Transformation Quarterly 01_2023

Mit professioneller Vor­bereitung Extrem­situationen kommunikativ meistern

Von Daniela Münster und Peter Gerdemann

Es geht schon lange nicht mehr darum, ob Unter­nehmen durch Cyber-Attacken ange­griffen werden, sondern nur noch darum, wann es (wieder) passiert. Ausschlag­gebend dabei ist das „Wie“ – sowohl die Form des Angriffs als auch die Vor­bereitung betreffend. Die Gefährdungs­lage ist größer denn je: So sind laut Statista im Jahr 2021 46 % der deutschen Unter­nehmen Opfer eine Cyber-Attacke geworden mit einer Schadens­summe von insgesamt 230 Milliarden Euro. – Tendenz steigend, Dunkel­ziffer hoch.

Insgesamt nimmt die organisierte Krimi­nalität im Cyber-Space deutlich zu, Cyber-Crime-as-a-Service ist ein verbreitetes Geschäfts­modell. Laut Merger­market (1) ist bis 2025 jährlich mit einer globalen Schadens­summe von 10,5 Billionen USD zu rechnen. Auch werden Cyber-Kriege wahr­scheinlicher. Die häufigsten Angriffs­vektoren bei Cyber-Attacken bilden dabei Phishing, Passwort- und Identitäts­diebstahl. Sie öffnen das Einfalls­tor und sind meist die Vor­stufe von Ransomware-Angriffen, die weiter stark auf dem Vormarsch sind. Die Kriminellen nisten sich im System der Ziel­organisation ein und spähen ihre Möglich­keiten aus, um dann mit maximalem Erpressungs­potenzial zuzuschlagen. Das jüngste prominente Bei­spiel ist der Angriff auf Continental durch die Ransomware Lockbit 3.0. Die Gruppe zählt derzeit zu den gefähr­lichsten und aktivsten Cyber-Erpressern und erbeutete über Monate rund 40 Tera­byte an teilweise höchst sensiblen Daten.

Bei einem Cyber-Angriff ist die mit Abstand größte Schwach­stelle der Faktor Mensch. 85 Prozent aller Angriffe zielen auf das Verhalten an der Schnitt­stelle zwischen Mensch und Maschine. Vor allem die deutlich gestiegene Quote an Homeoffice-Arbeit hat der Cyber-Crime-Szene einen enormen Schub gegeben. Viele Unternehmen haben reagiert und die Sicher­heits­maßnahmen für Mitarbeitende im Homeoffice verstärkt. Eine Umfrage des Bundes­amts für Sicher­heit in der Informations­technik (2) zeigt jedoch nach wie vor deutliche Lücken auf und bestätigt damit die Viel­zahl an Einfalls­toren.

Cyber-Sicherheits­strategie sorgt für nötige Besonnenheit im Ernst­fall

Besonders relevant bei der Sicher­heits­strategie von Unternehmen ist ein ganz­heit­licher Ansatz und ein gemein­sames Verständnis für die IT- und Daten­sicher­heit. Dabei ist wichtig, dass sämtliche Maß­nahmen aufeinander abgestimmt sind und die beteiligten Experten eng und ko­ordiniert zusammen­arbeiten. Neben Vertretern der IT-Abteilung sollten insbesondere Experten aus Rechts­abteilung und Risiko-Management, Human Resources und Kommunikations­abteilung zusammen­gezogen werden. Externe Unterstützung kann die Sicherheit weiter erhöhen: Hier können Rechts­anwalts­kanzleien, Kommuni­kations­beratungen, speziali­sierte Versicherungen und Dienst­leister mit IT- und Forensik-Erfahrung sowie Wirtschafts­prüfer:innen sinnvolle Ergänzungen der internen Kompetenzen darstellen.

Zentrales Ziel der Cyber-Sicherheits­strategie ist, die Vermögens­werte zu sichern und die Risiken durch Cyber-Attacken zu minimieren. Dafür muss die Strategie kontinuierlich aktualisiert und an aktuelle Bedrohungen und Entwicklungen angepasst werden. Was für Viren­schutz und Fire­wall auf dem privaten PC für viele inzwischen selbst­verständlich ist, gilt erst recht für sensible Unternehmens-IT und Operating Technology, die im Zuge der Digitalisierung von Produktions­prozessen längst auch ein lohnendes Ziel für Kriminelle ist. All dies muss proaktiv und individuell erfolgen. Hier ist häufig gründliches Umdenken im Unternehmen nötig.

