Herr Schaaf, welche neue Bedrohung stellen Golden-Ticket-Attacken für Unternehmen dar?

Schaaf: Eine Golden-Ticket-Attacke ist so heikel für Unternehmen, weil sie nur sehr schwer zu verhindern ist. Dabei werden ganz normale Systemabläufe ausgenutzt, die täglich tausendfach bei der Kommunikation der Computer innerhalb eines Netzwerkes passieren. Wenn es die Täter erst mal geschafft haben, in den Besitz eines Golden Tickets zu kommen, können sie sich praktisch frei im Netzwerk bewegen und haben fast überall ungehinderten Zugriff.

…sind sie vergeichbar mit einem Generalschlüssel?

Ja, und das größte Problem dabei ist, dass man sich mit einem Golden Ticket überall im System einnisten kann, meist an ganz vielen unterschiedlichen Stellen, und von dort aus über lange Zeit operieren kann. Dies kann an fünf, an zehn aber auch an 50 Stellen sein. Von dort aus wird dann ein immer fortwährender Datenabfluss gesteuert. Findet man ein solches Versteck, wo sich die Täter eingenistet haben, heißt das noch lange nicht, dass man das Problem gelöst hat. Denn: Dann befinden sich immer noch -zig weitere Verstecke im System.

Wer sind die Hacker?

Klar ist dabei auch, dass diese Angriffe vor allem für Spionage interessant sind, weil über einen längeren Zeitraum sämtliches relevantes Know-how immer wieder aus dem Unternehmen transferiert werden kann. Man ist immer ganz aktuell auf dem neuesten Stand. Angreifer sind daher häufig ausländische Nachrichtendienste, die sich für neueste Entwicklungen, Patente oder Produktionsverfahren interessieren.

Und davor sind selbst die größten Unternehmen – nehmen wir mal die DAX-Konzerne – mit riesiger IT-Abteilung – nicht sicher?

Nein, nicht. Bei der IT-Sicherheit ist der heutige Standpunkt leider immer noch, dass man sich gegen die Angriffe so umfassend schützen muss, dass nichts passieren kann. Was aber, wenn doch? Beim vorbeugenden Brandschutz beispielsweise wird auch viel getan, um den Ausbruch eines Feuers zu verhindern. Deswegen schaffen wir aber noch lange nicht die Feuerwehr ab. Wir haben alle im Hinterkopf, dass es trotz aller Vorsichtsmaßnahmen zu einem Brand kommen kann und sind dafür gewappnet.

Genauso ist es bei der Sicherheit. Trotz aller hohen Zäune und Zutrittsbeschränkungssysteme haben wir auch einen Werkschutz, der ständig patrouilliert, ob die Sicherheitseinrichtungen noch intakt sind und sich niemand unberechtigt im Werksgelände bewegt. Dieses Schema müssen wir auch auf die IT übertragen und Ressourcen dafür schaffen, ständig zu überprüfen, ob bereits irgendwo Eindringlinge sind.

Je eher man solche Angriffe erkennt, umso höher ist die Chance, dass man  den Schaden gering hält. Wenn die Hacker erst mal über einen längeren Zeitraum die Möglichkeit hatten, sich an zig verschiedenen Stellen im System einzunisten, dann ist das Auffinden und Wieder-Beseitigen meist eine Herkules-Aufgabe.

Was muss dann passieren?

In solchen Fällen hilft dann eigentlich nur noch die Abschaltung des Systems und ein komplettes Neu-Aufsetzen. Die ganze Firma muss komplett vom System genommen werden. Der Aufwand ist gewaltig, würde vermutlich mehrere Wochen dauern und ist in der Regel aufgrund der täglich erforderlichen Abläufe im Unternehmen – etwa in der Produktion – gar nicht so einfach möglich.

Was schätzen sie, würde ein Unternehmen so etwas kosten – an Ausfall und IT-Ausgaben?

Von den reinen Hardware- und Personalkosten für die Installation und Neukonfiguration mal abgesehen, kämen auch immense Ausfallkosten und Imageschäden dazu. Stellen Sie sich vor ein produzierendes Unternehmen mit festen Kunden- und Zulieferverträgen könnte über Wochen oder Monate nicht arbeiten, weder Waren oder Dienstleistungen annehmen noch Produkte ausliefern.

Zumal: Auch der Imageschaden wäre enorm. Ich gehe sogar davon aus, dass es den Kurswert eines Unternehmens sehr nachhaltig beeinflussen könnte.