Print

agcs.momentum

Cyber-Krisenmanagement - Die Herausforderung der Zukunft

Kommt Ihnen das bekannt vor? Sie erhalten eine E-Mail von einem Geschäftspartner und öffnen das angehängte PDF-Dokument…

Robin Kroha, Head of Cyber Crisis Management bei der metafinanz Informationssysteme GmbH, setzt sich mit der Frage auseinander, was Krisenmanagement bei Cybervorfällen bedeutet. 

Diesen Artikel können Sie als pdf-Dokument downloaden.

Cyber – neue Chancen, neue Risiken

Wirtschaft, Industrie (Industrie 4.0) und Konsumverhalten sind durch die Nutzung sowie die schnelle Entwicklung von Informations- und Kommunikations-Technologien einschneidenden Änderungen unterworfen. Die Geschwindigkeit und Menge der Informationen, die übertragen, verarbeitet und gespeichert werden, nehmen, ebenso wie die damit möglichen Anwendungen (Big Data), stetig zu.

Die meisten Manager wissen, dass diese Risiken durch den Einsatz von Sicherheitstechnologien zwar minimiert, jedoch nicht 100-prozentig ausgeschlossen werden können. Aber die wenigsten von ihnen glauben, dass diese Risiken ihr gesamtes Unternehmen bedrohen und in eine existenzbedrohliche Krise stürzen können – bis sie eine Cyber-Krise erleben. Wenn den meisten Unternehmen klar ist, dass ein erfolgreicher Cyber-Angriff auf sie nur eine Frage der Zeit ist – warum sind dann so viele Unternehmen weiterhin schlecht darauf vorbereitet, die aus einem solchen Angriff resultierende Krise zu managen? Der folgende Beitrag skizziert die besonderen Herausforderungen dieser Entwicklungen speziell im Hinblick auf IT-Vorfälle, deren Ausmaß und Folgen Auswirkungen auf die Reputation, die Wirtschaftsleistung oder gar den Bestand eines Unternehmens haben können.

Sie halten das für unwahrscheinlich? Kommen wir zurück auf unsere E-Mail. Diese stammt zwar von Ihrem Geschäftspartner, jedoch wurde der Anhang durch einen Angreifer so „modifiziert“, das dieser beim Öffnen Schadsoftware auf Ihrem Rechner installiert.

Krise? Welche Krise?

Traditionell spricht man von einer Krise als einer Situation, die den Fortbestand des Unternehmens substantiell gefährden oder unmöglich machen kann. Üblicherweise kann die normale Aufbau- und Ablauforganisation des Unternehmens sie nicht alleine bewältigen. Ihre Ursachen können mannigfaltig sein, z.B. wirtschaftliche, technische oder physische Bedrohungen. Typische Krisen mit Sicherheits-Gefährdung sind Erpressung, Entführung, Sabotage oder Spionage. Die meisten Unternehmen verfügen über präventive Maßnahmen für solche Fälle, meist in Form von Krisenmanagement-Organisationen und Krisenplänen. Diese sollen helfen, Krisen zu vermeiden oder zu bewältigen.

Die Erfahrungen der letzten Jahre haben jedoch gezeigt, dass traditionelles Krisenmanagement keinen angemessenen Schutz vor Cyber-Angriffen bietet. Hierfür gibt es zwei herausragende Gründe.

Zum einen fokussiert traditionelles Krisenmanagement auf technische Reaktionen, d.h. den Versuch, Angreifer schnell zu finden und zu entfernen sowie gleichzeitig die Geschäftsunterbrechung so gering wie möglich zu halten. Aber die Folgen eines Cyber-Angriffs gehen weit über das Firmennetz und den laufenden Geschäftsbetrieb hinaus. Ein Cyber-Angriff kann eine Vielzahl von Problemen hervorrufen. Intellektuelles Eigentum, Forschungs- und Entwicklungsdaten, rechtliche Fragen, Kunden, Kommunikation, Öffentlichkeitsarbeit, Ansehen der Marke – alle diese Bereiche können betroffen sein und müssen vom Cyber-Krisenmanagement angemessen behandelt werden.

Zum anderen orientiert sich traditionelle Krisenreaktion an althergebrachten Problemlösungsstrategien. Aber Cyber-Krisenmanagement ist etwas grundlegend Anderes als strategische Geschäftsplanung. Herkömmliche Planungsprozesse und Führungsmodelle versagen in einer Cyber-Krise, die sich mit Netzgeschwindigkeit ausbreitet.

