04F02 Umgang mit Cyberrisiken – Entscheidungsmodell aus der Luftfahrt FOR-DEC
|
Ob Ransomware, Systemausfall oder gezielte Cyberattacke: Entscheidend ist nicht nur Prävention, sondern die Fähigkeit, in einer akuten Cyberkrise schnell und strukturiert zu handeln. Der Beitrag gibt einen kompakten Überblick über Cyberresilienz als strategischen Rahmen für Schutz, Reaktion und Notbetrieb. Er zeigt, was Cyberkrisenmanagement vom klassischen Krisenmanagement unterscheidet, und erläutert, wie Methoden aus der Luftfahrt – Crew Resource Management und FOR-DEC – Unternehmen bei Entscheidungen in kritischen Cyberlagen unterstützen können. Arbeitshilfen: von: |
1 Veränderte Cyberbedrohungen infolge von Digitalisierung und Vernetzung
IT ist Grundlage kritischer Unternehmensprozesse
Eine funktionierende Informations- und Kommunikationstechnologie (IKT) ist heute für nahezu alle Produktions- und Administrationsprozesse zwingende Voraussetzung. Häufig gibt es aufgrund der zu verarbeitenden Datenmengen, vielfältigen Systemschnittstellen und Verarbeitungslogiken sowie Anforderungen aus Governance und Compliance keine alternativen Umgehungslösungen, um einen IKT-Ausfall abzufedern. IT-Ausfälle oder z. B. Datenverlust infolge Datenverschlüsselung aufgrund einer Ransomwareattacke führen so unmittelbar zum Ausfall kritischer Administrations- und/oder Produktionsprozesse. Auf der einen Seite hat die Abhängigkeit von IKT-Anwendungen, IKT-Systemen und Daten der Prozesse deutlich zugenommen, während auf der anderen Seite die Risiken eines IKT-Ausfalls stark wachsen. Zu diesen Risiken zählen neben menschlichen Fehlern (z. B. Programmierfehler, Fehler beim IKT-Systembetrieb oder Änderungen), Versäumnissen (z. B. Unterlassen von Patches und Updates) und technischen Fehlern (z. B. Systemabstürze) insbesondere auch Risiken durch Cyberattacken. Dabei müssen Cyberattacken nicht zwingend gezielt gegen das Unternehmen gerichtet sein. So gilt das Argument, ein Unternehmen sei zu klein oder zu unbekannt, um als Angriffsziel ins Visier von Angreifern zu geraten, nicht für Cyberattacken. Zahlreiche weltweit durchgeführte Ransomwareattacken mit schwerwiegenden Folgen in der jüngsten Vergangenheit zeigen, dass jedes Unternehmen jederzeit Opfer werden kann. Zudem kann Schadsoftware über die Supply Chain mittels Installation oder Updates scheinbar legitimer Software in das Unternehmen gelangen.
Eine funktionierende Informations- und Kommunikationstechnologie (IKT) ist heute für nahezu alle Produktions- und Administrationsprozesse zwingende Voraussetzung. Häufig gibt es aufgrund der zu verarbeitenden Datenmengen, vielfältigen Systemschnittstellen und Verarbeitungslogiken sowie Anforderungen aus Governance und Compliance keine alternativen Umgehungslösungen, um einen IKT-Ausfall abzufedern. IT-Ausfälle oder z. B. Datenverlust infolge Datenverschlüsselung aufgrund einer Ransomwareattacke führen so unmittelbar zum Ausfall kritischer Administrations- und/oder Produktionsprozesse. Auf der einen Seite hat die Abhängigkeit von IKT-Anwendungen, IKT-Systemen und Daten der Prozesse deutlich zugenommen, während auf der anderen Seite die Risiken eines IKT-Ausfalls stark wachsen. Zu diesen Risiken zählen neben menschlichen Fehlern (z. B. Programmierfehler, Fehler beim IKT-Systembetrieb oder Änderungen), Versäumnissen (z. B. Unterlassen von Patches und Updates) und technischen Fehlern (z. B. Systemabstürze) insbesondere auch Risiken durch Cyberattacken. Dabei müssen Cyberattacken nicht zwingend gezielt gegen das Unternehmen gerichtet sein. So gilt das Argument, ein Unternehmen sei zu klein oder zu unbekannt, um als Angriffsziel ins Visier von Angreifern zu geraten, nicht für Cyberattacken. Zahlreiche weltweit durchgeführte Ransomwareattacken mit schwerwiegenden Folgen in der jüngsten Vergangenheit zeigen, dass jedes Unternehmen jederzeit Opfer werden kann. Zudem kann Schadsoftware über die Supply Chain mittels Installation oder Updates scheinbar legitimer Software in das Unternehmen gelangen.
