Konzerne können sich Cyberangriffe leisten. Leider gehen aber meistens KMU Hackern ins Netz. „Weil sie ihre Schwachstellen gar nicht kennen“, ist Salko Korac von Botiguard überzeugt. Das Ergebnis sind horrende Lösegeldzahlungen, die nicht selten zu Firmenpleiten führen. Botiguard will Cyberkriminellen das Handwerk legen, indem es IT-Infrastrukturen permanent auf Lücken absucht.
Salko ist 1992 aus Montenegro geflohen, Johann ist Fleischer von Beruf. Mit ihrem Startup wollen die beiden die Welt sicherer machen. Botiguard – der „Robin Hood der Cybersicherheit“? Was dahinter steckt, verraten sie im Interview.
Von Ariane Lindemann
Wie läuft so ein Lösegeld-Szenario eigentlich ab?
Oft ist es so, dass dich morgens auf deinem Rechner im Büro ein Totenkopf begrüßt. Dann wirst du informiert, dass deine Daten jetzt verschlüsselt sind und sie nur nach Zahlung eines Lösegeldes wiederhergestellt werden können. Wenn du in einer bestimmten Zeitspanne nicht bezahlst, verdoppelt sich das Lösegeld. So wird das Opfer unter Druck gesetzt, so schnell wie möglich zu zahlen.
Dann herrscht erst mal Panik?
Ja, denn man fühlt sich machtlos. Ein erster Gedanke ist meistens: Mit Erpressern verhandle ich nicht. Es eskaliert durch alle Ebenen, man berät sich mit der Geschäftsführung, die Rechner werden schnell vom Netz genommen. Man fragt sich, welche Optionen man hat. Irgendwann weicht diese emotionale Panik jedoch meist einem rationalen geschäftlichen Denken. Dann überlegt man, ob man nicht doch besser zahlt.
Experten raten häufig davon ab zu bezahlen?
Das stimmt. Aber nicht wenige zahlen doch, weil sie darin die einzige Möglichkeit sehen, wieder an ihre Daten heranzukommen. Sie argumentieren: Entweder riskiere ich, dass meine Firma stillsteht oder Pleite geht oder ich zahle einfach den geforderten Betrag.
Oft weiß man ja gar nicht, ob die Daten dann auch wirklich entschlüsselt werden oder ob man noch mal zahlen muss.
Das passiert sogar sehr häufig. Am Ende hat man keine Garantie, dass die Entschlüsselung auch tatsächlich funktioniert. In rund 60 Prozent der Fälle funktioniert sie, in vielen Fällen funktioniert sie tatsächlich nicht.
Was macht man dann?
Dann kann man nur hoffen, dass man noch etwas Zeit gewinnen kann, dass in drei oder vier Monaten Sicherheitsforscher den Algorithmus geknackt haben, weil den Hackern doch Fehler unterlaufen sind. Aber das ist nur ein ganz kleiner Wermutstropfen. In der Regel werden die Algorithmen erst nach einigen Jahren geknackt. Dann ist es für das Unternehmen natürlich zu spät.
Wie hoch ist der Anteil an Unternehmen, die dadurch kaputt gehen?
Nach einem aktuellen Bericht des globalen Versicherers Hiscox waren in den vergangenen 12 Monaten 48 Prozent der Unternehmen Opfer einer Cyberattacke. Dem Bericht nach stufen die Betroffenen die Cyberrisiken als hoch ein. Nicht-Betroffene dagegen weniger. Der größte Fehler ist immer noch, dass Unternehmen denken: „Uns passiert das nicht.“
Der Name ist ganz klar Programm bei euch. Wird in Zukunft jedes Unternehmen einen „Bodyguard“ wie euch brauchen?
Ganz sicher. Allerdings nicht erst in der Zukunft, sondern jetzt sofort. Wer hier wartet und denkt, so was passiert mir nicht oder auf sein Antivirus-Programm und regelmäßige Backups vertraut, macht einen großen Fehler.
Habt ihr da Erfahrungen?
Wir sorgen mit unserem Standard-Produkt „BusinessSecure“ nicht nur dafür, dass solche Angriffe verhindert werden, sondern wir beraten Unternehmen auch, die von einem Hackerangriff betroffen sind. Insofern sehen wir täglich, wie Angriffe kleinere und mittlere Unternehmen in wirtschaftliche Schieflage bringen oder ihre Existenz bedrohen.
Warum ist Hacken so einfach geworden?
Hacker sind mittlerweile sehr viel weiter. Sie nutzen schon Künstliche Intelligenz und hochautomatisierte Tools, aber die Firmen und Opfer noch nicht. Da besteht ein so großes Ungleichgewicht, dass wir uns wirklich Sorgen machen müssen um die Cybersicherheit in den nächsten 20 Jahren. Rund zwei Drittel der Opfer bezahlen in der Regel das Lösegeld. Durch diese Riesensummen werden dann noch größere Cyberangriffe finanziert.
