Cybersecurity – eine neue Herausforderung für Krisenprävention und Krisenmanagement in Unternehmen und Institutionen

Die Bedrohung durch Cyberkriminalität – Hackerangriffe, Social Hacking, Server-Attacken und Datenklau – ist für immer mehr Unternehmen auf der ganzen Welt Realität geworden. In einer weitgehend vernetzten Welt, in denen Daten und Prozesse nicht mehr nur hinter verschlossenen Türen stattfinden, sondern auf den Endgeräten der Nutzer und in der Cloud, ist es nur eine Frage der Zeit, bis das eigene Unternehmen getroffen wird. Und dabei ist es unerheblich, ob dies direkt als primäres Ziel geschieht oder aber als Kollateralschaden.

Fakt ist: Cyber-Bedrohungen stellen neue Anforderungen an das Krisenmanagement. Und: Cyber-Risiken müssen in das Sicherheitsrisiko- und Krisenmanagement von Unternehmen integriert werden. Führungskräfte sind demnach gut beraten, sich mit dem Thema intensiv zu beschäftigen, die richtigen Fragen zu stellen und allen voran: zu handeln. Krisenprävention, Krisenmanagement und Krisenkommunikation sind zentrale Management-Instrumente, die bereits in den meisten Unternehmen eingesetzt werden. Diese müssen für die Besonderheiten der Cyberattacken weiterentwickelt werden.

Dieser Artikel gibt Aufschluss darüber, wie eine sinnvolle Defense-Strategie umgesetzt und in die Organisation implementiert werden kann.

Cybersecurity – ein ungewolltes Spielfeld für Führungskräfte?

Cybersecurity umfasst im Wesentlichen ein ganzes Bündel an Verteidigungsstrategien, um kriminellen Attacken auf Unternehmen und deren IT-und TK-Infrastruktur entgegenzuwirken. Laut einer Studie des Branchenverbandes Bitkom und des Bundesamtes für Verfassungsschutz [1] sind alleine in Deutschland in den vergangenen zwei Jahren Schäden durch Datenklau, Spionage und Sabotage in Höhe von über 40 Mrd. Euro entstanden; die Dunkelziffer dürfte bei Weitem höher liegen. Angefangen bei klassischen Hackerangriffen auf Server, bei denen die Rechner übernommen und verändert werden über Phishing-Attacken zum Ausspähen von Passwörtern bis zum Anzapfen von Rechenkapazitäten zum Schürfen von Krytowährungen wie Bitcoin ist der Umfang der Schädigungen enorm. Dazu kommen die unzähligen Viren und Erpressungstrojaner, die Rechner kompromittieren und blockieren und sich in Sekundenschnelle in einem (Unternehmens-)Netzwerk ausbreiten können. Ein unachtsamer Klick auf einen unbekannten Mailanhang genügt, um den unheilsamen Prozess zu aktivieren. Fälle wie der Trojaner „NotPetya“ [2] sind in schmerzlicher Erinnerung geblieben und auf Künstlicher Intelligenz basierende Trojaner und Malware lassen nichts Gutes für die Zukunft erwarten [3]. Aber auch unsichere, schlecht gewartete Hardware wird immer häufiger zum Spielfeld für Hackernangriffe. Diese Devices umgehen – unbewusst und ungewollt – nicht selten die Sicherheitsinfrastruktur der Unternehmens-IT. „Internet of Things“-Hardware (IoT) und Weareables fallen genauso in diese Kategorie wie cloudbasierte Telefonanlagen mit IP-Telefonendgeräten in Unternehmen [4].

Die Ursachen für Sicherheitsrisiken liegen oftmals in menschlichem Versagen, z.B. bei den Mitarbeitern. Hier zeigt sich ein enormer Aufholbedarf bei der Qualifizierung und gezielten Schulung der Belegschaft, um die Sensibilität für sicherheitsrelevante Themen und ein Bewusstsein für die Risiken im Cyberspace richtig einzuschätzen. Gerade die großen, international agierenden Unternehmen haben hier bereits die Weichen gestellt.

Dass es auch höchste Stellen treffen kann, musste die Bundesregierung beim sogenannten „Bundeshack“ [5] schmerzlich erfahren. Laut BSI war der „Bundeshack“ einer der schwerwiegendsten Angriffe auf die IT-Infrastruktur der Regierung, bei dem unzählige Dokumente kopiert und damit gestohlen wurden [6]. Und dass scheinbar nicht wirklich gelernt wurde, zeigt der aktuelle Datenklau, der Politiker genauso erwischt hat wie Prominente: Tausende privater Nachrichten und Daten veröffentlicht auf einem gekaperten Twitter-Account [7].

