Es ist 2.30 Uhr morgens, als Wolfgang Reichmanns Telefon klingelt. Der Chief Information Security Officer von ­Rheinmetall weiß sofort: Das bedeutet nichts Gutes. Eine Stunde später steht fest: Es handelt sich um einen Ransomware-Angriff, der wichtige Unternehmensdaten verschlüsselt. Um 3.45 Uhr trifft Reichmann in enger Abstimmung mit dem Security-Team und dem IT-Management eine drastische Entscheidung: „Systeme abschalten und vom Netz nehmen.“ Nur durch das besonnene, schnelle und vor allem konsequente Handeln aller Beteiligten konnte der Konzern größeren Schaden abwenden. Dass Cyberkrieg seit vielen Jahren Realität ist, lässt sich erahnen, wenn Wolfgang Reichmann über seine Aufgaben spricht. Seit 2020 verantwortet er als Chief Information Security Officer (CISO) innerhalb der Rheinmetall-IT die Sicherheit der Daten, Netze und Anwendungen des Konzerns. Unternehmen und Behörden sehen sich heut­zutage vermehrt Angriffen durch Schadsoftware ausgesetzt. Das Ziel der Cyberkriminellen: sensible Daten stehlen, Systeme manipulieren oder – inzwischen besonders verbreitet – Lösegeld in Millionenhöhe erpressen. Zuvor betreute ein externer Dienstleister den IT-Betrieb von Rheinmetall. Die Entscheidung, die Verantwortung zurück ins Haus zu holen, erweist sich angesichts der aktuellen Bedrohungslage als goldrichtig.

Weitreichendes Aktionsfeld

In den vergangenen Jahren hat Rheinmetall umfassend in Sicherheitstechnologien und qualifiziertes Personal investiert. Heute zählt das Security-Team weltweit fast 80 Mitarbeiterinnen und Mitarbeiter. Die meisten von ihnen arbeiten in einem sogenannten Security Operations Center, das seinen Sitz in Deutschland hat. Die Szenerie dort erinnert an die Kommandozentrale aus einem James-Bond-Film: Der Raum ist abgedunkelt. Auf einer großformatigen Videowand leuchtet eine Weltkarte mit allen Rheinmetall-Standorten. Davor sitzen IT-Spezialisten an ihren Monitoren, überwachen jedes Detail im Netz, um sofort Abwehrmaßnahmen einleiten zu können.

Sowohl die Anzahl als auch die Dimension der Angriffe steigen dramatisch, vor allem seit Beginn des Ukraine-Kriegs. Inzwischen stecken nicht mehr nur Hackergruppen hinter den Attacken, sondern auch staatliche Akteure – denen es weder an Geld noch an anderen Ressourcen mangelt.

Die Art der Angriffe ändert sich

Auch das Vorgehen hat sich in den letzten Jahren geändert. „Wir beobachten einen deutlichen Wechsel hin zu sogenannten Third-Party-Angriffen“, erklärt Wolfgang Reichmann. Dabei werde das Unternehmen nicht direkt attackiert, sondern über einzelne Mitarbeiter oder Dienstleister. „Diese bemerken oft selbst nicht, dass sie als Einfallstor dienen“, so der CISO. Die Angreifer nutzen gefälschte Social-Media-Accounts, manipulierte Websites oder gefakte PDF-Dokumente mit Schadsoftware. Deren Code ist gezielt auf das jeweilige Unternehmen zugeschnitten.

„Klassische Bedrohungen wie Viren oder Phishing verlieren an Bedeutung“, sagt Reichmann. „Heutige Cyberangriffe sind raffinierter und zielen verstärkt darauf ab, den menschlichen Faktor auszunutzen. Deshalb ist es entscheidend, nicht nur im Ernstfall schnell, konsequent und adäquat zu reagieren, sondern auch mit den richtigen Präventionsmaßnahmen vorzusorgen – sowohl durch den Einsatz moderner Technologien als auch durch gezielte Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeiterinnen und Mitarbeiter.“ Die IT-Sicherheit des Konzerns liege somit auch den Händen der Belegschaft, betont der CISO. „Wer aufmerksam und umsichtig handelt, minimiert die Risiken externer Angriffe erheblich.“

Immer einen Schritt voraus

Cyber Defence bedeutet auch, immer einen Schritt voraus zu sein. Für das Security-Team heißt das: unzählige Daten analysieren. „Wir sammeln hier sogenannte Events, 50 bis 60 Millionen pro Tag“, erklärt Reichmann. Was das bedeutet? „Mitarbeiterin XY hat sich an ihrem Rechner um 7.26 Uhr eingeloggt, erfolgreich, mit richtigem Passwort – das ist ein Event.“ Bei einigen dieser Vorgänge zeigen sich Auffälligkeiten. Meist lassen sie sich routinemäßig abarbeiten. Doch ab und zu läutet die Alarmglocke lauter. „Dann kommen unsere Spezialisten zum Einsatz, die Bits und Bytes auseinandernehmen und die Anomalie untersuchen“, berichtet Reichmann. „Die könnten genauso gut als Hacker arbeiten.“ Oft weiß das Cyber Defence Team, wer auf der anderen Seite sitzt: „Es gibt einige gezielt agierende Gruppen, die darauf ausgerichtet sind, Unternehmen aus dem Verteidigungssektor zu attackieren.“

„Wir haben ein außergewöhnlich gutes Team“, betont der CSIO. „Es sind junge Talente dabei, die gerade aus der Ausbildung kommen, Ältere mit viel Berufserfahrung, Quereinsteiger – und typische ,Nerds‘. Auch unser Frauenanteil ist hoch. Ich habe die Erfahrung gemacht, je diverser das Team, desto besser.“ Alle haben das gleiche Recht, ihre Meinung, ihre Gedanken oder auch Kritik zu äußern. „Es gibt kein Hierarchiedenken“, so Reichmann. „Wenn meine Tür offen ist, dann kann hier jeder reinspazieren. Jederzeit. Ob Abteilungsleiter oder Praktikant.“

„Nichts ist einfacher anzugreifen als KI“

Könnte Künstliche Intelligenz (KI) mithelfen, Unternehmen wie Rheinmetall vor Cyberattacken zu schützen? Hier schlagen zwei Herzen in der Brust des Security-Experten: „Viele denken, KI sei für viele Probleme die Lösung. Was in Teilen auch stimmt, denn KI-basierte Funktionalitäten werden uns künftig bei der Analyse potenzieller Sicherheitsvorfälle unterstützen.“ Gleichzeitig warnt Reichmann: „Das Risiko für Angriffe auf KI-Systeme lässt sich noch nicht vollumfänglich einschätzen. Aus Sicht der Cyber Security ist das gerade ein Moving Target – fast nichts ist einfacher zu attackieren als KI.“

Die Herausforderungen für Wolfgang ­Reichmann und das gesamte Security-Team werden in den nächsten Jahren nicht weniger. Im Gegenteil: Die Aufgaben wachsen, gerade was den Schutz des Unternehmens im Netz angeht. „Ja, es gibt viele Bedrohungen aus unterschiedlichsten Richtungen“, konstatiert Reichmann, doch er ist sich sicher: „Aber wir haben die Kontrolle darüber.“