Deshalb reift bei einer wachsenden Zahl von Unternehmen die Erkenntnis, dass sie Zugriff auf spezialisierte Cyber-Krisenmanager benötigen. Deren Aufgabe ist es, Unternehmen in die Lage zu versetzen, Bedrohungen, die aufgrund der Verwendung bzw. den Möglichkeiten von Informationstechnologie bestehen oder erst entstehen, handhabbar zu machen. Diese Cyber-Krisenmanager zeichnen sich dadurch aus, dass sie die Bedrohungslage, die Angriffsmöglichkeiten sowie die möglichen Herausforderungen im Bereich der Cyber-Sicherheit in ihren vielfältigen Dimensionen und mit ihren oft nicht abschätzbaren Auswirkungen für Unternehmen transparent und beherrschbar machen.


Erinnern Sie sich an die E-Mail? Der Schadcode, der sich auf Ihrem Rechner installiert hat, verbreitet sich rasant im Netzwerk Ihres Unternehmens und ermöglicht dem Angreifer vollen Zugriff auf all Ihre Kunden-, Geschäfts- und F&E-Daten. Diese hat er bereits abgezogen und stehen ihm nun zur Verfügung.

Unvorbereitete Unternehmen ohne angemessenes Cyber-Krisenmanagement geraten leicht in Gefahr, dass sich ein scheinbares Netzwerkproblem plötzlich zu einer Krise infolge von Datenverlust oder Erpressung ausweitet. Selbst, wenn über die tatsächliche Situation Klarheit besteht, kann es noch geraume Zeit in Anspruch nehmen, bis klar ist, welche Daten betroffen sind und welcher Schaden daraus entsteht.

Ein traditioneller, technischer Ansatz im Krisenmanagement scheitert spätestens dann, wenn der Krise ein technischer Vorfall von hoher Komplexität zugrunde liegt, der das Unternehmen gleichzeitig vor rechtliche, finanzielle und kommunikative Herausforderungen stellt, die oftmals Entscheidungen binnen Minuten erfordern.

Wieder zu unserem Angreifer. Er teilt Ihnen mit, dass er über die Ihre Daten verfügt und droht Ihnen damit, diese zu veröffentlichen, sofern Sie nicht bereit sind, ihm eine hohe Geldsumme zu zahlen. Haben Sie Kenntnis darüber, welche Daten Ihr Unternehmen im Einzelnen verarbeitet und speichert? Gehören z.B. auch Kreditkarten- oder Gesundheitsdaten dazu?

 

Gesetzliche Rahmenbedingungen für Cyber-Sicherheit

Prominente Fälle sowie ein steigendes Bewusstsein für Gefahrenpotenziale haben das Thema Cyber-Sicherheit mittlerweile auch in den Fokus der Politik gerückt. Die Europäische Union hat bereits reagiert und am 4. Mai 2016 die neue EU-Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Diese greift nach rund 2-jähriger Übergangszeit ab dem 25.05.2018. Darin wird unter anderem die Gewährleistung von Datensicherheit gesetzlich verankert (Art. 32 DSGVO).

Ebenfalls ist eine entsprechende zeitnahe Meldepflicht binnen 72 Stunden vorgesehen (Art. 33 DSGVO), ggf. eine Schadensersatzpflicht gegenüber den Geschädigten (Art. 82 DSGVO) sowie die Möglichkeit zur Verhängung von Geldbußen in Höhe von bis zu zehn Millionen Euro oder bei Unternehmen von bis zu zwei Prozent des weltweit erzielten Vorjahresumsatzes (Art. 83 DSGVO). Diese Verordnung hat damit erheblichen Einfluss auf den Umgang europäischer Unternehmen mit den Themen Cyber-Sicherheit und Cyber-Krisenmanagement.

Der deutsche Gesetzgeber hat bereits im Jahr 2015 das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ verabschiedet. Dieses Gesetz betrifft vorrangig nur bestimmte Wirtschaftssektoren (etwa Energie-, Telekommunikationsunternehmen, Banken oder Krankenhäuser), verpflichtet jedoch indirekt auch deren Lieferanten und Subunternehmer zur Einhaltung entsprechender Anforderungen. Seit Inkrafttreten des IT-Sicherheitsgesetzes wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 7 meldepflichtige Attacken registriert.


Inhomogene Täterstrukturen und Motive

Unternehmen und Institutionen, die einem Cyber-Angriff ausgesetzt sind, führen meist einen aussichtslosen Kampf gegen Kriminelle, die genug Zeit und Geld haben, um sich intensiv auf den Angriff vorzubereiten und diesen sehr gezielt ausführen. Cyber-Attacken geht häufig eine monatelange Vorlaufzeit voraus, um Abläufe, Genehmigungsprozesse oder persönliche Beziehungen innerhalb einer Organisation auszuspionieren. Generell ist ein steigendes Niveau bezüglich der Qualität der Angriffe und der technischen Professionalität zu beobachten.