Cyber-Sicherheit muss entsprechend priorisiert und in der Unter­nehmens­kultur verankert werden. Angesichts des enormen Ausmaßes möglicher Folgen, ist das Thema Cyber-Security Chefsache. Der Vorstand muss früh­zeitig eingebunden werden und sich entsprechend engagieren. Um die Einfalls­tore vor Angreifern zu schützen, muss das „Wachpersonal“ gestärkt werden. Schulungen zu Cyber-Risiken und Sensi­bilisierung der Mitarbeitenden, zum Beispiel durch Phishing-Testmails, sind essenziell. Sie rufen die Bedrohungen immer wieder ins Gedächtnis.

Gleichzeitig sollten auch Cyber-Breach-Response-Pläne als Teil der Sicherheits­strategie erarbeitet werden. Ein konkreter Plan sorgt im Notfall für die entsprechende Ruhe und besonnenes Vorgehen. Gerade hier herrscht jedoch in deutschen Unternehmen noch deutlicher Optimierungs­bedarf: Laut Bitkom (3) haben aktuell nur durch­schnittlich 54 Prozent der Unternehmen einen solchen Notfall­plan parat.

Integrierte Planungen innerhalb des Unter­nehmens können das Risiko­management und die Bewertung von Schwach­stellen – insbesondere auch durch Gap- und Abhängigkeits-Analysen – bündeln. Die Sicherung der IT-Infra­struktur, Daten­sicherheit, aber auch eine entsprechende Governance sollten zudem klar geregelt sein. Des Weiteren kann die Entwicklung eines Frühwarn­systems unter konstanter Beobachtung der Medien und Sozialen Medien sowie der einschlägigen Bericht­erstattung über neueste Entwicklungen und Akteure im Cyber Crime sinnvoll sein, um die Veränderung von Bedrohungen zu identifizieren und mögliche Angriffe besser abwehren zu können.

Frühzeitige Vorbereitung ist das A und O

Wie Benjamin Franklin schon sagte: „If you fail to plan, you are planning to fail.“ Was klingt wie eine Binsen­weisheit, trifft beim Thema Cyber Security aber ins Schwarze. So liegt ein Groß­teil des erfolg­reichen Umgangs mit Cyber-Attacken in der Vorbereitung. Denn im Ernstfall sind die Handlungs­möglich­keiten massiv eingeschränkt, es herrschen Hektik und enormer Zeitdruck. In der Regel ist es für wirksame Gegenwehr dann schlicht­weg zu spät. Es bleibt nur die Schadens­begrenzung.

Das muss nicht sein. Die frühzeitige Aufklärung und Sensibili­sierung der Mitarbeitenden hat oberste Priorität. Durch die Entwicklung einer gemeinsamen Sicherheits­kultur als Teil der Unternehmens­kultur kann dies in den Alltag eingebunden werden. Das Engage­ment der Führungs­ebene und wichtiger Interessens­gruppen trägt dabei maßgeblich zum Erfolg bei. Regelmäßige fachliche Aus- und Weiter­bildungen können zudem helfen, das größte Einfalls­tor, die Schnitt­stelle zwischen Mensch und Maschine, besser zu schützen und Angriffen vorzubeugen.

Notfall­pläne sind für ruhiges und besonnenes Krisen­management essenziell. Ein detailliert ausgearbeitetes Krisen­handbuch, in dem alle relevanten Informationen für den Ernst­fall zusammen­getragen wurden, steht im Zentrum der Planung und gibt allen Beteiligten Sicherheit. Neben der Erreichbarkeit des Krisenteams sollten hierin Wenn-Dann-Situationen festgelegt werden, Vorgehens­weisen und Abläufe definiert sein. Insbesondere alternative Kommunikations­wege sollten bedacht werden, für den Fall, dass die IT nicht mehr einsetz­bar ist. Auch sollten möglichst viele Inhalte als Entwurf vorliegen, inklusive nötiger Freigaben: Von Holding Statements und Kern­botschaften über interne Mitteilungen bis hin zu Presse­mitteilungen und Informations­schreiben für Kunden. Je mehr vorbereitet ist, desto schneller kann das Krisen­team reagieren. Zu einer guten Vorbereitung gehört auch, dass die Notfall­pläne durch Übungen auf Herz und Nieren geprüft wurden. Dabei empfiehlt sich ein Vorgehen in mehreren Phasen – von Desktop-Übungen mit dem zentralen Krisenteam, in dem alle nieder­geschriebenen Details durch­gesprochen werden und mögliche Lücken identifiziert werden, bis hin zur kompletten Simulation mit praxis­nahen Inter­ventionen, die den Krisenstab und die Führungs­ebene auf den Ernst­fall vorbereiten.

