Frau Walther, jedes zehnte deutsche Unternehmen wurde schon einmal Opfer eines Hackerangriffs. Wie verwundbar sind Marken durch Cyberattacken?
Der Reputationsverlust fürs Unternehmen kann gewaltig sein, abhängig davon, wie wichtig den Kund*innen der Schutz ihrer Daten ist. Cyberangriffe untergraben Vertrauen, im Extremfall ist die Marke in einem Tag ruiniert. Nehmen Sie eine Firma, die Passwort-Software erstellt. Die kann einpacken, wenn es Hackern gelingt, ins System einzudringen.
Zuletzt wurden Datenlecks bei Motel One bekannt. Haben sich die Konsument*innen nicht schon längst an solche Hacking-Vorfälle gewöhnt?
Schon möglich, dass sich viele Endkund*innen langsam mit den Leaks abfinden. Aber es ist keine gute Entwicklung, wenn die Gesellschaft akzeptiert, dass es keine Privatheit mehr gibt. Aus unserer Beratungspraxis wissen wir außerdem, dass diese Toleranz im Business-to-business-Bereich durchaus nicht gegeben ist. Dort reichen die Reaktionen von Schadenersatzforderungen bis zur Kündigung der Geschäftsbeziehung.
Weil der Schaden hier größer ausfällt?
Genau. Außerdem wurde meist vertraglich vereinbart, wie mit den Daten umzugehen ist und wie sie zu schützen sind, abhängig von ihrer Sensibilität – und B2B-Daten sind häufig sehr sensibel, etwa wenn es um geistiges Eigentum geht. Ich erinnere mich an ein Pharmaunternehmen, das während der Corona-Pandemie angegriffen wurde. Obwohl es den Hackern nicht gelang, die gesuchten Daten abzurufen, hatte die Attacke für das Unternehmen dramatische Folgen, weil Zulieferer und Abnehmer nicht mehr mit ihm zusammenarbeiten wollten.
Bei Opfer-Unternehmen sind solche Konsequenzen oft die größte Sorge, der Umgang damit – etwa die Frage, wie offen der Angriff kommuniziert werden soll – genießt Priorität. Sehr schlecht kommt es an, wenn ein Unternehmen zunächst behauptet, es handele sich nur um eine IT-Störung und später einräumen muss, dass doch Daten abgeflossen sind.
Wie begehrt sind bei Hackern Informationen über Markenstrategien, Produktentwicklungen oder geplante Kampagnen?
In der Vergangenheit stand das nicht im Fokus. Cyberkriminelle bevorzugen den einfachsten Weg, und der bestand darin, die technische Infrastruktur lahmzulegen. Da sich Unternehmen davor aber immer besser schützen, rücken zunehmend auch Informationen über die Marke, die Geschäftsstrategie oder die Führungsriege ins Blickfeld. Aus Sicht von Hackern ist alles geeignet, was das Kundenvertrauen schädigen könnte und das Unternehmen erpressbar macht.
Welche Marken sind besonders von Hacking gefährdet?
Cyberkriminelle arbeiten branchenübergreifend. Sie gehen dahin, wo es viel zu holen gibt oder wo es ihnen leicht gemacht wird. Das kann ein Großkonzern ebenso sein wie eine Zahnarztpraxis. Unterschiedliche Hackergruppen spezialisieren sich auf bestimmte Zielgruppen, wie im legalen Geschäftsleben. Weniger beliebt sind vor allem Branchen, die sehr gut geschützt sind, weil sie in der Vergangenheit häufig Ziele von Angriffen waren oder weil die gesetzlichen Anforderungen besonders hoch sind, wie bei Banken…
…oder IT-Unternehmen, die von Haus aus wissen, wie man sich schützt?
Das ist leider in der Praxis nicht so, es werden auch viele IT-Provider angegriffen. Gern gewählt werden Unternehmen, bei denen die Folgen eines Angriffs schnell öffentlich werden – Medienhäuser zum Beispiel, bei denen es jeder mitbekommt, wenn die Berichterstattung ausfällt. Oder produzierende Unternehmen, bei denen es besonders wichtig ist, dass ihre Abläufe nicht unterbrochen werden, weil sonst der Betrieb stillsteht.
Mit welchen Arten von Cyberangriffen müssen Marken rechnen?
Die größte, und meist sehr sichtbare, Bedrohung ist die durch Ransomware…
… Erpressungssoftware, die den Zugriff auf Geräte und Daten blockiert, bis Lösegeld gezahlt ist.
Zweitens das, was wir nicht sehen: Spionage. Sie betrifft inzwischen viel mehr Unternehmen, als allgemein angenommen wird, auch kleine und mittlere. In der derzeitigen geopolitischen Lage ist der Hunger nach Daten aus Europa groß. Die dritte Gruppe bezeichnen wir als High-Volume-Angriffe: Attacken, mit denen sich schnell ein überschaubarer Geldbetrag verdienen lässt, etwa indem sich Hacker in die Unternehmenskommunikation einklinken und Überweisungen auf fremde Konten veranlassen.
Es gibt Unternehmen, die von Ihrer Firma zu Hackerangriffen beraten wurden und trotzdem erneut Opfer eines Cyberangriffs wurden. Ist in Wahrheit alle Mühe vergebens und was bleibt, ist Fatalismus – wenn‘s uns trifft, trifft’s uns?
Wenn man hundert Schwachstellen hat, ist die Chance angegriffen zu werden größer, als wenn es nur fünf Schwachstellen gibt. Ein Restrisiko bleibt, aber man kann sich darauf vorbereiten und insofern die Kontrolle behalten. Die Gefahr zu ignorieren und sich rundum verwundbar zu präsentieren, wäre etwas völlig anderes.
Wichtig ist, die eigenen Risiken zu verstehen und sich bewusst zu machen, was es zu schützen gilt. Erst dann lässt sich festlegen, durch welche organisatorischen, technischen und personellen Maßnahmen die Sicherheit erhöht werden kann. Es geht um Prozesse – darum, sicheres Verhalten überhaupt zu ermöglichen. Es geht um Infrastruktur, etwa eine durchgehende Überwachung der Technik. Und es geht um Wissen: Mitarbeiter*innen müssen verstehen, wie auch sie dazu beitragen können, das Unternehmen zu schützen: Wie erkenne ich Phishing? Was ist ein sicheres Passwort?
Könnte es sein, dass Sie die Gefahr überzeichnen, damit Unternehmen Ihre Firma beauftragen?
Es ist gar nicht nötig, die Gefahr größer darzustellen als sie ist. Die Bedrohung ist da, und um zu wissen, wie ernst sie zu nehmen ist, reicht es, die Nachrichten zu verfolgen.
Das Interview fand im Rahmen des Innovationstags der Serviceplan Group, Republic, Ad Alliance und SAP statt.