Social Engineering: Und dann ist da noch der Faktor Mensch …

Social Engineering ist die wohlklingende Bezeichnung für Social Hacking. Gemeint ist damit das Ausnutzen der wohl nach wie vor anfälligsten Komponente eines Sicherheitssystems: Der Mensch. Unachtsam notierte Passwörter, unverschlüsselte Daten und Festplatten oder nicht abgemeldete Rechner beim Verlassen des Arbeitsplatzes sind ein Sicherheitsrisiko, welches sich nur durch konsequente Aufklärungsarbeit minimieren lässt. Hand aufs Herz: Wie hoch schätzen Sie die Wahrscheinlichkeit ein, dass ein herumliegender USB-Stick, der zufällig von einem Mitarbeiter gefunden wird, nicht doch mal eben in den Rechner gesteckt wird – um zu sehen, was sich auf diesem Medium befindet? 20%? 50% 70% ? Prima, in diesem Fall ist Ihr Unternehmens-Netzwerk offen wie ein Scheunentor. Und Sie wissen es vermutlich noch nicht einmal.

Finanzmanipulationen in Echtzeit

Ein weiteres Risiko resultiert aus unserem weitestgehend globalen, vernetzten und digital funktionierendem Finanzsystem. Wertpapierhandel, Finanztransaktionen – aber auch Bewertungen und Meinungen rasen digital um die Welt und lassen sich von überall aus steuern und ggf. manipulieren. Angriffe auf Unternehmen durch feindliche Investoren können beispielsweise nahezu zeitgleich und parallel erfolgen und dennoch unterhalb der Wahrnehmungsschwelle der Aufsichtsbehörden bleiben. In solchen Fällen ist ein aktives Echtzeitmonitoring und eine ebenso schnelle Defensestrategie notwendig, um sich gegen Manipulationen zur Wehr zu setzen.

Risiko: Datenverlust und Datenklau

Ganze Systeme sind mitunter in die Cloud gewandert. Ob bei Amazon (AWS), Microsoft (Azure), google (cloud) oder IBM (Bluemix), steht fest, dass die Systeme und damit auch Datenbanken und Schnittstellen zu den Microservices zunächst einmal über das Web von überall aus erreichbar sind. Die Sicherheitsmechanismen und Authentifizierungen sind zwar mittlerweile auf einem sehr hohen Sicherheitsniveau, dennoch können Lücken durch falsche Programmierung oder zu einfache Zugangsvoraussetzungen hausgemacht entstehen. Die Folge: Digitale Kundendaten, Passwörter und digitale IDs können gestohlen, im Web veröffentlicht, manipuliert oder sogar gelöscht bzw. zerstört werden. Bedenkt man, dass hinter Kundendaten oftmals Kreditkartenzugänge, Bankkonten oder Telekommunikationszugangsdaten stehen, ist der Schaden oftmals erheblich. Vor dem Hintergrund der aktuell verschärften Datenschutzbestimmungen ein Supergau und eine echte Herausforderung für das Krisenkommunikationsteam.

Cybersecurity-Risiken durch aktive Krisenprävention mindern

Die vorhergehenden Abschnitte haben bereits auszugsweise auseinandergesetzt, wie vielfältig die Risiken heutiger IT-Infrastrukturen sind und wie facettenreiche die Angriffe auf das eigene Unternehmen ausfallen können. Eine umfassende Analyse der Cyberrisiken ist somit der erste Schritt zu einer professionellen Krisenprävention.

Dabei gilt es zu analysieren:

• Ist die eigene IT-Infrastruktur sicher und robust?
• Haben die Verantwortlichen Mitarbeiter die notwendigen Ressourcen und das aktuelle Wissen, um im Angriffsfall reagieren zu können?
• Wie ist der Wissensstand bei den Mitarbeitern? Sind diese sensibilisiert? Besteht ein Sicherheitsbewusstsein?
• Welche Risiken gibt es durch externe Gruppen, wie Wettbewerber, Hackergruppen im In- und Ausland,…?
• Gibt es einen Krisenreaktionsplan für den Fall eines Angriffs, z.B beim Verlust von sensiblen Unternehmensdaten?
• Gibt es eine Kommunikationsagenda? Wie weit ist die Krisenkommunikation?
• Gibt es ein Krisenhandbuch und ist Cybersecurity als Modul dort nahtlos integriert?
• Gibt es überhaupt ein internes oder externes Krisenreaktionsteam?

