Der Stromausfall vor einigen Wochen auf der Iberischen Halbinsel dient als eindringliche Erinnerung daran, dass Organisationen über Notfallpläne verfügen müssen, wenn IT-Systeme ausfallen. Das Ereignis hat Unternehmen dazu veranlasst, potenzielle Ursachen und Konsequenzen eines Ausfalls von IT-Systemen zu überdenken. Teil dieser Analyse ist es, potenzielle Cyber-Schwachstellen zu evaluieren. Das Beispiel aus Spanien verdeutlicht, was passieren kann, wenn und nicht falls eine Organisation Ziel eines Cyberangriffs wird: Unternehmenskritische Infrastruktur und Systeme sind offline, und es können Stunden oder sogar Tage vergehen, bis alle betroffenen Organisationen wieder einsatzbereit sind.
Einige Branchen, insbesondere produzierende Gewerbe, Chemiebetriebe, der Kommunikationssektor, kritische Infrastruktur, Finanzunternehmen oder IT-Unternehmen, werden von Angreifern gezielt ins Visier genommen. Im Jahr 2024 war die produzierende Industrie die am meisten attackierte Branche in Europa und führte mit einem Anteil von 26% der Vorfälle die Top 10 der am häufigsten angegriffenen Branchen an.
Hohe Anfälligkeit von produzierenden Firmen
Produzierende Unternehmen sind besonders anfällig für Angriffe, da sie sowohl auf neue als auch auf ältere Technologien angewiesen sind, um effizient und im großen Umfang arbeiten zu können. Industrielle Kontrollsysteme in Produktionsstätten sind oft veraltet und verfügen nicht über angemessene Sicherheitskontrollen, dennoch zögern Organisationen, sie zu modernisieren, da sie befürchten, dass dieser Prozess den Betriebsablauf stört und teuer sowie zeitaufwendig ist. Technologien, die nicht mehr vom Anbieter unterstützt werden – sogenannte End-of-Life-Technologien – sind jedoch mit einem erhöhtem Cyberrisiko verbunden und verfügen möglicherweise nicht über wichtige Sicherheitsfunktionen zum Schutz vor modernen Bedrohungen.
Schwächen in der Cybersicherheit mit gravierenden Folgen
Angreifer erkennen diese Cyberlücken und versuchen, sie auszunutzen, indem sie Systeme offline zwingen. Da die Fertigung eine entscheidende Rolle in der Lieferkette spielt, kann ein Angriff eine Kettenreaktion auslösen und essenzielle Dienstleistungen und die Produktion in mehreren Branchen stören. Das bedeutet, dass ein Angriff auf einen Hersteller erhebliche finanzielle Verluste für alle Parteien entlang der Lieferkette, potenzielle Risiken für die öffentliche Gesundheit und Sicherheit oder eine Bedrohung der nationalen Sicherheit verursachen kann.
Die Produktion ist ein Paradebeispiel dafür, wie Schwächen in der Cybersicherheit zu weitreichenden Auswirkungen auf kritische Infrastrukturen führen können. Die enge Vernetzung von Organisationen und Branchen heutzutage unterstreicht die Notwendigkeit belastbarer Cybersicherheits-Protokolle, um schwerwiegende Verzögerungen, Störungen oder unbefugten Zugriff auf sensible Daten und physische Vermögenswerte zu verhindern.
Mitarbeiterschulungen zur Cybersicherheit verstärken
Mitarbeitende sind die erste Verteidigungslinie gegen viele der häufigsten Cyberbedrohungen, doch in vielen Produktionsunternehmen fehlt es an Schulungen zu den von Angreifern am häufigsten eingesetzten Taktiken. Cybersicherheitstraining bedeutet mehr, als den Angestellten zu zeigen, wo sie nicht klicken sollten. Es befähigt sie, potenzielle Social-Engineering-Angriffe zu erkennen und abzuwehren, indem sie die psychologischen Auslöser verstehen, die bei solchen Angriffen genutzt werden, zum Beispiel Vertrauen, Angst, Dringlichkeit und Neugier, sowie Methoden zur Überprüfung der Echtheit von Phishing-E-Mails und zur Validierung verdächtiger Links. Das Training beinhaltet auch reale Simulationen, die das Selbstbewusstsein der Mitarbeitenden stärken und sie ermutigen, bei verdächtigen Nachrichten aktiv zu werden.
Über weitere Maßnahmen nachdenken
Viele Organisationen verwenden Endpoint Detection and Response (EDR) und Security Information and Event Management (SIEM), um Angriffe zu überwachen. Mit wachsender Komplexität dieser Systeme zur Abdeckung der immer größeren Angriffsfläche steigt auch die Zahl der Alarme, was zu Alarmmüdigkeit führt, die nur wenige Organisationen personell und fachlich überwinden können. Hier kommt Managed Detection and Response (MDR) ins Spiel. MDR bietet eine Rund-um-die-Uhr-Erkennung und Reaktion auf Bedrohungen, beschleunigt die Wiederherstellungszeit und minimiert oder beseitigt die Auswirkungen eines Angriffs. MDR ist vergleichbar mit einem eigenen Security Operations Center, jedoch zu überschaubareren Kosten. Die MDR-Experten überwachen nicht nur Alarme, sondern unterstützen die Teams vor Ort dabei, zu verstehen, welche Warnungen kritisch sind und zu Handlungen führen müssen. Sie liefern den Kontext zum endlosen Strom an Alarme und können in jenem wichtigen Zeitfenster eingreifen, in dem ein Angreifer die Systeme eines Unternehmens kompromittiert hat – häufig bevor ein echter Schaden entsteht.