Ein weiteres Problem bei der Erst-Einschätzung von Cyber-Krisen ist die Identifizierung der Motivlage der Täter. Hierbei reicht die Bandbreite der Angreifer von Cyber-Aktivisten über Cyber-Kriminelle bis hin zu Hackern, die in staatlichem Auftrag handeln.

Diese Gruppen verfolgen unterschiedlichste Ziele, etwa:

  • Massive Unterbrechung des Geschäftsbetriebs
  • Veröffentlichung sensibler Informationen zur Erlangung finanzieller Vorteile (Erpressung)
  • Rufschädigung des Unternehmens aus ideologischen Gründen, um deren Geschäftstätigkeit zu stören bzw. möglichst zu unterbinden
  • Beschaffung von Insiderinformationen für Wettbewerbsvorteile
  • Kontrolle über die IT-Infrastruktur oder die Produktionsanlagen aus strategischen Gründen

 

Mangelndes Risikobewusstsein

Trotz häufiger und ausführlicher Berichte in der Tages- und Wirtschaftspresse werden Unternehmen nach wie vor von Cyber-Krisen überrascht und sind durch mangelnde Vorbereitung in ihrem Handlungsspielraum zusätzlich eingeschränkt. Hierbei ist es unerheblich, ob die Krise durch einen Angriff auf oder einen Fehler in der eigenen ITK ausgelöst wurde. Ausschlaggebend ist, wie das betroffene Unternehmen damit umgeht und im Krisenmanagement von der Öffentlichkeit wahrgenommen wird.

Nochmals zu unserem Angreifer. Wie würden Sie reagieren?

Welche Dimensionen Cyber-Krisen erreichen können, zeigt das Beispiel der Zentralbank von Bangladesch, die im Februar 2016 „erfolgreich“ attackiert wurde: Die Angreifer erbeuteten rund 81 Millionen Dollar.

Aber auch deutsche Unternehmen sind im Fokus von Cyber-Angriffen. Prominentes und aktuelles Beispiel ist ein Autozulieferer, der durch einen Cyber-Angriff rund 40 Millionen Euro verloren hat.


Vorbereitung auf den Krisenfall

Erfolgreiches Krisenmanagement setzt eine sinnvolle Organisation voraus. Deren primäre Merkmale sind klare Verantwortlichkeiten und Abläufe: Jedes Mitglied der Krisenorganisation muss seine Rolle kennen und diese erfüllen können.

Entscheidend für eine rasche Reaktionsmöglichkeit seitens des betroffenen Unternehmens ist eine genaue Kenntnis darüber, welche Reputationsschäden durch schlechtes Krisenmanagement entstehen können. Erfährt die Kommunikationsabteilung erst durch den Anruf eines Journalisten von einem Problem in der eigenen Firma, geht wertvolle Zeit verloren, die für interne Recherchen und die Vorbereitung von Stellungnahmen fehlt.

Aber Cyber-Angriffe lassen sich selten schnell, einfach und eindeutig erkennen. Den Tätern stehen vielfältige Angriffsvektoren zur Verfügung und diese Vektoren können vielfältige Auswirkungen und Symptome haben. Nachfolgend sind einige Symptome aufgelistet, die auf einen gezielten Angriff hindeuten:

  • Konten oder Passwörter funktionieren nicht mehr
  • Die Webseite des Unternehmens wurde unautorisiert verändert
  • Festplatten oder Speicher von Systemen sind überlaufen
  • Unerklärlich hohe Antwortzeiten / hoher Traffic im Netzwerk
  • Protokolle zeigen verdächtige Aktivitäten
  • Virenscanner funktionieren nicht mehr

 

Unternehmen sollten drei präventive Maßnahmen etablieren, die ihre Widerstandsfähigkeit gegenüber Cyber-Angriffen deutlich erhöhen:

  1. Potentielle Cyber-Krisenfälle identifizieren.
    Jenseits des klassischen IT-Risikomanagements erfordern Cyber-Risiken eine gründliche Analyse der Auswirkungen eines erfolgreichen Angriffs auf das Business und auf die durch die Krise betroffenen Interessenseigner.

  2. Integrierte Cyber-Krisenpläne erstellen.
    Cyber-Krisen sind eine Aufgabe für das Top-Management des Unternehmens. Aber ihre Bewältigung setzt das koordinierte Zusammenwirken der Rechts-, Kommunikations- und IT-Abteilung voraus – oftmals unter Beteiligung Dritter, die das Unternehmen in dieser Situation unterstützen. Entsprechende Pläne können helfen, Ordnung in das drohende Chaos von Kompetenzen, Verantwortlichkeiten und Aufgaben zu bringen.

