Mit professioneller Vorbereitung Extremsituationen kommunikativ meistern
Von Daniela Münster und Peter Gerdemann
Es geht schon lange nicht mehr darum, ob Unternehmen durch Cyber-Attacken angegriffen werden, sondern nur noch darum, wann es (wieder) passiert. Ausschlaggebend dabei ist das „Wie“ – sowohl die Form des Angriffs als auch die Vorbereitung betreffend. Die Gefährdungslage ist größer denn je: So sind laut Statista im Jahr 2021 46 % der deutschen Unternehmen Opfer eine Cyber-Attacke geworden mit einer Schadenssumme von insgesamt 230 Milliarden Euro. – Tendenz steigend, Dunkelziffer hoch.
Insgesamt nimmt die organisierte Kriminalität im Cyber-Space deutlich zu, Cyber-Crime-as-a-Service ist ein verbreitetes Geschäftsmodell. Laut Mergermarket (1) ist bis 2025 jährlich mit einer globalen Schadenssumme von 10,5 Billionen USD zu rechnen. Auch werden Cyber-Kriege wahrscheinlicher. Die häufigsten Angriffsvektoren bei Cyber-Attacken bilden dabei Phishing, Passwort- und Identitätsdiebstahl. Sie öffnen das Einfallstor und sind meist die Vorstufe von Ransomware-Angriffen, die weiter stark auf dem Vormarsch sind. Die Kriminellen nisten sich im System der Zielorganisation ein und spähen ihre Möglichkeiten aus, um dann mit maximalem Erpressungspotenzial zuzuschlagen. Das jüngste prominente Beispiel ist der Angriff auf Continental durch die Ransomware Lockbit 3.0. Die Gruppe zählt derzeit zu den gefährlichsten und aktivsten Cyber-Erpressern und erbeutete über Monate rund 40 Terabyte an teilweise höchst sensiblen Daten.
Bei einem Cyber-Angriff ist die mit Abstand größte Schwachstelle der Faktor Mensch. 85 Prozent aller Angriffe zielen auf das Verhalten an der Schnittstelle zwischen Mensch und Maschine. Vor allem die deutlich gestiegene Quote an Homeoffice-Arbeit hat der Cyber-Crime-Szene einen enormen Schub gegeben. Viele Unternehmen haben reagiert und die Sicherheitsmaßnahmen für Mitarbeitende im Homeoffice verstärkt. Eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (2) zeigt jedoch nach wie vor deutliche Lücken auf und bestätigt damit die Vielzahl an Einfallstoren.
Cyber-Sicherheitsstrategie sorgt für nötige Besonnenheit im Ernstfall
Besonders relevant bei der Sicherheitsstrategie von Unternehmen ist ein ganzheitlicher Ansatz und ein gemeinsames Verständnis für die IT- und Datensicherheit. Dabei ist wichtig, dass sämtliche Maßnahmen aufeinander abgestimmt sind und die beteiligten Experten eng und koordiniert zusammenarbeiten. Neben Vertretern der IT-Abteilung sollten insbesondere Experten aus Rechtsabteilung und Risiko-Management, Human Resources und Kommunikationsabteilung zusammengezogen werden. Externe Unterstützung kann die Sicherheit weiter erhöhen: Hier können Rechtsanwaltskanzleien, Kommunikationsberatungen, spezialisierte Versicherungen und Dienstleister mit IT- und Forensik-Erfahrung sowie Wirtschaftsprüfer:innen sinnvolle Ergänzungen der internen Kompetenzen darstellen.
Zentrales Ziel der Cyber-Sicherheitsstrategie ist, die Vermögenswerte zu sichern und die Risiken durch Cyber-Attacken zu minimieren. Dafür muss die Strategie kontinuierlich aktualisiert und an aktuelle Bedrohungen und Entwicklungen angepasst werden. Was für Virenschutz und Firewall auf dem privaten PC für viele inzwischen selbstverständlich ist, gilt erst recht für sensible Unternehmens-IT und Operating Technology, die im Zuge der Digitalisierung von Produktionsprozessen längst auch ein lohnendes Ziel für Kriminelle ist. All dies muss proaktiv und individuell erfolgen. Hier ist häufig gründliches Umdenken im Unternehmen nötig.
Cyber-Sicherheit muss entsprechend priorisiert und in der Unternehmenskultur verankert werden. Angesichts des enormen Ausmaßes möglicher Folgen, ist das Thema Cyber-Security Chefsache. Der Vorstand muss frühzeitig eingebunden werden und sich entsprechend engagieren. Um die Einfallstore vor Angreifern zu schützen, muss das „Wachpersonal“ gestärkt werden. Schulungen zu Cyber-Risiken und Sensibilisierung der Mitarbeitenden, zum Beispiel durch Phishing-Testmails, sind essenziell. Sie rufen die Bedrohungen immer wieder ins Gedächtnis.
Gleichzeitig sollten auch Cyber-Breach-Response-Pläne als Teil der Sicherheitsstrategie erarbeitet werden. Ein konkreter Plan sorgt im Notfall für die entsprechende Ruhe und besonnenes Vorgehen. Gerade hier herrscht jedoch in deutschen Unternehmen noch deutlicher Optimierungsbedarf: Laut Bitkom (3) haben aktuell nur durchschnittlich 54 Prozent der Unternehmen einen solchen Notfallplan parat.
Integrierte Planungen innerhalb des Unternehmens können das Risikomanagement und die Bewertung von Schwachstellen – insbesondere auch durch Gap- und Abhängigkeits-Analysen – bündeln. Die Sicherung der IT-Infrastruktur, Datensicherheit, aber auch eine entsprechende Governance sollten zudem klar geregelt sein. Des Weiteren kann die Entwicklung eines Frühwarnsystems unter konstanter Beobachtung der Medien und Sozialen Medien sowie der einschlägigen Berichterstattung über neueste Entwicklungen und Akteure im Cyber Crime sinnvoll sein, um die Veränderung von Bedrohungen zu identifizieren und mögliche Angriffe besser abwehren zu können.
Frühzeitige Vorbereitung ist das A und O
Wie Benjamin Franklin schon sagte: „If you fail to plan, you are planning to fail.“ Was klingt wie eine Binsenweisheit, trifft beim Thema Cyber Security aber ins Schwarze. So liegt ein Großteil des erfolgreichen Umgangs mit Cyber-Attacken in der Vorbereitung. Denn im Ernstfall sind die Handlungsmöglichkeiten massiv eingeschränkt, es herrschen Hektik und enormer Zeitdruck. In der Regel ist es für wirksame Gegenwehr dann schlichtweg zu spät. Es bleibt nur die Schadensbegrenzung.
Das muss nicht sein. Die frühzeitige Aufklärung und Sensibilisierung der Mitarbeitenden hat oberste Priorität. Durch die Entwicklung einer gemeinsamen Sicherheitskultur als Teil der Unternehmenskultur kann dies in den Alltag eingebunden werden. Das Engagement der Führungsebene und wichtiger Interessensgruppen trägt dabei maßgeblich zum Erfolg bei. Regelmäßige fachliche Aus- und Weiterbildungen können zudem helfen, das größte Einfallstor, die Schnittstelle zwischen Mensch und Maschine, besser zu schützen und Angriffen vorzubeugen.
Notfallpläne sind für ruhiges und besonnenes Krisenmanagement essenziell. Ein detailliert ausgearbeitetes Krisenhandbuch, in dem alle relevanten Informationen für den Ernstfall zusammengetragen wurden, steht im Zentrum der Planung und gibt allen Beteiligten Sicherheit. Neben der Erreichbarkeit des Krisenteams sollten hierin Wenn-Dann-Situationen festgelegt werden, Vorgehensweisen und Abläufe definiert sein. Insbesondere alternative Kommunikationswege sollten bedacht werden, für den Fall, dass die IT nicht mehr einsetzbar ist. Auch sollten möglichst viele Inhalte als Entwurf vorliegen, inklusive nötiger Freigaben: Von Holding Statements und Kernbotschaften über interne Mitteilungen bis hin zu Pressemitteilungen und Informationsschreiben für Kunden. Je mehr vorbereitet ist, desto schneller kann das Krisenteam reagieren. Zu einer guten Vorbereitung gehört auch, dass die Notfallpläne durch Übungen auf Herz und Nieren geprüft wurden. Dabei empfiehlt sich ein Vorgehen in mehreren Phasen – von Desktop-Übungen mit dem zentralen Krisenteam, in dem alle niedergeschriebenen Details durchgesprochen werden und mögliche Lücken identifiziert werden, bis hin zur kompletten Simulation mit praxisnahen Interventionen, die den Krisenstab und die Führungsebene auf den Ernstfall vorbereiten.
Die dritte zentrale Säule der Vorbereitung beinhaltet die Evaluierung der bestehenden und gegebenenfalls Implementierung weiterer IT-Sicherheitsmechanismen, wie zum Beispiel Antivirensoftware oder Netzwerksegmentierung, aber auch die Erarbeitung von Passwort-Richtlinien und Berechtigungsmanagement sowie die Erstellung von Sicherungskopien und Prozessen zur Datenwiederherstellung. Externe IT-Expert:innen können dabei hilfreich sein und die Systeme prüfen, von Sicherheitsanalysen bis hin zu simulierten Attacken.
Ruhe bewahren im Krisenfall
Ein möglicher Krisenfall kann sich im Vorfeld abzeichnen: Durch erste Anzeichen von Schwäche, aber auch durch die Entwicklung und Zunahme des Auftretens neuer Angriffsvektoren. Das meist zunächst interne Bekanntwerden der Attacke auf das eigene Unternehmen löst dann die unmittelbare Aktivierung des Krisenstabs aus. Nun gilt es, sich schnell einen Überblick zu verschaffen und die entsprechenden Notfall-Maßnahmen einzuleiten. Die Schadensbegrenzung und Eindämmung der Verbreitung im Unternehmensnetzwerk stehen an erster Stelle. Unter Einbezug der Fachkräfte wird das Einfallstor ermittelt und geschlossen und die angegriffenen Systeme isoliert sowie weitere Schutzmaßnahmen eingeleitet. Nach Sicherung des Systems kann eine Wiederherstellung oder Neuaufsetzung des IT-Systems erfolgen. Im Fall von Ransomware-Angriffen muss die Abwehr-Strategie abgewogen und entschieden werden. Hier ist die Hinzuziehung externer Spezialist:innen mit entsprechender Verhandlungserfahrung unbedingt angeraten.
Im Krisenfall besteht die Herausforderung vor allem darin, bei beschränkter eigener Information richtig und schnell zu kommunizieren. Abzuwarten, bis mehr Klarheit besteht, ist keine Option. Die Reihenfolge der Kommunikation hat dabei hohe Relevanz: Gemäß Art. 33, 34 DSGVO müssen bei Cyber-Attacken betroffene Organisationen innerhalb von 72 Stunden nach Feststellung des Problems Informationen an Aufsichtsbehörden übersenden, danach müssen betroffene Personen informiert werden – sofern ein hohes Risiko einer Verletzung von deren Rechte besteht. Im Anschluss erfolgt die Information der weiteren internen sowie der externen Stakeholder. Die Botschaften müssen abgewogen werden und in der Lage sein, die Öffentlichkeit zu beruhigen, ohne dabei Angreifern zu viele Informationen zu geben.
Cyber-Angriffe bringen Unternehmen in erhebliche Drucksituationen bis hin zur völligen Handlungsunfähigkeit in den gewohnten Strukturen und Prozessen. Es sind komplexe Ausnahmesituationen, die den geschäftlichen Alltag ins Wanken bringen. Es gilt, die Kontrolle über das Unternehmen so rasch wie möglich wiederzuerlangen. Dazu müssen alle Beteiligten – von Vorstand bis IT, von Recht bis Kommunikation – souverän und geübt zusammenwirken. Besser wäre, es käme erst gar nicht so weit, dank guter Vorbereitung und solider Krisenplanung.
(1) Studie von Mergermarket und Admincontrol: Under attack: Cyber due diligence demands more of dealmakers (Befragung von 100 Senior Executives in Investmentbanken, Kanzleien und Private Equity in Q4 2022)
(2) Umfrage des Bundesamtes für Sicherheit in der Informationstechnik in deutschen Unternehmen, die Homeoffice angeboten haben (Okt.-Nov. 2020; 1.000 Befragte)
(3) Ergebnis einer Studie im Auftrag des Digitalverbands Bitkom, repräsentative Befragung von 1.066 Unternehmen aus allen Branchen, veröffentlicht im September 2022
Foto: iStock.com/Vitalii Gulenok
Der Beitrag erschien Mitte Februar 2023 in Ausgabe 1 / 2023 des Online-Magazins Restructuring Business. Den Originalbeitrag lesen Sie hier.