Modernisierung von Datensicherungen
Regelmäßige System- und Netzwerksicherungen gehören zu den wichtigsten Verteidigungsmaßnahmen gegen Angriffe. Werden Dateien durch Ransomware verschlüsselt, ermöglichen Back-ups eine schnelle Wiederherstellung der Daten auf den Stand vor dem Angriff. So werden Ausfallzeiten und Unterbrechungen minimiert und Lösegeldzahlungen können vermieden werden. Auch Angreifer wissen jedoch, dass zuverlässige Back-ups oft die letzte Hürde vor ihrer „Bezahlung“ sind, und versuchen daher verstärkt, sie gezielt auszuschalten: 94% der Unternehmen, die im vergangenen Jahr durch Ransomware betroffen waren, berichteten, dass auch ihre Back-ups attackiert wurden.
Eine Möglichkeit, eine Kompromittierung aller Back-ups zu vermeiden, ist die 3–2–1-Regel: Es sollten immer drei Kopien wichtiger Geschäftsdaten existieren – ein Original und zwei Sicherungen. Eine der Back-ups muss an einem externen Standort gespeichert werden, zum Beispiel in einer Cloud, um sich vor lokalen Katastrophen zu schützen. Die Vielfalt der Speicherorte schützt zudem vor ausfallbedingten Problemen an nur einem Typ Speichermedium.
Regelmäßige Tabletop-Übungen durchführen
Selbst mit den besten vorbeugenden Maßnahmen ist kein Unternehmen vor einem Angriff sicher. Regelmäßige Tabletop-Übungen helfen jedoch dabei, die Organisation optimal vorzubereiten, Schäden zu minimieren und eine schnellere Wiederherstellung nach Vorfällen zu ermöglichen. Während einer Tabletop-Übung kann das Team verschiedene Szenarien durchspielen und testen, ob die Reaktionsstrategie ausreichend ist oder Anpassungen erfordert. Diese Probeläufe identifizieren Lücken in der Kommunikationskette und bestätigen die Rollenverteilung im Ernstfall. Solche Übungen sollten mindestens einmal pro Jahr durchgeführt werden, um mit der sich ständig verändernden Bedrohungslage Schritt zu halten.
Die wiederholten Cyberangriffe auf den deutschen Hersteller ThyssenKrupp AG sind ein perfektes Beispiel dafür, dass Maßnahmen zur Risikoabwehr im Cyberbereich kein einmaliges Projekt sind. Im Februar vergangenen Jahres wurde ThyssenKrupp erneut Opfer eines Angriffs, der die IT-Systeme der Automobil-Sparte lahmlegte und die Produktion stoppte – es war jedoch nicht das erste Mal. Schon 2016 und 2022 wurden Angriffe gemeldet. Das zeigt: Cyber-Risikomanagement ist ein fortlaufender Prozess, der kontinuierlich angepasst und weiterentwickelt werden muss, um neuen Angriffsvektoren, Technologien und Gefahren zu begegnen.
Cyberversicherung in Betracht ziehen
Ein Ransomware-Angriff kann Unternehmen mit begrenzten finanziellen, IT-, operativen und sonstigen Ressourcen empfindlich treffen. Im Jahr 2024 lagen die durchschnittlichen Lösegeldforderungen bei etwa 4,1 Mio. Euro. Die Zahlung der Lösegeldsumme ist dabei oft nur ein Teil der Kosten. Hinzu kommen Ausgaben für Betriebsunterbrechung, Wiederherstellung digitaler Assets, forensische Untersuchungen und weitere Folgekosten. An dieser Stelle kann eine Cyberversicherung helfen.
Sie ist ein entscheidendes Werkzeug im Risikomanagement jeder Organisation. Eine Cyberversicherung bietet nicht nur im Schadenfall Deckung und unterstützt bei der Wiederherstellung, sondern stellt auch zusätzliche Tools und Ressourcen zur Verfügung, mit deren Hilfe Unternehmen ihre Cyber-Resilienz stärken können.
Oft umfasst die Absicherung Leistungen wie Incident Response, juristische Beratung, forensische Untersuchungen, Unterstützung bei der Abwicklung von Lösegeldforderungen sowie Meldungen bei Datenschutzverletzungen. Zunehmend werden auch Schäden an Maschinen oder Personenschäden abgesichert und die Wiederherstellung oder Wiederbeschaffung von Systemen und/oder Daten übernommen. Die Police kann zudem eine Betriebsunterbrechungsdeckung enthalten, sodass Versicherungsnehmer im Fall einer Betriebsunterbrechung infolge eines Sicherheitsvorfalls Anspruch auf Einkommensersatz und Kostenerstattung haben.
Schutzstrategien weiterentwickeln und mehr Resilienz schaffen
In einer Welt, in der das digitale Risiko sich laufend verändert, müssen sich auch die Strategien zum Schutz von Unternehmen und ihrer kritischen Infrastrukturen gegen Cyberangriffe weiterentwickeln. Kritische Infrastrukturen tragen ihren Namen zu Recht: Sie sind kritisch. Durch den Einsatz aktiver Cyberstrategien können digital exponierte Unternehmen die Basis für mehr Cyberresilienz schaffen und potenziell verheerende Auswirkungen durch Ausfälle vermeiden.
Lesen Sie auch:
Weiterer Lesetipp:
Tine Simonsen 
- Anmelden, um Kommentare verfassen zu können