Die dritte zentrale Säule der Vorbereitung beinhaltet die Evaluierung der bestehenden und gegebenen­falls Implemen­tierung weiterer IT-Sicherheits­mechanismen, wie zum Beispiel Anti­viren­software oder Netzwerk­segmentierung, aber auch die Erarbeitung von Passwort-Richt­linien und Berechtigungs­management sowie die Erstellung von Sicherungs­kopien und Prozessen zur Daten­wiederherstellung. Externe IT-Expert:innen können dabei hilfreich sein und die Systeme prüfen, von Sicher­heits­analysen bis hin zu simulierten Attacken.

Ruhe bewahren im Krisenfall

Ein möglicher Krisen­fall kann sich im Vorfeld abzeichnen: Durch erste Anzeichen von Schwäche, aber auch durch die Entwicklung und Zunahme des Auftretens neuer Angriffs­vektoren. Das meist zunächst interne Bekannt­werden der Attacke auf das eigene Unternehmen löst dann die unmittel­bare Aktivierung des Krisen­stabs aus. Nun gilt es, sich schnell einen Überblick zu verschaffen und die entsprechenden Notfall-Maßnahmen einzuleiten. Die Schadens­begrenzung und Eindämmung der Verbreitung im Unternehmens­netzwerk stehen an erster Stelle. Unter Einbezug der Fachkräfte wird das Einfalls­tor ermittelt und geschlossen und die angegriffenen Systeme isoliert sowie weitere Schutz­maßnahmen eingeleitet. Nach Sicherung des Systems kann eine Wieder­herstellung oder Neu­aufsetzung des IT-Systems erfolgen. Im Fall von Ransomware-Angriffen muss die Abwehr-Strategie abgewogen und entschieden werden. Hier ist die Hinzu­ziehung externer Spezialist:innen mit entsprechender Verhandlungs­erfahrung unbedingt angeraten.

Im Krisenfall besteht die Heraus­forderung vor allem darin, bei beschränkter eigener Information richtig und schnell zu kommunizieren. Abzuwarten, bis mehr Klarheit besteht, ist keine Option. Die Reihen­folge der Kommunikation hat dabei hohe Relevanz: Gemäß Art. 33, 34 DSGVO müssen bei Cyber-Attacken betroffene Organi­sationen innerhalb von 72 Stunden nach Feststellung des Problems Informationen an Aufsichts­behörden übersenden, danach müssen betroffene Personen informiert werden – sofern ein hohes Risiko einer Verletzung von deren Rechte besteht. Im Anschluss erfolgt die Information der weiteren internen sowie der externen Stake­holder. Die Botschaften müssen abgewogen werden und in der Lage sein, die Öffent­lich­keit zu beruhigen, ohne dabei Angreifern zu viele Informationen zu geben.

Cyber-Angriffe bringen Unternehmen in erhebliche Druck­situationen bis hin zur völligen Handlungs­unfähigkeit in den gewohnten Strukturen und Prozessen. Es sind komplexe Ausnahme­situationen, die den geschäftlichen Alltag ins Wanken bringen. Es gilt, die Kontrolle über das Unternehmen so rasch wie möglich wieder­zuerlangen. Dazu müssen alle Beteiligten – von Vorstand bis IT, von Recht bis Kommunikation – souverän und geübt zusammen­wirken. Besser wäre, es käme erst gar nicht so weit, dank guter Vorbereitung und solider Krisen­planung.

(1) Studie von Mergermarket und Admincontrol: Under attack: Cyber due diligence demands more of dealmakers (Befragung von 100 Senior Executives in Invest­ment­banken, Kanzleien und Private Equity in Q4 2022)

(2) Umfrage des Bundesamtes für Sicherheit in der Informationstechnik in deutschen Unternehmen, die Homeoffice angeboten haben (Okt.-Nov. 2020; 1.000 Befragte)

(3) Ergebnis einer Studie im Auftrag des Digitalverbands Bitkom, repräsentative Befragung von 1.066 Unternehmen aus allen Branchen, veröffentlicht im September 2022

Foto: iStock.com/Vitalii Gulenok

Der Beitrag erschien Mitte Februar 2023 in Ausgabe 1 / 2023 des Online-Magazins Restructuring Business. Den Originalbeitrag lesen Sie hier.

Kontakt