Zunehmende Angriffsflächen für Cyberattacken
Die stark zunehmende Digitalisierung z. B. im Rahmen des Internet of Things (IoT) und die Vernetzung von technischen und IT-Systemen – auch über Unternehmensgrenzen hinweg – führt zu einer verstärkten Exposition der IKT gegenüber diesen Risiken. Steuerungssysteme für die Regelung und Überwachung von technischen Anlagen verfügen mittlerweile über gängige Betriebssysteme – mitsamt deren Schwachstellen – und Internetanbindung zur Fernadministration. Die Angriffsfläche und damit die Verwundbarkeit der IKT steigen mit dem Grad der Digitalisierung und Vernetzung. Nicht erkannte oder nicht behobene Schwachstellen ermöglichen es Angreifern, tief in die IKT-Systeme einzudringen und schwerwiegende Schäden für das Unternehmen anzurichten. Bei den Angreifern handelt es sich um ein breites Täterspektrum vom Einzeltäter bis hin zur arbeitsteilig agierenden organisierten Kriminalität und zu ausländischen staatlichen Diensten. Die Angreifer reagieren zudem extrem flexibel auf neue technische Entwicklungen. Toolkits zur Ausnutzung von Schwachstellen (z. B. Zero-Day-Exploits), Schadsoftware und Services können einfach nach Bedarf über das Internet bezogen und nutzungsabhängig abgerechnet werden (Cyber Crime as a Service).
Die stark zunehmende Digitalisierung z. B. im Rahmen des Internet of Things (IoT) und die Vernetzung von technischen und IT-Systemen – auch über Unternehmensgrenzen hinweg – führt zu einer verstärkten Exposition der IKT gegenüber diesen Risiken. Steuerungssysteme für die Regelung und Überwachung von technischen Anlagen verfügen mittlerweile über gängige Betriebssysteme – mitsamt deren Schwachstellen – und Internetanbindung zur Fernadministration. Die Angriffsfläche und damit die Verwundbarkeit der IKT steigen mit dem Grad der Digitalisierung und Vernetzung. Nicht erkannte oder nicht behobene Schwachstellen ermöglichen es Angreifern, tief in die IKT-Systeme einzudringen und schwerwiegende Schäden für das Unternehmen anzurichten. Bei den Angreifern handelt es sich um ein breites Täterspektrum vom Einzeltäter bis hin zur arbeitsteilig agierenden organisierten Kriminalität und zu ausländischen staatlichen Diensten. Die Angreifer reagieren zudem extrem flexibel auf neue technische Entwicklungen. Toolkits zur Ausnutzung von Schwachstellen (z. B. Zero-Day-Exploits), Schadsoftware und Services können einfach nach Bedarf über das Internet bezogen und nutzungsabhängig abgerechnet werden (Cyber Crime as a Service).
KI-Angriffe
Durch den Einsatz künstlicher Intelligenz (KI) können die Angreifer die Prozesse zur Erkennung und Ausnutzung von Schwachstellen deutlich schneller und effizienter machen. Aktuelle KI-Modelle wie Claude Mythos oder GPT-5.4-Cyber sind sogar in der Lage, die Sicherheitslücken in Software selbstständig zu finden. Das macht automatisierte KI-Angriffe mit Zero-day-Lücken just in time denkbar. Phishingangriffe zur Erbeutung von Nutzerdaten sind aufgrund des Einsatzes von KI für die Opfer kaum mehr erkennbar, da eine Vielzahl an realen und aktuellen Informationen aus vielen Quellen in die Phishingangriffe eingebaut werden kann. Hacker setzen KI ein, um auf den angegriffenen Systemen sensitive Daten auf Laufwerken und in E-Mails schneller zu finden, um sie anschließend zu exfiltrieren. Mittels Nutzung vorhandener legitimer Tools auf den Ziel-Systemen (Living off the Land – LotL) ohne die Einschleusung eigenen Codes können die Angreifer lange unentdeckt bleiben und sich lateral weiterbewegen, um tiefer in die IT-Systeme einzudringen.
