressorts IT und Risikomanagement oft unterstehen, dieser Vorgabe nicht nachkommen, drohen nach der DSGVO saftige Bußgelder. Die Strafzahlungen können sich auf bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes belaufen. Derzeit liegen diese höchstens im sechsstelligen Euro-Bereich. Was in den ersten 72 Stunden wichtig ist und in welchen Schritten CFO vorgehen sollten, erfahren Sie in diesem Ratgeber.

So reagieren CFOs nach einer Hackerattacke

„Unternehmen müssen auf jeden Fall einen Notfallplan in der Tasche haben“, sagt Derk Fischer, Partner im Bereich Risk Assurance Solutions bei dem Beratungshaus PwC. Denn bei einer Cyberattacke können wenige Minuten entscheiden, ob Mittelständler die Kriminellen noch fassen können und wie groß der Schaden letztlich wird. „Es muss klar definiert sein, welche Maßnahmen in welcher Reihenfolge im Falle einer Cyber-Attacke zu durchlaufen sind und wer wann zu informieren ist.“

Laut Fischer bietet sich dabei die Bildung eines Krisenstabs an, geleitet durch einen Krisenmanager und bestehend aus den Sicherheits- und Datenschutzbeauftragten, Vertretern der IT, des Rechenzentrums, der betroffenen Geschäftseinheiten, des Betriebsrats und der Geschäftsleitung. Zudem rät Fischer dazu, externe Berater hinzuziehen, zu denen PwC ebenfalls gehört. Aus Sicht des Sicherheitsexperten sollten die IT-Spezialisten das Unternehmen und dessen IT-Strukturen bereits kennen. „Bei einem Cyberangriff bleibt oft keine Zeit, um sich noch in die Prozesse einzuarbeiten.“

Schließlich müssen sich Mittelständler auch mit der Frage auseinandersetzen, ob und wann sie die Öffentlichkeit sowie Polizei- und Aufsichtsbehörden kontaktieren. Für Betreiber kritischer Infrastrukturen, kurz Kritis, ist dies seit Mitte 2015 durch das IT-Sicherheitsgesetz klar geregelt.

Nach der ersten Analyse sollte das Unternehmen schnellstmöglich Gegenmaßnahmen starten: „Der Spezialist wird beispielsweise interessant erscheinende Datentöpfe, sogenannte Honeypots, zur Ablenkung etablieren und zusätzliche Barrieren installieren. Dadurch bleiben die Kronjuwelen des Unternehmens, also etwa geheime Rezepte oder Patente, geschützt “, sagt Fischer. So ist der Hacker beschäftigt, während sich der Mittelständler auf die Suche nach dem Angreifer und der verursachten Schäden begibt.

Stecker ziehen ist bei Cyberangriff keine Option

Dass das Unternehmen schlicht den Stecker zieht, ist für Fischer keine Option: „Dadurch gehen Maschinen vom Netz. Wenn die Produktion ausfällt oder die Website offline ist, kann das den Ruf des Unternehmens massiv schädigen.“

Es gibt aber noch einen weiteren Grund: „Der Hacker merkt dann, dass er entdeckt wurde und zieht sich zurück“, sagt Fischer. Cyberkriminelle wollen sich in der Regel im Netzwerk des Unternehmens einnisten und es so im Geheimen ausspionieren. Im Schnitt dauert es über 200 Tage, bis Mittelständler einen Vorfall bemerken.

Deshalb plädiert Fischer für sogenannten Security Incident and Event Management Systeme, kurz SIEM-Systeme. Diese sammeln alle relevanten Daten und stellen fest, ob es Unregelmäßigkeiten in IT-Struktur und -Prozessen gibt. Das SIEM-System kann zudem Hinweise liefern, wie lange sich ein Hacker im Netzwerk befindet. Die Einrichtung der SIEM-Software kostet Branchenexperten zufolge zwischen 25.000 Euro und einer halbe Million Euro. Die Betriebskosten liegen zwischen 50.000 Euro und 100.000 Euro pro Jahr.

So reagieren CFOs beim Fake President

Eine Variante des Cyberangriffs, der speziell auf die Finanzabteilung ausgerichtet ist, ist die Fake-President-Masche. Bei dieser geben sich Kriminelle als CEO oder CFO aus und verleiten Mitarbeiter dazu, Geldbeträge zu überweisen. Beim Flugzeugzulieferer FACC erbeuteten Hacker Anfang des Jahres auf diese Weise fast 50 Millionen Euro.

Auch beim Fake President ist eine schnelle Reaktion wichtig. Um das Geld schnellstmöglich zurückzuholen, können Unternehmen auf sogenannte „Asset Tracer“ zurückgreifen. Denn die Kriminellen zerlegen die erbeuteten Summen schnell in kleinere Beträge, die sie dann auf verschiedene Konten verteilen. Die Gesamtsumme führen die Angreifer erst später wieder zusammen. Asset Tracer können diese Bewegungen gut nachverfolgen. „Diese Spezialisten helfen den Behörden dann bei der Aufklärung des Vorfalls“, sagte Angelika Hellweger, Partnerin bei der Kanzlei Wolf Theiss, vor kurzem gegenüber der FINANCE-Schwesterpublikation DerTreasurer.

Unternehmen sollten auch Kontakt zu den Behörden in den Ländern suchen, in die das Geld überwiesen wurde. „Zudem empfiehlt es sich, lokale Rechtanwaltskanzleien zu mandatieren.“ Diese kennen sich laut Hellweger mit den regionalen Begebenheiten häufig besser aus als hiesige Juristen. Der reine Rechtsweg über eine Strafanzeige reicht indes nicht: „Das dauert zu lange. In der Zwischenzeit werden die Gelder weiter transferiert.“

Bei der Aufarbeitung müssen Unternehmen eines dringend beachten: Der Mitarbeiter, der den Vorfall gemeldet hat, ist der erste Verdächtige. „Der involvierte Mitarbeiter darf auf keinen Fall in die Aufklärung eingebunden werden“, rät Hellweger. Man könne ihn zwar für die Beratung heranziehen, „an Bankenbesuchen sollte er aber nicht teilnehmen“.

Die 72-Stunden-Frist ist auch bei dieser Betrugsmasche wichtig: „Beim Fake President können personenbezogene Daten betroffen sein. Das müssen Unternehmen unbedingt prüfen“, sagt Roland Marko von Wolf Theiss. Denn dann fällt der Angriff unter die DSGVO.

jakob.eich[at]finance-magazin.de

FX-Hedging bei M&A-Deals, Scheme of Arrangement, sorgfältige Due Diligence: Nützliche Tipps für CFOs finden Sie auf der Themenseite FINANCE-Ratgeber.