Die Deutsche Telekom und Thyssenkrupp wurden in den vergangenen Wochen Opfer von Cyberkriminellen.

FINANCE/Deutsche Telekom/Thyssenkrupp

29.12.16
Finanzabteilung

Was CFOs aus Hackerangriffen lernen können

Erfolgreiche Cyberattacken auf Konzerne häufen sich. CFOs sollten genau überlegen, ob sie bei Investitionen in die IT-Sicherheit auf die Bremse treten – eine falsche Entscheidung kann zum Karrierekiller werden.

Die Gefahr durch Hackerangriffe wird für deutsche Unternehmen immer größer. Erst kürzlich hat es zwei Schwergewichte getroffen: die Deutsche Telekom und den Industriekonzern Thyssenkrupp. Bei der Deutschen Telekom waren 900.000 Router betroffen, Kunden mussten tagelang ohne Internet und Telefon auskommen. Bei ThyssenKrupp ergatterten die Kriminellen Daten. Ob ein Schaden entstanden ist, kann laut Aussage des Unternehmens noch nicht eingeschätzt werden.

Auch insgesamt hat die Zahl der Hackerangriffe in den zurückliegenden Monaten weiter zugenommen. Das hat auch CFO-Relevanz: Zwar ist die IT-Sicherheit nicht die oberste Priorität der meisten CFOs. Trotzdem sind sie oft der für die Informationstechnologie verantwortliche Vorstand und in der Regel außerdem auch noch für das Risikomanagement zuständig.

CFOs bei Hackerangriffen in der Haftung

Ein erfolgreicher Hackerangriff kann für Finanzchefs gefährlich sein, da sie laut dem Aktienschutzgesetz haftbar gemacht werden können, wenn sie das Unternehmen nicht ausreichend auf einen IT-Angriff vorbereiten. Zudem können Schadensersatzforderungen seitens der Aktionäre auf den Finanzchef zukommen. Die D&O-Versicherung greift je nach Schaden nicht immer in voller Höhe.

„Finanzchefs müssen sich daher dringend überlegen, ob sie eine Investition in die IT-Sicherheit nicht tätigen“, sagt Götz Schartner, CEO bei 8com – einem IT-Spezialisten, der Penetrationstests für Konzerne durchführt. „Wenn der CFO Investitionen aktiv geblockt hat und das Unternehmen Opfer eines IT-Angriffs wird, dann kann das die Karriere ruinieren“, glaubt er.

Bei der Deutschen Telekom etwa sei die Anfälligkeit der attackierten Router hinlänglich bekannt gewesen, moniert der Experte. In solchen Fällen sollten CFOs eher zu früh Geld in die Hand nehmen, als dass später ein Schaden entsteht und der Ruf des Konzerns leidet. „Das Risiko eines Hackerangriffs ist zwar schwer finanziell zu bewerten“, gesteht der Sicherheitsexperte. „Aber es kann direkt Geld gestohlen werden, oder die Produktion kann tagelang still liegen.“ Wenn die Hacker personenbezogene Daten stehlen, müssen Konzerne bis zu 2 Prozent des Umsatzes Strafe zahlen.

Cyberkriminelle nisten sich in Systemen ein

Ein großes Problem der Unternehmen ist, dass Hacker sich in der Regel monatelang unbemerkt in ihren Systemen tummeln. Im Schnitt dauert es Experten zufolge ein halbes Jahr, bis Konzerne auf die Hacker aufmerksam werden. In dieser Zeit können die Angreifer in Ruhe die Systemlandschaft auskundschaften und Schwachpunkte ausloten.

Ein IT-Sicherheitsanbieter, der an dieser Stelle ansetzt, ist das US-Unternehmen Vectra Networks, das auch in der DACH-Region aktiv ist. Die Vectra-Software scannt die Unternehmensnetzwerke in Echtzeit, wodurch Auffälligkeiten schneller festgestellt werden sollen, verspricht das Unternehmen. CEO Hitesh Sheth sieht vor allem ein Kernstück der Finanzabteilung als Einfallstor für Hacker: „Rechenzentren sind oft nicht ausreichend vor dem Zugriff von Cyberkriminellen geschützt, da diese direkt die zugrundeliegende Infrastruktur angreifen“, meint er. „Vor allem wenn Unternehmen das Datenzentrum in die Cloud auslagern, kann es gefährlich werden“, pflichtet ihm 8com-Chef Schartner bei.

ThyssenKrupp führte monatelange Abwehrschlacht

Aber selbst wenn Unternehmen die Hacker zeitig entdecken, kann es ein zäher Kampf werden, bis die Attacke abgewendet ist. ThyssenKrupp entdeckte die Kriminellen durch Zufall bereits im Februar. In den darauffolgenden Monaten führte das 18-köpfige IT-Sicherheitsteam eine umfangreiche Abwehrschlacht. Erst Monate später gewannen die IT-Experten des Dax-Konzerns langsam die Oberhand.

Doch nicht jedes Unternehmen kann sich den Luxus eines eigenen IT-Sicherheitsstabs leisten. Aus Sicht von Experte Schartner müssen aber alle Konzerne, die mehr als 25.000 Computer im Einsatz haben, solche Teams vorhalten, um von Hackern nicht überrascht zu werden. Mittelständler haben aus seiner Sicht einen großen Vorteil gegenüber den Großkonzernen: „Die IT-Systeme im Mittelstand sind relativ überschaubar und nicht so komplex. Da fallen Hackerangriffe schneller auf.“ Eine Sicherheit vor Hackerangriffen ist das nicht. Aber immerhin haben Mittelständler nach Ansicht der Experten gute Chancen, im Fall eines Hackerangriffs schnell wieder die Oberhand zu gewinnen. Großkonzernen hingegen drohen in Zukunft immer mehr Abwehrschlachten wie im Fall ThyssenKrupp.
 
jakob.eich[at]finance-magazin.de

Was tun, wenn man zum Ziel eines Hackerangriffs geworden ist? Die Antworten gibt unser FINANCE-Ratgeber.