Durch den Einsatz künstlicher Intelligenz (KI) können die Angreifer die Prozesse zur Erkennung und Ausnutzung von Schwachstellen deutlich schneller und effizienter machen. Aktuelle KI-Modelle wie Claude Mythos oder GPT-5.4-Cyber sind sogar in der Lage, die Sicherheitslücken in Software selbstständig zu finden. Das macht automatisierte KI-Angriffe mit Zero-day-Lücken just in time denkbar. Phishingangriffe zur Erbeutung von Nutzerdaten sind aufgrund des Einsatzes von KI für die Opfer kaum mehr erkennbar, da eine Vielzahl an realen und aktuellen Informationen aus vielen Quellen in die Phishingangriffe eingebaut werden kann. Hacker setzen KI ein, um auf den angegriffenen Systemen sensitive Daten auf Laufwerken und in E-Mails schneller zu finden, um sie anschließend zu exfiltrieren. Mittels Nutzung vorhandener legitimer Tools auf den Ziel-Systemen (Living off the Land – LotL) ohne die Einschleusung eigenen Codes können die Angreifer lange unentdeckt bleiben und sich lateral weiterbewegen, um tiefer in die IT-Systeme einzudringen.
Regulatorische Anforderungen an die Resilenz
Gesetzliche und regulatorische Anforderungen wie DORA (Digital Operational Resilience Act) für den Finanzdienstleistungsbereich, NIS2 und das KRITIS-Dachgesetz stellen die Resilienz in den Fokus der Anforderungen. Die Compliance mit diesen Anforderungen ist daher ein Treiber für resiliente Organisationen.
Gesetzliche und regulatorische Anforderungen wie DORA (Digital Operational Resilience Act) für den Finanzdienstleistungsbereich, NIS2 und das KRITIS-Dachgesetz stellen die Resilienz in den Fokus der Anforderungen. Die Compliance mit diesen Anforderungen ist daher ein Treiber für resiliente Organisationen.
Das Lagebild für Cyber Crime
Aktuelle Statistiken zeigen einen leichten Rückgang der Ransomwareattacken. Das Bundesamt für Sicherheit in der Informationstechnik meldet im Cyber-Crime-Lagebericht 2025 mit 950 bei der Polizei angezeigten Ransomwareangriffen im Jahr 2024 einen leichten Rückgang. Dieser wird auf die Zerschlagung mehrerer großer Ransomware-as-a-Service-Gruppen zurückgeführt. Rund 80 Prozent der angezeigten Angriffe zielten auf KMU. Im Fokus der Angreifer stehen Unternehmen mit den schwächsten Sicherheitsvorkehrungen und nicht die Unternehmen mit dem größten Erpressungspotenzial. Der Markt für Cyber Crime ist ein internationaler, marktwirtschaftlich und arbeitsteilig organisierter Markt. Die Zahl der Angriffe ist in den vergangenen Jahren gestiegen, die Erfolgsquote und die erbeuteten Ransomwarezahlungen sind jedoch zurückgegangen. Dies ist auf den verbesserten Schutz und Backup-/Recoverymaßnahmen zurückzuführen.