Euer Produkt zielt speziell auf Erpresserangriffe ab?
Ja, wir sind auf Ransomware spezialisiert. Unser Standard-Produkt Business Secure führt eine 360-Grad-Prüfung beziehungsweise eine automatische Angriffssimulation durch. Damit sehen wir, ob ein Angreifer tatsächlich durchgekommen wäre oder nicht. Wir prüfen alle Bereiche, die von außerhalb prüfbar sind. Damit wollen wir kleineren und mittleren Unternehmen eine gute Cybersicherheit ermöglichen.
Ist bei Konzernen nicht viel mehr zu holen?
Große Unternehmen können sich leisten, angegriffen zu werden. Too big to kill. Wenn beispielsweise bei Daimler ein Angriff passiert, stürzen sich dort 200 interne Security-Experten drauf. Das wird sofort eingedämmt. Kleine und mittelständische Unternehmen dürfen sich das auf gar keinen Fall erlauben. Sie müssen sich viel präventiver um die IT-Sicherheit kümmern. Denn wenn etwas passiert, dann stehen sie komplett allein da. Die Lösegeldforderung zu bezahlen, den ganzen Schaden hinzunehmen und dann noch mal einen IT-Security-Experten zu bezahlen, das ist richtig teuer. Für Porsche oder Daimler ist das ein Klacks.
Was ist auf jeden Fall wichtig, um sich zu schützen?
Backups, Schulungen, Updates, Antivirenprogramme, sichere Passwörter. Ganz wichtig sind vor allem Backups, die offline betrieben werden.
Was macht euer Produkt genau?
Es ist unvorstellbar, wie viele Daten eines Unternehmens öffentlich verfügbar, beziehungsweise wie viele Sicherheitseinstellungen im Netz abrufbar sind.
Unsere Software geht virtuell einmal um das Unternehmen komplett herum, scannt alles ab und identifiziert Schwachstellen in der äußeren Burgfestung. Das System sagt dem Unternehmen dann, wie wahrscheinlich das Risiko ist, gehackt zu werden.
Wie kommt es, dass so viele Daten öffentlich sind?
Ein großes Problem ist, dass die Leute beruflich und privat oft ähnliche Passwörter nutzen. Damit sind die Unternehmen gefährdet. Aber wir schauen uns nicht nur das Unternehmen an, sondern wir durchsuchen auch das Darknet. Unsere Datenbank hat mittlerweile rund 16 Milliarden Einträge an Passwörtern, Adressen, Telefonnummern, Kaufverhaltensweisen etc. Diese Datenbank wächst täglich. Wir sammeln stetig Informationen und kaufen auch Daten hinzu, um den Unternehmen, Städten und Kommunen zu sagen, Achtung, deine Daten sind geleakt worden.
Das Thema sichere Passwörter ist also immer noch aktuell?
Leider ja. Es ist unglaublich, dass immer noch sehr häufig Passwörter wie „123456“ verwendet werden. Im Jahr 2022. Das ist einer der banalsten Gründe, warum solche Hacks erfolgreich sind.
Wird Cybersicherheit immer noch unterschätzt?
Ja, unter anderem auch, weil es eine sehr junge Wissenschaft ist. Physik, Chemie, Elektrik wird seit Jahrhunderten erforscht. IT ist jung. Deshalb ist es auch gar nicht so verwunderlich, dass das Thema bei vielen noch nicht im Bewusstsein angekommen ist. Das wird sich aber in den nächsten 20 Jahren dramatisch ändern. Denn wir sehen ja auch schon Angriffe auf kritische Infrastrukturen, wie zum Beispiel in der Ukraine oder auch in Lettland, wo es wegen eines Cyberangriffs einen Blackout gab.
Wie oft kreisen eure „Helikopter“ um das Unternehmen?
Das Bundesministerium für Sicherheit und Informationstechnik (BMSI) empfiehlt, kontinuierliche Messungen als den wichtigsten Schritt zu betrachten.
Denn Sicherheit ist ja nicht etwas, was irgendwann einmal abgeschlossen ist. Es muss kontinuierlich geprüft werden: Bin ich auf dem neuesten Stand? Haben sich vielleicht Lücken aufgetan, die ich gar nicht bemerkt habe? Botiguard prüft, wie gut ist die Sicherheit jetzt gerade.
In der kleinsten Variante führen wir zwei Prüfungen im Jahr durch. Eine, wenn der Kunde anfängt, das ist eine Art Bestandsaufnahme. Die zweite Prüfung wird ein Beweis, dass das erfolgreich korrigiert wurde. Wenn er die Prüfung gut bestanden hat, bekommt er ein Zertifikat, das ihm Cybersicherheit bestätigt und dieses Zertifikat kann er gegenüber Geschäftspartnern, Versicherungen und anderen nutzen, um Cybersicherheit nachzuweisen.
Zweimal im Jahr – reicht das?
