Gehackt: Verhandeln mit Cyber-Kriminellen anstatt mit Investoren!?

Opfer einer Cyberattacke während des Unternehmensverkaufs?

Minimieren Sie Risiken vor und während eines Angriffs. Pausieren Sie den Verkaufsprozess und finden Sie angemessenere Verhandlungspartner.

Jedes Jahr steigt die Zahl der Hacker-Angriffe auf Unternehmen. Im Dezember 2023 war die Werkstoffsparte von Thyssenkrupp Ziel einer Cyberattacke geworden – wieder einmal. Vor Kurzem traf es Fujitsu oder Varta und die Deutsche IHK warnt vor Phishing. Solche Art Angriffe können eine der härtesten und kurzfristigsten Restrukturierungen einleiten, die ein Unternehmen durchführt. Was passiert, wenn Ihre Firma mitten im Unternehmensverkaufsprozess von Hackern attackiert wird?

Mittlerweile hat sich eine Industrie etabliert, in der Hacker morgens auf die Arbeit gehen, um Unternehmen anzugreifen. Man kann „Cybercrime-as-a-Service“ einkaufen und die Cyber-Kriminellen sind arbeitsteilig organisiert, mit Provisionsmodellen ihrer unterschiedlichen Dienstleistungen. Das Bundesamt für Sicherheit in der Informationstechnik warnt, dass diese Industrie im Durchschnitt 250.000 neue Schadprogramm-Varianten freisetzt – täglich1. Die technisch versierten Cyberkriminellen setzen künstliche Intelligenz ein, um weitere Schwachstellen aufzuspüren und auszunutzen.

Besonders beliebt ist der sogenannte Ransomware-Angriff: für die Herausgabe der eigenen Daten wird Lösegeld gefordert. Im Unternehmen werden solche Attacken dann offenbar, wenn es bereits zu spät ist: Daten und Dokumente werden verschlüsselt, Backups in vielen Fällen ebenfalls. Im Gegensatz zu einem Cyberwar-Angriff ist es nicht das Ziel, das Unternehmen in die Insolvenz zu treiben oder langfristig handlungsunfähig zu machen, sondern es ist vielmehr ein Geschäftsmodell, Geld zu erpressen.

Wie läuft ein Ransomware Cyberangriff ab?

Zuerst ist ein initialer Zugriff notwendig, der über Methoden wie Phishing erfolgt oder Schachstellen in verschiedenen Softwareprodukten ausnutzt. Der Kreativität sind kaum Grenzen gesetzt und jede Abwehrmaßnahme wird früher oder später fallen. Der schwächste Punkt ist oft der Mensch, der dafür sensibilisiert werden muss, wie Angriffe vonstatten gehen können.

Ein solcher Zugriff öffnet eine Hintertüre, über die Schadsoftware bereits eingeschleust wurde oder nachgeladen wird. Zum Teil ruhen die Erstangriffe und breiten sich nach einer gewissen Wartezeit aus. Oft werden automatisierte Tools verwendet, um sich horizontal und vertikal durch das Netzwerk zu bewegen und sich Zugang zu sensiblen Daten zu verschaffen.

Anschließend werden Dateien uns Systeme verschlüsselt, was den Zugriff unmöglich und in den meisten Fällen die Geschäftstätigkeit des Unternehmens erheblich beeinträchtigt. Oft werden auch sensible Daten exfiltriert, die später im Darknet auftauchen könnten.

In einer solchen Situation sollte man besonnen vorgehen. Alle Prioritäten richten sich auf den Angriff und ein Unternehmensverkauf tritt in den Hintergrund.

1. Erste (Cyber-)Hilfe holen und leisten

Holen Sie sich professionelle Hilfe von Cyber-Experten und Sicherheitsdienstleistern.
Isolieren Sie infizierte Systeme und begrenzen Sie den Schaden.

2. Risikobewertung

Analysieren Sie den Status Quo und die entstandenen und latenten Risiken.
Bewerten Sie materielle und immaterielle Schäden und ihre Auswirkungen auf die Transaktion.

3. Bildung eines Krisenstabs

Holen Sie sich bei Bedarf Rechtsbeistand, IT-Forensiker oder Kommunikationsexperten
Ein Cyberangriff ist ein Ausnahmezustand, der als Krise behandelt und abgewendet werden muss.

4. Offene Kommunikation

Kommunizieren Sie mit ihrem M&A Berater und potentiellen Kaufinteressenten.
Besprechen Sie die Lage je nach Fortschritt im Verkaufsprozess. Dieser wird auf Eis gelegt, solange die Situation nicht bereinigt ist.
Kommunizieren Sie während der Marktansprache oder in Verhandlungen offen und transparent.

5. Unternehmensverkaufsprozess

Pausieren Sie den M&A Verkaufsprozesses.
Führen Sie die notwenigen Maßnahmen durch und setzen Sie den Prozess nach Abschluss der Krise fort. Dann können wieder Gespräche aufgenommen werden.

Gehackt: Verhandeln mit Cyber-Kriminellen anstatt mit Investoren!?

Was heißt das während des Angriffs?

Unternehmensdaten wie operative Daten, Lieferantenvereinbarungen, Kundenverträge, Personalakten, Abrechnungen, Business Pläne und Forecasts könnten durch Verschlüsselung unzugänglich sein. Eine schlechte Ausgangssituation für das Tagesgeschäft oder die Bereitstellung von Dokumenten für den Datenraum.

Nach der Verschlüsselung fordern die Angreifer fast immer Lösegeld, das in der Regel als Zahlung in Kryptowährung gefordert wird, um die Entschlüsselungsschlüssel zur Verfügung zu stellen oder die gestohlenen Daten nicht zu veröffentlichen.

In manchen Fällen kann es zu Verhandlungen kommen, um Vereinbarungen zu treffen oder die Höhe des Lösegeldes zu verändern. Um handlungsfähig zu bleiben, muss das Unternehmen eine Entscheidung treffen wie z.B. die Zahlung des Lösegeldes oder die Wiederherstellung aus Backups – sofern diese nicht auch von der Ransomware befallen sind.
Eine Zusammenarbeit mit Strafverfolgungsbehörden ist ebenfalls angeraten.

Nachdem die Ransomware entfernt wurde oder das Lösegeld bezahlt wurde, muss das Unternehmen die betroffenen Systeme wiederherstellen. Dies kann den Einsatz von Entschlüsselungstools, die Wiederherstellung aus Backups oder andere Maßnahmen zur Sicherung der betroffenen Daten umfassen. Bedenken Sie: Eine Lösegeldzahlung geht nicht zwingend mit einer Entschlüsselung der Daten einher. Die Firma ist hier den Kriminellen ausgeliefert.

Wenn alle Reste der Schadsoftware entfernt wurden und die Systeme wieder lauffähig sind, kann wieder zum Tagesgeschäft übergegangen werden und ausgesetzte Verhandlungen wieder aufgenommen werden.

Wie erwähnt sollten Sie proaktiv bezüglich eines Cyberangriffs kommunizieren. Einen Kaufinteressenten durch transparente Kommunikation zu verlieren ist sicherlich unangenehm. Aber ein späteres Gerichtsverfahren, wegen vorenthaltener Informationen ist sehr viel kostspieliger und fahrlässig. Pausieren Sie den Verkauf, Sie werden sich voll auf den Cyberangriff konzentrieren müssen.

Wie kann man sich schützen? Nach dem Angriff ist vor dem Angriff

Es ist möglich, dass weitere Angriffe erfolgen. Grundsätzlich sollte jedes Unternehmen seine Sicherheitsmaßnahmen überprüfen und verbessern, um zukünftige Cyberangriffe zu verhindern oder die Möglichkeiten zu minimieren. Eine solche Restrukturierung startet spätestens während der Angriffsphase und wirkt sich längerfristig bis nach Abschluss des Vorfalls aus. Jeder Mitarbeiter ist direkt oder indirekt betroffen und muss sich auf die neue Situation einstellen. Abläufe, Software oder Entscheidungswege werden während oder nach dem Angriff geändert.

Für eine Vorbereitung ist das BSI eine zentrale Informationsstelle. Sie empfiehlt die Implementierung von Sicherheitspatches empfohlen und natürlich die Schulung der Mitarbeiter zur Erkennung von Phishing-Angriffen. Zusätzlich können weitere Sicherheitslösungen eingerichtet werden, insbesondere, wenn man besonders abhängig von den Daten und der IT-Infrastruktur ist.

Für jede Angriffsphase gibt es Gegenmaßnahmen, die von einem IT-Sicherheitsdienstleister eingerichtet oder beraten werden können. Wenn Sie keine Experten im Haus haben, sollten sie auf professionelle Beratung zurückgreifen.

Fazit

Es heißt, früher oder später werde jedes Unternehmen Ziel eines Cyberangriffs. Eine Restrukturierung zur Vorbeugung kommt spätestens mit dem ersten Angriff. Doch eine Vorbereitung lohnt sich, da Cyber-Kriminelle zunehmend den Weg des geringsten Widerstands gehen und sich eher schwache Ziele aussuchen. Ein erster Schritt, vorbereiteter als andere Unternehmen zu sein, verhindert zwar keine Attacke, aber erhöht die Wahrscheinlichkeit verschont zu bleiben.
Man muss nicht schneller als der Löwe rennen können, sondern nur schneller als die anderen, die vor ihm weglaufen.

Für weitere Informationen zum Autor:

Christian Winter
Standort EUROCONSIL NÜRNBERG

Fußnote

BSI Bonn Lagebericht 2023 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html?nn=129410