Cyberangriffe managen

Sind Sie bereit, gehackt zu werden?

03.09.2021
Von 
Rainer Westermann ist Unternehmensberater für Kommunikation. Er war Unternehmensgründer und Geschäftsführer eines deutsch-amerikanischen Joint Ventures, Vorstand eines amerikanischen Softwareunternehmens, Deutschlandchef zweier internationaler Kommunikationsberatungen und für Infineon Technologies AG weltweit verantwortlich für die Kommunikation. Seit 2018 ist er Präsident des Crisis Protection Network Zürich. Er ist Dozent im Executive MBA an der TUM School of Management. Dort ist er auch seit vielen Jahren Mitglied des Executive Education Board.
Cyberangriffe sind allgegenwärtig - ein hundertprozentiger Schutz unmöglich. Umso wichtiger ist es, sich richtig auf IT-Security-Krisenfall und die dazugehörige Kommunikation vorzubereiten.

Mehr als drei Viertel des Gesamtwertes großer Unternehmen besteht heute aus geistigem Eigentum (intellectual property, IP) und anderen immateriellen Vermögenswerten. Diese sind durch Angriffe krimineller Hacker erheblich gefährdet. Gleichwohl unterschätzen manche Firmen immer noch die Cyberrisiken und sind schlecht auf IT-Sicherheitsvorfälle vorbereitet.

Sind Sie auf die Verteidigung im Cyberkrieg ausreichend vorbereitet? Hier lesen Sie, was Sie als (Security-) Manager tun sollten, wenn Sie gehackt wurden.
Sind Sie auf die Verteidigung im Cyberkrieg ausreichend vorbereitet? Hier lesen Sie, was Sie als (Security-) Manager tun sollten, wenn Sie gehackt wurden.
Foto: Lia Koltyrina - shutterstock.com

Heute bleiben nur noch wenige Informationen vertraulich. Whistleblower oder motivierte Insider sprechen mit den Medien oder posten Informationen über eigene Kanäle. Grundlegende Überlegungen, wie das Unternehmen in einem solchen Fall vorgeht, sollten am besten vor dem Ernstfall angestellt werden - wenn es (noch) nicht brennt. Eine Cyberattacke sollte heute zu den Szenarien gehören, auf das jedes Unternehmen vorbereitet ist.

Lesetipp: Mitarbeiter, die zu Innentätern wurden

So bereiten Sie sich darauf vor, gehackt zu werden

Krisenprävention fokussiert darauf, erste Antworten parat zu haben, wenn der Krisenfall eintritt. Dazu sollten Unternehmen:

  1. systematisch Szenarien für denkbare (und auch weniger denkbare) Krisenfälle erarbeiten - auch über Cyberattacken hinaus,

  2. mögliche Krisenfälle gedanklich durchspielen, um Schwachstellen zu finden, Abläufe zu definieren und Zuständigkeiten zu klären,

  3. sowie die gewonnenen Erkenntnisse in eine Handlungsanleitung für den Krisenfall übersetzen.

Übrigens können auch Angriffe auf die Reputation - zum Beispiel in Form von Fake News - zu einer Krise führen. Natürlich liegt die Verantwortung, über Maßnahmen zu entscheiden, bei der Unternehmensleitung. In einem solchen Fall richtig zu kommunizieren, ist dabei jedoch erfolgskritisch. Leider zeigt sich immer wieder, dass Krisen sich durch falsche oder sogar fehlende Kommunikation in der ersten heißen Phase noch verschärfen können.

Hat ein erfolgreicher Cyberangriff stattgefunden, müssen viele Dinge schnell parallel ablaufen. Mit Hilfe eines bereits vorhandenen Plans können schnellstmöglich Antworten auf folgende Fragen gefunden werden:

  • Wo liegt die Ursache für die Cyberattacke?

  • Wer zeichnet für den Angriff verantwortlich?

  • Wurden sensible Daten entwendet? Wer ist davon betroffen und muss sofort informiert werden?

  • Wie hoch ist der verursachte Schaden?

In manchen Fällen brauchen Unternehmen für die Beantwortung die Unterstützung von forensischen IT-Spezialisten. Zudem sollte im Akutfall auch juristischer Rat eingeholt werden. Liegen alle Informationen vor und ist die Gefahr gebannt, müssen die IT-Systeme wiederhergestellt und der Schadensfall dokumentiert werden.

Lesetipp: So führen Sie IT-Forensik in der Praxis ein

So kommunizieren Sie, wenn Sie gehackt wurden

Neben der Abarbeitung des rechtlichen und operativen Parts sollte parallel die Kommunikation über den Sicherheitsvorfall anlaufen. Hierbei sollte das Management nicht den Fehler machen, auf Zeit zu spielen und zu hoffen, den Vorfall unter den Teppich kehren zu können. Eine offene Kommunikation, die zeitnah Mitarbeiter, Kunden, Zulieferer und andere Stakeholder informiert, schafft Vertrauen und zahlt sich aus. Über welche Kanäle die Information laufen soll, sollte ebenfalls bereits im Vorfeld geklärt werden.

Reicht es, nur betroffene Stakeholder per E-Mail zu informieren oder macht es Sinn, die Krisenkommunikation per Social Media weitreichend zu verbreiten? Bei börsennotierten Unternehmen gibt es bei entsprechender Größenordnung des Schadens auch die Publizitätspflicht mittels einer Ad-Hoc-Meldung, gegebenenfalls verbunden mit einer Pressekonferenz, um die Information der Investoren sicherzustellen.

Krisenkommunikation wird im Fall von Hackerangriffen oft zu spät bedacht oder es fehlt die Bereitschaft, in sie zu investieren. Unabhängig von der Größe eines Unternehmens können im Krisenfall eine Vielzahl von Fragen aus unterschiedlichen Quellen auf das Management einstürmen. Gut, wenn Sie darauf vorbereitet sind:

  • Wo sind Informationen zu den IT-Security-Maßnahmen zu finden, die das Unternehmen getroffen hat?

  • Gibt es Zahlen zu den Investitionen in IT-Sicherheit?

  • Wie viele Angriffe werden im Schnitt täglich abgewehrt?

  • Wieviele IT-Spezialisten und IT-Security-Experten sind im Unternehmen beschäftigt?

  • Gibt es Statements der Geschäftsleitung zur Bedeutung der IT-Sicherheit?

  • Sind in diesem Bereich Ankündigungen gemacht und umgesetzt worden?

  • Gibt es bekannte Schwachstellen in Systemen auf die beispielsweise von Mitarbeitern hingewiesen wurde?

  • Wie hat das Unternehmen auf diese Ankündigungen reagiert?

  • Sind die Systeme regelmäßig getestet worden und wenn ja, wann zuletzt?

Auch wenn die Vorbereitung auf einen möglichen Cyberangriff in "friedlichen" Zeiten möglicherweise bei Mitarbeitern auf Unverständnis stößt, so kann sie im Ernstfall zu einem ruhigeren geplanten Ablauf verhelfen. (bw/fm)