  3. Cyber-Krisenpläne durchspielen.
    Das Proben von Ernstfällen und das regelmäßige Durchspielen von Notfallplänen unter Beteiligung der potentiell betroffenen Linienorganisationen (evt. sogar externer Dienstleister aus dem Bereich des IT-Notfallmanagements oder der IT-Forensik) schaffen erst Handlungssicherheit und schnelle Entscheidungsfähigkeit im Krisenfall.

Ein Cyber-Krisenplan enthält unter anderem eine Beschreibung der Krisenmanagementorganisation und der Aufgaben der einzelnen Rollen sowie Hinweise auf mitgeltende (technische) Dokumente (z.B. Notfall- und Wiederanlaufpläne).

Ein weiterer Bestandteil eines Cyber-Krisenmanagementplans sind Szenario-spezifische Beschreibungen, Checklisten sowie Kommunikationsstrategien und –vorlagen. Damit der Krisenmanagementplan im Ernstfall sinnvoll genutzt werden kann, muss er in regelmäßigen Abständen (z.B. alle sechs Monate) überprüft und ggf. aktualisiert werden.


Während und nach dem Krisenfall

Im Falle einer Cyber-Krise sind eine kontrollierte Reaktion und eine professionelle Kommunikation wesentliche Schlüsselkomponenten, um die Situation gut zu bewältigen.

Aufgrund der Komplexität der Situation stehen in der Anfangsphase einer Cyber-Krise oft nur wenige gesicherte Informationen zur Verfügung. Es ist essentiell, dass jedwede interne und externe Kommunikation mit dem Krisenstab abgestimmt wird und einheitlich erfolgt. Hierbei ist es wichtig, dass Fakten korrekt dargestellt und keine Mutmaßungen getroffen werden. Ebenso wichtig ist es, auf Emotionen der Geschädigten einzugehen und ihnen gegenüber eine Entschuldigung auszusprechen. Denn einmal verlorenes Vertrauen durch zu späte, schlechte, unregelmäßige oder unkorrekte Kommunikation während einer Krisensituation ist nur mit sehr viel Aufwand, Zeit und Geld wiederherzustellen.

Der Kommunikationsbedarf erstreckt sich hierbei nicht nur auf die Medien, sondern muss auch Mitarbeiter, Kunden und sonstige Interessenseigner umfassen. Diese sollten zumindest zeitgleich mit den Pressestatements –wenn möglich schon vorher – informiert und auf dem Laufenden gehalten werden.

Auch wird es während eines Cyber-Vorfalls häufig notwendig, die betroffenen Systeme und Infrastrukturen tiefgehend zu analysieren. Da die meisten Unternehmen nicht über eigene IT-Forensiker verfügen, sollten dies durch entsprechend spezialisierte Unternehmen durchgeführt werden. Die Analyseergebnisse können für eine Entscheidungsfindung in der Krisensituation und für eine spätere Strafverfolgung essentiell sein.

Je nach Rechtsform des Unternehmens (z.B. Börsennotierung) oder Schwere des Vorfalls kann es zwingend notwendig sein, die zuständigen Behörden zu informieren.

Nach einem überstandenen Cyber-Vorfall sollte dieser intensiv untersucht werden. Verbesserungspotenzial muss identifiziert und umgesetzt werden. So wird die Krisenorganisation effizienter und es kann künftig noch besser auf entsprechende oder ähnliche Situationen reagiert werden.

Ein letztes Mal zu unserem Angreifer: Wie haben Sie sich entschieden?

Fehlen im Unternehmen personelle oder fachliche Kapazitäten, um einen Ernstfall bewältigen zu können, empfiehlt es sich, schon im Vorfeld die Unterstützung durch entsprechend spezialisierte Beratungsunternehmen zu erwägen. Im Bereich des Cyber-Krisenmanagements existieren in Deutschland nur sehr wenige spezialisierte Unternehmen (wie die metafinanz Informationssysteme GmbH),. Die Berater dieser Unternehmen sind erfahrene Krisenmanager und verfügen über die notwendigen Kontakte (z.B. zu Kommunikationsberatern, Agenturen für Medienbeobachtung, Forensikern, spezialisierten Juristen), damit im Notfall schnell, effektiv und zielgerichtet gehandelt werden kann.

Unser Experte:

Robin Kroha ist Head of Cyber Crisis Management bei der metafinanz Informationssysteme GmbH. Er ist für die strategische Beratung von Unternehmen beim Aufbau neuer oder der Optimierung bestehender Maßnahmen in den Bereichen Cyber-Krisen- und Sicherheitsmanagement zuständig.


E-Mail: robin.kroha@metafinanz.de