Es kommt noch immer viel zu oft vor, dass Unternehmen aufgrund von simpler Leichtsinnigkeit wiederholt gehackt werden. Dabei ließen sich eine Vielzahl der Attacken zumindest in ihrer Schwere eindämmen, wenn einige grundlegenden Faktoren beachtet werden würden und sich überordnend eine von Cybersicherheit geprägte Unternehmenskultur etablieren könnte.
Grundsätzlich verfolgen viele Unternehmen nämlich noch immer eine „Change by Disaster“ - und keine proaktive „Change by Design“-Mentalität. Erfolgversprechendes Management von Cybersicherheitsvorfällen beginnt aber mit dem Zusammenspiel von Fachwissen, Managementfähigkeiten und vor allem einer systematisch gut koordinierten Herangehensweise.
Robuste Sicherheitsmaßnahmen erforderlich
Präventive Vorsorge ist das Gebot der Stunde. Cybersicherheit muss dafür ständiger Bestandteil der Unternehmenskultur werden und bei jeder Entscheidung eine übergeordnete Rolle spielen. In der Praxis heißt das, zunächst robuste Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systeme, regelmäßige Patch-Updates und starke Passwortrichtlinien einzurichten. Diese müssen einem Aktualisierungsturnus unterliegen, potenziell neuen Geschäftsabläufen angepasst und regelmäßig auf ihre Effektivität überprüft werden.
Die auch nach Corona anhaltende Etablierung der Home-Office-Option stellt die IT-Sicherheitsarchitektur eines Unternehmens dahingehend vor Herausforderungen, für die ein viel breiter angelegtes Sicherheitsbewusstsein vonnöten ist. Essenziell sind daher durchgehend aktive Überwachungssysteme, die verdächtige Aktivitäten frühzeitig erkennen. Dies kann beispielsweise durch die Nutzung von Sicherheitsinformationen und Ereignismanagement-Tools (SIEM) erfolgen. Die organisatorischen und wie auch die zuvor beschriebene technischen Sicherheitsaspekte sind wichtige Basisbausteine und bilden die Grundlage für ein übergeordnetes Cybersicherheitsmanagement in Unternehmen.
Notfallpläne nicht einstauben lassen
Ein gut definiertes und dokumentiertes Incident-Response-Verfahren ist eine Notwendigkeit für jedes Unternehmen. Mindestens muss dieses firmenspezifische Handlungsanweisungen für die Eskalation von Vorfällen, die Benachrichtigung relevanter Stakeholder und die Koordinierung von Maßnahmen umfassen.
Hierbei ist es elementar, dass ein etwaiges Dokument nicht einmal alle paar Jahre erstellt wird und dann in einem Ordner des Intranets verschwindet. Vielmehr muss das Incident-Response-Verfahren durchgehend auf seine Aktualität überprüft und gegebenenfalls neuen Bedrohungslagen angepasst werden. Voraussetzung ist dabei selbstverständlich, dass alle Mitarbeiter Kenntnis von und Zugang zu allen relevanten Dokumenten haben. Auch hier ist eine bereits angesprochene nachhaltige Verflechtung mit der Unternehmenskultur unabdingbar.
Sollte ein Vorfall erkannt werden, muss das umgehend Maßnahmen zur Folge haben, die die Auswirkungen begrenzen und die Ausbreitung des Angriffs eindämmen. Unternehmen lassen hier noch immer wertvolle Zeit verstreichen – dabei zählt jede Sekunde. Unmittelbar muss beispielsweise die Trennung von infizierten Systemen vom Firmennetzwerk stattfinden. Das Blockieren von verdächtigem Datenverkehr oder das Isolieren betroffener Benutzerkonten sind weitere Maßnahmen, die mit unbedingter „Gefahr in Verzug“-Einstellung angegangen werden sollten. Eine entsprechende Sensibilisierung der Mitarbeiter und Führungskräfte ist dabei unerlässlich.
Erkenntnisgewinn als zentrales Ziel
Betroffene Systeme und Daten müssen nach einer überstandenen Cyberattacke selbstverständlich zeitnah wieder hergestellt werden, um die Handlungsfähigkeit des Unternehmens zu gewährleisten. Allerdings darf nach der ersten Erleichterung die unmittelbare kritische Aufarbeitung der Vorfälle nicht vergessen werden. Viel zu oft kehren Unternehmen einfach wieder zu einer „Business as Usual“-Haltung zurück, was zukünftige Angriffe erheblich wahrscheinlicher macht. Eine gründliche forensische Untersuchung hilft dahingehend zunächst, die Ursache des Vorfalls zu ermitteln und das Ausmaß des Schadens zu bewerten.
