Wer die Entwicklung in der Ukraine verfolgt, hat neben den militärischen Operationen Russlands von Cyberattacken auf Infrastruktur, staatliche Organisationen und Banken gehört. Bereits einen Monat vor dem militärischen Angriff gab es sogenannte Defacement-Angriffe auf ukrainische Behörden, staatliche und auch private Unternehmen, um deren Websites für die Verbreitung „patriotischer“ Inhalte zu manipulieren. Möglicherweise war das Ganze ein Ablenkungsmanöver – parallel fanden weitere Attacken statt. IT-Unternehmen und Nachrichtendienste warnten nur wenige Tage später vor Data-Wiping-Attacken, die in der Ukraine ungleich höhere Schäden verursachen – durch das Löschen ganzer IT-Systeme.
„Stunde null“ im europäischen Cyberwar?
Unter Sicherheitsexperten wird die im Jahr 2017 grassierende Schadsoftware NotPetya als „Stunde null“ im europäischen Cyberwar angesehen. Sie hat ihren mutmaßlichen Ursprung ebenfalls in Russland. Ziel der damaligen Attacke waren die Update-Server der ukrainischen Steuersoftware MeDoc, die von vielen internationalen, auch in der Ukraine tätigen Unternehmen, genutzt wurde. NotPetya verbreitete sich weltweit und erzeugte konservativ geschätzt einen wirtschaftlichen Schaden von 10 Mrd. EUR. Konzerne mussten wochenlang mit Stift und Papier arbeiten und Produktionsausfälle in Kauf nehmen. Im Atomkraftwerk Tschernobyl fielen die Strahlenmessanlagen aus.
Erste Kollateralschäden zeichnen sich ab
Wie stark ein Cyberkrieg Deutschland betreffen kann, wird am Beispiel des Energiesektors klar. Der Ausbau der erneuerbaren Energien, von Finanzminister Christian Lindner jüngst als „Freiheitsenergien“ bezeichnet, gewinnt noch schneller an Bedeutung, um unabhängiger von Energieimporten zu sein. Zudem werden Unternehmen aus Russland, vor allem im Energiesektor, seit Beginn des Kriegs stark sanktioniert. Hacktivisten der Gruppe Anonymus haben begonnen, Webseiten der russischen Regierung sowie des Energieriesen Gazprom mit Defacement- und DDoS-Attacken anzugreifen. Das Ganze kann zu einer gefährlichen Spirale von Cyberangriffen werden – mit jeder Menge Kollateralschäden.
Was ein solcher Kollateralschaden ist, bekommen die Kunden von Viasat, Betreiber des Satellitennetzwerkes KA-SAT für Breitband-Internetverbindungen, aktuell zu spüren. Das Unternehmen vermeldete einen Cyberangriff mittels Schadsoftware auf die Endgeräte der Kunden, darunter das ukrainische Militär, in Form manipulierter Updates, welche am 24. Februar um 05 Uhr morgens aktiviert wurden. Betroffen davon sind allein in Deutschland mindestens 3.000 Windkraftanlagen. Die Anlagen funktionieren noch und produzieren somit weiterhin Strom, sind aber von der Kommunikation abgeschnitten. Man möchte sich nicht vorstellen, welche Auswirkungen ein gezielter Cyberangriff hätte, bei dem es gelänge, die Kontrolle über die Anlagen zu erhalten.
Konsequenz für die M&A-Branche: Wachsam bleiben!
Bei fast allen M&A-Transaktionen sollte die Cybersicherheit integraler Bestandteil der Due-Diligence-Phase sein und von den Parteien nicht erst unmittelbar vor Vertragsunterzeichnung diskutiert werden. Bei Assets im Bereich Infrastruktur (Energie, Telekommunikation, Gesundheitswesen etc.) sollte die Erfüllung von Anforderungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) gemäß KRITIS (kritische Infrastrukturen) zwingend geprüft werden. Due-Diligence-Reports oder IT-Sicherheitsberichte sollten nicht in der Schublade verschwinden. Die darin identifizierten Risiken sollten schnell durch geeignete Maßnahmen vermindert werden. Vorsorglich können Rahmenverträge mit Dienstleistern für IT-Forensik oder Incident-Response geschlossen werden. Cyberversicherungen können die Kosten für die Inanspruchnahme professioneller Hilfe im Schadenfall übernehmen. Letztlich sollten angemessene Budgets für Cybersicherheit im Businessplan vorgesehen sein, damit verschiedenste Maßnahmen wie zum Beispiel SOC (Security Operations Center) oder die Härtung von Systemen zum Schutz vor unberechtigten Zugriff auch umgesetzt werden können.
