Erweiterte Suche

Cybersecurity

Cybersicherheit

„Wir brauchen mehr öffentliche Bekenntnisse zu Cyberangriffen“

Michael C. Wisser
Michael C. Wisser, Vorstand der Wisag Gruppe. Foto: Wisag

Die Wisag-Gruppe wurde Ende Januar Opfer eines Cyberangriffs. Im Interview mit Tagesspiegel Background berichtet Vorstand Michael Wisser, wie das Unternehmen mit dem Vorfall umgegangen ist und wie aus einer Krise sogar etwas Gutes entstehen kann.

Johannes Steger

von Johannes Steger

veröffentlicht am 07.06.2022

aktualisiert am 21.06.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Herr Wisser, im Januar diesen Jahres wurde Wisag von kriminellen Hacker:innen angegriffen – Ihre IT-Verantwortlichen entdeckten den Angriff und klemmten die Systeme ab. Deshalb war die Lohnauszahlung für Ihre rund 50.000 Mitarbeiter:innen kurz gefährdet. Erinnern Sie sich noch daran, was Sie dachten, als Sie davon erfahren haben?

Das ist jetzt schon eine Weile her, ich kann mich aber noch sehr genau erinnern. Mein erster Gedanke galt meinen Kolleginnen und Kollegen. Denn mitten in der Lohnabrechnung war das der ärgerlichste Zeitpunkt, in dem es uns erwischen konnte. Gleichzeitig muss ich aber sagen, dass mein größter Dank den Kolleg:innen gilt. Sie haben trotz allem das operative Geschäft weitergeführt – und das ist ohne vollständig funktionierende IT gar nicht so leicht. Ihnen ist zu verdanken, dass die Auswirkungen auf unsere Kunden minimal gewesen sind. Genauso hat unsere IT-Abteilung auf Höchstleistung gearbeitet. Ich persönlich habe aber auch schnell einsehen müssen, dass man zwar so einen Angriff erschweren, ihn aber am Ende nicht verhindern kann.

Das klingt fatalistisch…

Es ist gut und wichtig, dass man sich mit der Frage beschäftigt, wie man sein Unternehmen, seine Daten und Systeme schützen kann. Es gehört aber eben auch dazu, dass man sich mit der Zeit nach dem Angriff beschäftigt. Ich glaube, dass das ganze Thema davon geprägt gewesen ist, zu sagen: Wenn ich die Mauer nur dick genug mache, passiert mir ja nichts. Aber wenn wir ehrlich sind, ist es nicht zu verhindern. Das heißt, dass wir uns genauso die Frage stellen müssen: Bin ich auf den Ernstfall vorbereitet? Und wie komme ich da schnellstmöglich wieder raus? Funktioniert mein Lieferantenmanagement in diesem Fall? Und habe ich die richtigen Partner an meiner Seite?

Sie waren also vorbereitet?

Wir wussten zumindest, wen wir anrufen – und konnten Schritt für Schritt auf die Situation reagieren.

Sie haben sich entschieden, kein Lösegeld zu zahlen. Wäre das nicht einfacher gewesen?

Das ist eine Frage von Haltung – und war nirgendwo im Unternehmen auch nur Thema. Für alle war klar: Das machen wir nicht.

Sie haben den Vorfall dann auch transparent nach Außen kommuniziert – warum diese Offenheit? Haben Sie keine Schäden für Ihre Reputation befürchtet?

Es muss doch jedem klar sein, dass die Wahrscheinlichkeit extrem hoch ist, dass es am Ende rauskommt. Wenn Sie als Unternehmen ihre Integrität wahren möchten, dann geht das nur mit schneller und transparenter Kommunikation darüber, dass Sie jetzt am Fliegenfänger hängen, sie alles versuchen, da wieder runterzukommen und über den Verlauf zügig informieren werden. Ich persönlich bin der festen Überzeugung, dass es das ist, was Vertrauen schafft. In so einer Situation ist das Gefühl des Ausgeliefertseins vorherrschend. Pseudostärke vorzuspielen, kauft einem doch niemand ab.

Wie haben Sie gegenüber Ihren Mitarbeiter:innen kommuniziert?

Genauso offen und ehrlich wie nach außen. Aber ergänzt durch ein permanentes Feedback. Sie bewegen sich in einem Prozess, in dem sie Stück für Stück ein System, eine Anwendung wiederherstellen. Und es funktioniert jeden Tag ein kleines bisschen mehr. Die Nutzer sind dann froh und stürzen sich auf die Systeme, die wieder funktionieren. Und dann ist eben auch Feedback wichtig. Funktioniert alles richtig oder hakt es noch an einer Stelle? Gibt es noch eine Schnittstelle, die nicht funktioniert? Gibt es irgendwo ein Zugriffsrecht, das blockiert? Da ist eine enge und vertrauensvolle Kommunikation darüber wichtig, dass man das, was möglich ist, in Windeseile maximal zur Verfügung stellt. Das haben wir den Kolleg:innen auch so signalisiert – schließlich ging es hier auch um Lohnzahlungen.