Hierfür sollten meiner Erfahrung nach externe Experten beauftragt werden, die eng mit den firmeneigenen IT-Mitarbeitern zusammenarbeiten. Der Vorteil besteht dabei, dass externe Kräfte in der Regel einen ungetrübten Blick auf die Vorkommnisse haben und nicht ihre eigenen Fehler analysieren, was zu firmeninternen Verwerfungen und Verschleierungstaktiken führen kann. Gleichzeitig sollten die firmeneigenen Mitarbeiter natürlich bei jedem Schritt mitgenommen werden. Es muss unbedingt vermieden werden, dass diese sich einer „Ermittlung“ ausgesetzt sehen, die den Anschein erweckt, lediglich die „Schuldfrage“ klären zu wollen.
Eine lückenlose Dokumentation und ein anschließender Bericht sind unabdingbar, um mit den gewonnenen Erkenntnissen Sicherheitsrichtlinien, Prozesse und Schulungsprogramme zu verbessern. Es muss prinzipiell immer darum gehen, den Reifegrad der internen Cybersicherheit auf ein neues Level zu heben.
Extern und intern unterscheiden
Effektive Unternehmenskommunikation im Angriffsfall ist in der Regel ein Balanceakt zwischen proaktiver Transparenz und der Vermeidung von Panikmache. Im ersten Schritt ist es von entscheidender Bedeutung, im Falle einer Cyberattacke umgehend die relevanten Behörden zu informieren, um potenzielle rechtliche, regulatorische und öffentlichkeitswirksame Auswirkungen zu bewältigen.
Prinzipiell gilt es, zwischen der internen und externen Kommunikation zu unterscheiden. Was kommuniziert wird, muss sich jedoch immer an den aktuellen Erkenntnissen der IT-Experten und der Schwere des Angriffs orientieren. Es ist daher unabdingbar, dass die Mitarbeiter der Unternehmenskommunikation stets auf dem aktuellen Stand sind. Grundlegende Aspekte, die es beispielsweise dabei intern zu kommunizieren gilt, sind etwa Informationen darüber, welche Systeme aktuell überhaupt sicher nutzbar sind und welche Mitarbeiter dementsprechend nicht eingesetzt werden können und sollen.
Mit der Größe des Unternehmens und der Anzahl der Mitarbeiter steigt jedoch auch die Wahrscheinlichkeit, dass Informationen nach außen gelangen oder Gerüchte verbreitet und verstärkt werden. Daher ist es von entscheidender Bedeutung, dass die Kommunikation nach innen und außen abgestimmt und konsistent ist und auf Fakten basiert. Eine zentrale Steuerung dieser Kommunikation ist dahingehend unerlässlich und die Kommunikationsabteilung muss einheitlich und in klarer Rollenverteilung über regelmäßige Briefings frühzeitig auf den Extremfall eines Angriffs vorbereitet werden.
Aktiv oder reaktiv?
Besonders zu vermeiden gilt es, dass Kunden, Lieferanten oder generelle Geschäftspartner von dem Cyberangriff aus der Presse erfahren. Zu langes Zögern kann hier mühsam aufgebautes Vertrauen zerstören. Auch wenn die Situation noch nicht in hohem Maße überschaubar ist, sollte so proaktiv an die entsprechenden Stellen herangetreten und dabei Panikmache vermieden sowie der eigene Handlungswillen unterstrichen werden.
Ob in der externen Kommunikation gegenüber den Medien eine reaktive proaktive Haltung eingenommen werden sollte, hängt von verschiedenen Variablen ab und kann nur von Fall zu Fall entschieden werden. Hierbei spielen vor allem das Ausmaß des Vorfalls und die Größe und Bekanntheit des Unternehmens eine entscheidende Rolle. Ist es bereits absehbar, dass der entstandene Schaden von schwerwiegender Natur ist, so kann es angebracht sein, eine aktive Presseansprache zu wählen.
Überstandene Cyberattacken bieten neben dem Erfahrungswert allerdings besonders für den Unternehmenszusammenhalt und die Unternehmenskommunikation bedeutende Chancen. Eine überstandene Krise kann so stets dafür genutzt werden, ein positives Narrativ zu etablieren und den Fokus auf die gemeinsame Bewältigung der Attacke zu legen. Die kompetente Bewältigung eines Notfalls genießt besonders in aktuell turbulenten Zeiten nämlich zurecht einen hohen Stellenwert – intern wie extern.
Uwe Gehrmann ist Leiter für den Bereich IT-Lösungen, Digitalisierung und Daten und Mitglied der Geschäftsführung bei der Managementberatung Atreus.