Detailinformationen

Autor

David Selbach

Freier Autor

verfasst am

03.01.2018

im Heft

01/2018

Die WirtschaftsWoche brachte im Dezember 2016 das Protokoll der Cyber-Abwehrschlacht.

thyssenkrupp

Keine Schande

Anfang 2016 starteten Hacker einen Großangriff auf die IT-Systeme von thyssenkrupp. Vor einem Jahr berichtete die WirtschaftsWoche in einer Titelgeschichte exklusiv über die Cyber-Attacke und deren Bewältigung. thyssenkrupp-Sprecher Bernd Overmaat und Hering-Schuppener-Berater Dirk von Manikowsky erzählen, wie es dazu kam – und warum der Konzern den Angriff nicht verheimlichte.

prmagazin: Herr Overmaat, im April des Jahres 2016 bemerkte die IT-Security von thyssenkrupp, dass Hacker ins Firmennetz eingedrungen waren. Wann hat die Unternehmenskommunikation davon erfahren?

Bernd Overmaat: Sofort. Die IT-Kollegen haben uns Bescheid gesagt. Es klang zunächst noch nicht nach einer allzu großen Sache, wurde dann aber schnell größer.

War es Glück oder Zufall, dass die Kollegen vom Cyber Emergency Response Team (CERT) den Hacker bemerkt haben? In dem großen Report, den die WirtschaftsWoche über Ihre Abwehrschlacht brachte, liest es sich so.

Overmaat: Im CERT sitzen 18 Leute, die den ganzen Tag lang Datenströme beobachten und Anomalien suchen. Sie haben gesucht und eine Anomalie gefunden. Zufall oder Glück würde ich das nicht nennen.

Die meisten Unternehmen sprechen nicht gern über Cyber-Angriffe. Sie fürchten einen Imageverlust oder dass sie zum Ziel weiterer Attacken werden könnten. Waren das Dinge, die Sie auch bei thyssenkrupp diskutiert haben?

Overmaat: Klar, der erste Impuls ist immer: Am besten, wir sagen gar nichts. Das ist allerdings nicht ohne Risiko. Wenn jemand Drittes das herausfindet, ist das Image erst richtig bedroht. Dann wird man zum Getriebenen, muss auf immer neue Rechercheergebnisse und Spekulationen reagieren.

Zu Beginn haben Sie die Sache trotzdem erst einmal geheim gehalten. Warum?

Overmaat: Wir wussten anfangs relativ wenig, außer dass wir angegriffen werden. Es gab also auch wenig zu erzählen.

Manikowsky: Als Kommunikator beschäftigen Sie sich in solchen Wochen intensiv mit vergleichbaren  Fällen, also Unternehmen, die angegriffen wurden und das Problem noch nicht gelöst hatten. Wenn das in diesen Fällen bekannt wurde, gab es stets sehr kontroverse Diskussionen – und das Gefühl, dass die Reputation darunter leidet.

Hat bei thyssenkrupp die Kommunikationsabteilung allein über die Geheimhaltung entschieden?

Overmaat: Nein, das waren IT und Kommunikation gemeinsam. Es wusste tatsächlich nur eine Handvoll Leute im ganzen Konzern davon. In der Kommunikation waren das der damalige Pressesprecher Robin Zimmermann, Kommunikationschef Alexander Wilke und ich.

Welche Gründe hatte die IT, das Thema unter dem Deckel zu halten?

Overmaat: Unsere IT-Experten wollten den Angreifer erst mal heimlich beobachten. Sie wollten he rausfinden, was ihn interessiert, und vorhersehen, wohin er sich bewegt. Er sollte nicht wissen, dass wir ihn bemerkt hatten.

Manikowsky: Bei jedem Schritt, den man unternimmt, um den Eindringling zu bekämpfen, wird man beobachtet, und der Angreifer kann daraus seine Schlüsse ziehen. Es ist also eine unglaublich sensible Situation. Die IT-Security muss sensible Daten schützen, gleichzeitig will sie aber nicht verraten, dass sie den Angriff bereits bemerkt hat.

Wie haben Sie den Prozess in der Kommunikation begleitet?

Overmaat: Wir haben uns regelmäßig mit den Experten getroffen und dann unter uns Kommunikatoren erörtert, wie wir weiter vorgehen. Anfänglich haben wir reaktive Sprachregelungen vorbereitet, die wir in dem Moment genutzt hätten, in dem  die Sache bekannt geworden wäre. Das ist uns zum Glück erspart geblieben.

Wann wollten Sie mit der Sache an die Öffentlichkeit gehen?

Overmaat: In dem Moment, in dem unsere IT-Experten signalisiert hätten, dass sie wohl mit Erfolg zurückschlagen könnten. Wir hätten nach erfolgreicher Abwehr eine Pressemitteilung herausgegeben. Verschwiegen hätten wir das Ganze auf keinen Fall.

Manikowsky: Am liebsten präsentiert man natürlich erst das fertige Ergebnis, die Lösung. Wenn ich mich noch auf der Wegstrecke befinde, muss ich abwägen: Was kann ich sagen, was darf ich sagen? Wo laufe ich Gefahr, Haftungsrisiken auszulösen? Um welche sensiblen Daten geht es? Und: Was habe ich getan, um mich zu schützen? Denn solange das Problem fortbesteht, wird danach sofort gefragt.

Dann kommt der Vorwurf: Du musst beim Schutz Deiner Systeme versagt haben ...

Overmaat: Genau. Diese Unterstellung ist es auch, die Unternehmen davon abhält, darüber zu reden. Aber man muss sich eins klarmachen: Selbst wer sich State of the Art schützt, ist nicht dagegen gefeit, dass jemand bei ihm eindringt, wenn der Gegner nur gut genug ist und die nötigen Mittel hat. Wir hatten es mit einem ausgesprochen professionell organisierten Cyber-Angriff zu. Das waren keine lustigen Jugendlichen in Hoodies.

(...)

Dieser Text ist ein Auszug. Wie die Kommunikatoren die Cyber-Attacke auf thyssenkrupp begleiteten und welche Rolle WiWo-Autor Jürgen Berke in dem Prozess spielte, lesen Sie in unserer Januar-Ausgabe.

Ausgabe kaufen, Abo/Probeabo abschließen oder E-Paper anfordern

Noch keine Kommentare.

Kommentare werden moderiert.

Kommentar verfassen

Adding an entry to the guestbook

Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird. Dies dient der Spam-Abwehr.

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.