Was macht so ein Vorfall mit dem Team und worauf kommt es dann bei Führungskräften an?

Das ist eine belastende Situation. Sie müssen für ihr Team klar der Kapitän auf der Brücke sein und das in einer Zeit, in der sie selbst nicht genau wissen, wo es hingeht. Gleichzeitig braucht das Team Zuversicht und Ruhe. Und dann kommt der Teil, der noch schwieriger ist. Denn es werden in jedem einzelnen Schritt, den man durchläuft, unpopuläre Entscheidungen zu treffen sein. Manchmal auch Entscheidungen, die vielleicht nicht in der Theorie die gewesen wären, die man wählt. Das Rückgrat zu haben, das zu tun, entscheidet. Meine Aufgabe war es also, zusammen mit unserem IT-Leiter dafür zu sorgen, dass sich die Kolleg:innen sicher fühlen, solche Entscheidungen zu treffen. Es ist ein Marathon, aber am Ende muss man versuchen, das Beste daraus zu machen – dann kann in so einer Situation auch etwas Gutes entstehen.

Wie das?

Sie zwingt einen dazu, radikal neu zu denken. So ein Angriff ist auch eine Art Revision der eigenen Systeme. Das muss man sich natürlich nicht wünschen, aber wenn es schon mal passiert ist, muss man daraus das Beste machen und einen Nutzen daraus ziehen. Der Angriff hat uns durchaus einige Schwächen aufgezeigt. Das fängt bei einem sehr einfachen Beispiel wie Passwortmanagement an. Dann gibt es noch strukturelle Themen, die wir verbessert haben. Wir haben damit nicht unsere Bemühungen eingestellt, die Mauer möglichst sicher zu bauen, aber wir machen uns jetzt auch mehr Gedanken darüber, wie wir alles hinter der Mauer schnell wieder aufgebaut bekommen. Ich glaube, dass die Fähigkeit zur Wiederherstellung der Systeme ein zentraler Aspekt ist. Es ist für Angreifer ja nicht besonders interessant, wenn nach drei Tagen alles wieder läuft. Gleichzeitig bin ich der festen Überzeugung, dass wir hier eine viel größere Öffentlichkeit brauchen.

Um über solche Angriffe zu sprechen?

Es sind viele Unternehmen nach unserem Statement auf uns zugekommen und haben gesagt: Uns hat es auch schon betroffen. Und es gab und gibt noch einen sehr regen Austausch. Darüber, was wir aus dieser Situation gelernt haben, welche systemischen Schwächen identifiziert wurden und wie wir uns dagegen wehren. Da entsteht ganz plötzlich ein Teilen von Wissen, ein Wissenstransfer. Je mehr man sich mit dem Thema beschäftigt, desto mehr stellt man fest, wie viele von dem Thema schon betroffen waren oder aktuell betroffen sind.

Wird zu wenig darüber gesprochen?

Viel zu wenig. Je mehr wir darüber sprechen, desto klarer wird, dass das jedem von uns passieren kann und dass das nicht unbedingt etwas damit zu tun hat, dass sich Unternehmen im Bereich IT-Sicherheit nicht ausreichend gekümmert haben, sondern dass das auch Unternehmen trifft, die gute IT-Abteilungen mit guten Systemen und guten Prozessen haben und sich trotzdem am Ende nicht vollständig dagegen wehren konnten. Und genau darüber müssen wir viel mehr sprechen und wegkommen von der vermeintlichen Scham, von einem Cyberangriff betroffen zu sein. Ich habe auch verstanden und gesehen, dass es, wenn ich das öffentlich mache, nicht zu einer öffentlichen Schelte führt, sondern dazu, dass mir andere Unternehmen Hilfe und Austausch anbieten. Wir brauchen mehr öffentliche Bekenntnisse zu Cyberangriffen.

Ärgern Sie sich darüber, wenn Unternehmen nicht öffentlich darüber sprechen?

Man muss auch immer noch auf das betroffene Unternehmen schauen und darauf, wie erfolgreich der Angriff gewesen ist. Wir sind jetzt ja zum Beispiel kein Unternehmen, das mit Patenten und Forschung und Entwicklung agiert. Ich habe Verständnis dafür, dass Unternehmen, bei denen möglicherweise ein Angriff sogar in diese Bereiche vorgedrungen ist, schlicht verzweifelt sind. Das muss man berücksichtigen, weil es sich hier ja auch um Industriespionage handeln kann. Aber den ganzen Erpressern mit Ransomware sollten wir eine starke und informierte Öffentlichkeit entgegensetzen. 

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen