Mehr als drei Viertel des Gesamtwertes großer Unternehmen besteht heute aus geistigem Eigentum (intellectual property, IP) und anderen immateriellen Vermögenswerten. Diese sind durch Angriffe krimineller Hacker erheblich gefährdet. Gleichwohl unterschätzen manche Firmen immer noch die Cyberrisiken und sind schlecht auf IT-Sicherheitsvorfälle vorbereitet.
Heute bleiben nur noch wenige Informationen vertraulich. Whistleblower oder motivierte Insider sprechen mit den Medien oder posten Informationen über eigene Kanäle. Grundlegende Überlegungen, wie das Unternehmen in einem solchen Fall vorgeht, sollten am besten vor dem Ernstfall angestellt werden - wenn es (noch) nicht brennt. Eine Cyberattacke sollte heute zu den Szenarien gehören, auf das jedes Unternehmen vorbereitet ist.
Lesetipp: Mitarbeiter, die zu Innentätern wurden
So bereiten Sie sich darauf vor, gehackt zu werden
Krisenprävention fokussiert darauf, erste Antworten parat zu haben, wenn der Krisenfall eintritt. Dazu sollten Unternehmen:
systematisch Szenarien für denkbare (und auch weniger denkbare) Krisenfälle erarbeiten - auch über Cyberattacken hinaus,
mögliche Krisenfälle gedanklich durchspielen, um Schwachstellen zu finden, Abläufe zu definieren und Zuständigkeiten zu klären,
sowie die gewonnenen Erkenntnisse in eine Handlungsanleitung für den Krisenfall übersetzen.
Übrigens können auch Angriffe auf die Reputation - zum Beispiel in Form von Fake News - zu einer Krise führen. Natürlich liegt die Verantwortung, über Maßnahmen zu entscheiden, bei der Unternehmensleitung. In einem solchen Fall richtig zu kommunizieren, ist dabei jedoch erfolgskritisch. Leider zeigt sich immer wieder, dass Krisen sich durch falsche oder sogar fehlende Kommunikation in der ersten heißen Phase noch verschärfen können.
Hat ein erfolgreicher Cyberangriff stattgefunden, müssen viele Dinge schnell parallel ablaufen. Mit Hilfe eines bereits vorhandenen Plans können schnellstmöglich Antworten auf folgende Fragen gefunden werden:
Wo liegt die Ursache für die Cyberattacke?
Wer zeichnet für den Angriff verantwortlich?
Wurden sensible Daten entwendet? Wer ist davon betroffen und muss sofort informiert werden?
Wie hoch ist der verursachte Schaden?
In manchen Fällen brauchen Unternehmen für die Beantwortung die Unterstützung von forensischen IT-Spezialisten. Zudem sollte im Akutfall auch juristischer Rat eingeholt werden. Liegen alle Informationen vor und ist die Gefahr gebannt, müssen die IT-Systeme wiederhergestellt und der Schadensfall dokumentiert werden.
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
Lesetipp: So führen Sie IT-Forensik in der Praxis ein
So kommunizieren Sie, wenn Sie gehackt wurden
Neben der Abarbeitung des rechtlichen und operativen Parts sollte parallel die Kommunikation über den Sicherheitsvorfall anlaufen. Hierbei sollte das Management nicht den Fehler machen, auf Zeit zu spielen und zu hoffen, den Vorfall unter den Teppich kehren zu können. Eine offene Kommunikation, die zeitnah Mitarbeiter, Kunden, Zulieferer und andere Stakeholder informiert, schafft Vertrauen und zahlt sich aus. Über welche Kanäle die Information laufen soll, sollte ebenfalls bereits im Vorfeld geklärt werden.
Reicht es, nur betroffene Stakeholder per E-Mail zu informieren oder macht es Sinn, die Krisenkommunikation per Social Media weitreichend zu verbreiten? Bei börsennotierten Unternehmen gibt es bei entsprechender Größenordnung des Schadens auch die Publizitätspflicht mittels einer Ad-Hoc-Meldung, gegebenenfalls verbunden mit einer Pressekonferenz, um die Information der Investoren sicherzustellen.
Krisenkommunikation wird im Fall von Hackerangriffen oft zu spät bedacht oder es fehlt die Bereitschaft, in sie zu investieren. Unabhängig von der Größe eines Unternehmens können im Krisenfall eine Vielzahl von Fragen aus unterschiedlichen Quellen auf das Management einstürmen. Gut, wenn Sie darauf vorbereitet sind:
Wo sind Informationen zu den IT-Security-Maßnahmen zu finden, die das Unternehmen getroffen hat?
Gibt es Zahlen zu den Investitionen in IT-Sicherheit?
Wie viele Angriffe werden im Schnitt täglich abgewehrt?
Wieviele IT-Spezialisten und IT-Security-Experten sind im Unternehmen beschäftigt?
Gibt es Statements der Geschäftsleitung zur Bedeutung der IT-Sicherheit?
Sind in diesem Bereich Ankündigungen gemacht und umgesetzt worden?
Gibt es bekannte Schwachstellen in Systemen auf die beispielsweise von Mitarbeitern hingewiesen wurde?
Wie hat das Unternehmen auf diese Ankündigungen reagiert?
Sind die Systeme regelmäßig getestet worden und wenn ja, wann zuletzt?
Auch wenn die Vorbereitung auf einen möglichen Cyberangriff in "friedlichen" Zeiten möglicherweise bei Mitarbeitern auf Unverständnis stößt, so kann sie im Ernstfall zu einem ruhigeren geplanten Ablauf verhelfen. (bw/fm)