Das ist das Einsteigerpaket. In der Premium-Variante – und das würden wir mittelständischen oder größeren Unternehmen auf jeden Fall empfehlen – überwachen wir die Sicherheit kontinuierlich und alarmieren das Unternehmen, wenn wir neue Lücken entdecken.
Der Kunde kann sich also entspannt zurücklehnen?
Definitiv. Er muss nichts runterladen, nichts bedienen, nichts betreuen, er muss uns einfach nur beauftragen. Ich glaube, das ist die Zukunft. Die Leute wollen mehr und mehr einen Service haben anstelle eines Tools.
Darin unterscheidet ihr euch letztlich von Mitbewerbern?
Genau. Momentan gibt es sehr viele Einzellösungen. Was wir verkaufen, ist nicht ein Tool, sondern wir verkaufen einen Schutz gegen eine bestimmte Bedrohung. Das heißt, wir checken in einer Rundumprüfung alles ab, was dafür relevant ist. Vom Komfortlevel ist unsere Prüfung das allerhöchste, was man so erreichen kann.
Wenn es jetzt aber doch zu einem erfolgreichen Angriff kam?
Wir bieten als weiteres Portfolio an, dass wir Unternehmen helfen, diese Lösegeldzahlung zu verhandeln. Wenn man weiß, wie die Hacker ticken, dann kann man sehr gut mit ihnen auf der sachlichen Basis verhandeln. Man muss aber die roten Linien kennen, die man auf gar keinen Fall überschreiten sollte. Und die Tricks, mit denen man noch ein bisschen mehr Zeit gewinnt.
Woher weiß der Kunde, dass ihr nicht die weltgrößten Hacker seid?
Spaß beiseite, aber Vertrauen ist ja total wichtig in diesem Business. Wie schafft ihr das?
Das ist ein ganz wichtiger Punkt, den du da ansprichst. Vertrauen in der IT-Sicherheit ist das A und O. Wir sind gerade dabei, uns eine gute, stabile Reputation aufzubauen. Da müssen wir langatmig sein und Geduld haben.
Wie habt ihr das finanziell gestemmt?
Mit Eigenkapital. Fünf bis sechs Jahre sind wir damit noch safe. Ein guter strategischer Investor, der auch ein Netzwerk mitbringt, wäre willkommen, aber wir sind momentan nicht darauf angewiesen.
Ihr habt euer Geschäftsmodell unterwegs noch mal komplett umgekrempelt …
Ja, zum Glück. Wir haben ein paar Punkte weggelassen und Fehlentscheidungen wieder rückgängig gemacht. Das haben wir vor allem den Leuten aus dem CyberLab Accelerator zu verdanken. Ich muss wirklich sagen: dickes, dickes Lob an das Team. Sie haben uns sehr gut betreut. Ohne das CyberLab wären wir definitiv in die falsche Richtung gelaufen. Vor allem aber hat es uns geholfen, uns gegenüber Kunden zu präsentieren. Das Produkt ist total klasse, aber als IT-Security-Fachmann hat man oft das Problem: Wie präsentiert man sich? Denn so ein Produkt ist immer stark erklärungsbedürftig. Wie erklärt man das in ganz kurzen Sätzen? Das muss man draufhaben. Deswegen haben wir unseren kompletten Auftritt noch mal über den Haufen geworfen und nach dem CyberLab alles neugestaltet. Das CyberLab war wie die Hintergrundfarbe. Sie hat sich ins Bild gesetzt und hat uns gesteuert, ohne sich in den Vordergrund zu spielen. Ohne das CyberLab hätten wir sehr viel Zeit verloren.
„Dickes, dickes Lob an das Team. Ohne das CyberLab wären wir definitiv in die falsche Richtung gelaufen.“
Mit welcher Headline sollte ein Zeitungsartikel in fünf Jahren aufmachen?
Botiguard – der Robin Hood der Cybersicherheit!
Salko, du bist 1992, mit fünf Jahren mitten im Bosnien-Krieg von Montenegro nach Deutschland gekommen. Wie hat das deinen Werdegang beeinflusst?
Ich habe zuerst Hauptschulabschluss, dann Mittlere Reife, dann eine Ausbildung und danach die Fachhochschulreife gemacht und Wirtschaftsinformatik studiert. Ich habe die Chancen genutzt, die sich mir hier boten. Ich war an der Hochschule Wismar, am Kings College in London und mache gerade auf der Edinburgh Napier University in Schottland meinen Master. Verglichen mit anderen Ländern hat man in Deutschland die besten Chancen, aber man muss sich selbst einbringen und den Willen haben, nach vorne zu gehen. Dann schafft man eigentlich alles.
Johann, deine Ausbildung hat mit IT-Security überhaupt nichts zu tun …
Stimmt. Ich bin von Beruf Fleischer. Nach meinem Hauptschulabschluss habe ich beim Unternehmen Berchtesgadener Land in der Milchproduktion gearbeitet. Ab Dezember bin ich bei Botiguard für den Bereich Social Media verantwortlich. Es hat mich einfach gereizt, mal etwas völlig anderes zu machen.