Aktuelle Statistiken zeigen einen leichten Rückgang der Ransomwareattacken. Das Bundesamt für Sicherheit in der Informationstechnik meldet im Cyber-Crime-Lagebericht 2025 mit 950 bei der Polizei angezeigten Ransomwareangriffen im Jahr 2024 einen leichten Rückgang. Dieser wird auf die Zerschlagung mehrerer großer Ransomware-as-a-Service-Gruppen zurückgeführt. Rund 80 Prozent der angezeigten Angriffe zielten auf KMU. Im Fokus der Angreifer stehen Unternehmen mit den schwächsten Sicherheitsvorkehrungen und nicht die Unternehmen mit dem größten Erpressungspotenzial. Der Markt für Cyber Crime ist ein internationaler, marktwirtschaftlich und arbeitsteilig organisierter Markt. Die Zahl der Angriffe ist in den vergangenen Jahren gestiegen, die Erfolgsquote und die erbeuteten Ransomwarezahlungen sind jedoch zurückgegangen. Dies ist auf den verbesserten Schutz und Backup-/Recoverymaßnahmen zurückzuführen.
Double Extortion
Die Angreifer haben auf diese Entwicklung reagiert und den Fokus von der Verschlüsselung auf die Exfiltration von sensitiven Daten aus den Zielsystemen der angegriffenen Unternehmen und Organisationen verlagert (Double Extortion). Mit den erbeuteten Daten haben die Erpresser einen wirksamen Hebel, um Druck auf die Opfer auszuüben, auch wenn die verschlüsselten Daten aus den Backups wiederhergestellt werden können. Mit der Drohung der Veröffentlichung der Daten auf Leak-Seiten und Information der Kunden und Datenschutzbehörden werden die betroffenen Unternehmen und Organisationen unter Druck gesetzt, das Lösegeld zu bezahlen. Vor allem die besonders im Fokus stehenden Behörden und Verwaltungen verfügen über große Mengen an personenbezogenen Daten von Bürgern.
Die Angreifer haben auf diese Entwicklung reagiert und den Fokus von der Verschlüsselung auf die Exfiltration von sensitiven Daten aus den Zielsystemen der angegriffenen Unternehmen und Organisationen verlagert (Double Extortion). Mit den erbeuteten Daten haben die Erpresser einen wirksamen Hebel, um Druck auf die Opfer auszuüben, auch wenn die verschlüsselten Daten aus den Backups wiederhergestellt werden können. Mit der Drohung der Veröffentlichung der Daten auf Leak-Seiten und Information der Kunden und Datenschutzbehörden werden die betroffenen Unternehmen und Organisationen unter Druck gesetzt, das Lösegeld zu bezahlen. Vor allem die besonders im Fokus stehenden Behörden und Verwaltungen verfügen über große Mengen an personenbezogenen Daten von Bürgern.
Unbrauchbare Backupsysteme
Gleichzeitig zielen die Angriffe im ersten Schritt auf die Backupsysteme, um die Wiederherstellung der Daten zu erschweren. Direkt in das Netzwerk eingebundene Backuplösungen ohne Air Gap werden unbrauchbar gemacht, und die Opfer müssen auf ältere Sicherungen zurückgreifen. Dies erschwert die Wiederherstellung wegen umfangreicher Nacherfassungen von Daten beträchtlich.
Gleichzeitig zielen die Angriffe im ersten Schritt auf die Backupsysteme, um die Wiederherstellung der Daten zu erschweren. Direkt in das Netzwerk eingebundene Backuplösungen ohne Air Gap werden unbrauchbar gemacht, und die Opfer müssen auf ältere Sicherungen zurückgreifen. Dies erschwert die Wiederherstellung wegen umfangreicher Nacherfassungen von Daten beträchtlich.
Kritische Infrastrukturen
Auch hybride Angriffe auf die kritische Infrastruktur wie Strom- und Internetversorgung können vergleichbar schwerwiegende Effekte auf Unternehmen und Organisationen wie direkte Angriffe haben. Infolge der politischen Konflikte haben Sabotageangriffe auf die kritische Infrastruktur massiv zugenommen, wie die Angriffe auf die Stromversorgung Berlins und Anlagen der Bahn gezeigt haben.
Auch hybride Angriffe auf die kritische Infrastruktur wie Strom- und Internetversorgung können vergleichbar schwerwiegende Effekte auf Unternehmen und Organisationen wie direkte Angriffe haben. Infolge der politischen Konflikte haben Sabotageangriffe auf die kritische Infrastruktur massiv zugenommen, wie die Angriffe auf die Stromversorgung Berlins und Anlagen der Bahn gezeigt haben.