Eine fundierte Krisenpräventionsanalyse führt zu einem individuellem Krisenprofil. Dieses hilft, Risiken zu erkennen und diese nach kommunikativen und Krisenmanagementaspekten zu bewerten. Die Analyse ist dabei ein fortlaufender Prozess.

Zur richtigen Vorbereitung auf eine mögliche Cyberbedrohung gehören dazu nicht nur IT-, Rechts- und Datenschutzteams, sondern eben auch die Kommunikationsleiter und Teams, die für den Ruf Ihres Unternehmens verantwortlich sind.

Was bedeutet eine Cyberkrise für die Kommunikation?

Ziel der Krisenkommunikation ist es, Szenarien für eine mögliche (Cyber-)Krise zu erarbeiten und diese in eine konkrete Krisenkommunikationsplanung einfliessen zu lassen. Im Falle einer konkreten Krise kann so schnell reagiert und die Öffentlichkeit sowie die wichtigsten Stakeholder informiert werden. Aber obacht: Ein zentraler Aspekt, den es bei der Krisenkommunikationsplanung unbedingt zu berücksichtigen gilt, ist das Set der im Angriffsfall noch verfügbaren Kommunikationskanäle. Moderne Unternehmenskommunikation ist größtenteils digital getrieben und organisiert. Digitale Newsletter, Artikel auf der Corporate Website, Updates im Intranet, Social Media Posts und digitale Pressemappen im Newsroom sind heute Standard. Kommunikatoren in Unternehmen und Organisationen nutzen vielfältige Tools und Datenbanken, Digitale Vorlagen und Plattformen, um schnell und zielgerichtet ihre Stakeholder zu erreichen. Was aber, wenn diese Infrastruktur gerade im Zuge eines Angriffs anteilig oder vollständig ausfällt? Was tun, wenn zur Abwehr des Angriffs das IT-Netzwerk und alle Systeme heruntergefahren werden? Und Sie dadurch weder Ihre eigenen Mitarbeiter erreichen und koordinieren, noch die Öffentlichkeit informieren können. Kritisch wird es vor allem dann, wenn ein Eindringling Ihre Daten verschlüsselt (sog. Ransomware-Angreifer) hat und diese nur gegen ein hohes Lösegeld herausgibt, selbstredend in Form einer (anonymen) Zahlung auf Basis einer Kryptowährung wie Bitcoin oder Ethereum (die Sie als Unternehmen erst einmal vorrätig haben müssen). Das kann dauern, die Zeit läuft gegen Sie und Ihre Kommunikation. Dies musste auch ein Krankenhaus im US-Bundesstaat Indiana erfahren, deren Daten nach einem Angriff weitestgehend verschlüsselt und damit unbrauchbar waren [8].

Die Folge: Die Gefahren für die Business Continuity werden zunehmend größer. Umso wichtiger ist es für Unternehmen, einen zuverlässigen Plan zur Krisenkommunikation für den Ernstfall zu entwickeln. Die Zeit bis zur erfolgreichen Lösung und vollständigen Überwindung einer Cyber-Attacke betrug im Jahr 2015 im Schnitt rund 2-3 Wochen. Unternehmen sollten einen Plan zu den Kommunikationsmöglichkeiten in diesem Zeitraum haben.

Die Kommunikation per E-Mail ist im Störungsfall keine verlässliche Option, da sie kompromittiert sein könnte.

Hier muss die Krisenkommunikation Auswege finden und diesen Ernstfall mit in die Überlegung einbeziehen. Eine dezentrale (digitale) Kommunikationsinfrastruktur für den „Worst Case“ wäre hier denkbar und auch sinnvoll. Aber bitte nicht erst dann, wenn der Ernstfall eingetreten ist…

Fragen beantworten. Schnell. Kompetent. Entschlossen.

Das ist es, was im Krisenfall von Unternehmen und ihren Führungskräften erwartet wird. Sind Daten durch einen Datendiebstahl „abhanden“ gekommen (der übrigens auch durch ehemalige Mitarbeiter verursacht werden kann, wie die Ausführungen im Cybersicherheitsbericht des BSI [6] zeigt, stellen die Betroffenen, allen voran Kunden, Mitarbeiter und Partner Fragen. Hier gilt es, entschieden zu antworten, sich des Problems souverän zu stellen, will man vermeiden, dass die Diskussion in den sozialen Medien weiter geführt wird und möglicherweise eskaliert. Ein klares Risiko für die Reputation eines Unternehmens. Und damit auch für den Markenwert.

Eine solide, robuste Krisenkommunikation, die gut vorbereitet ist und professionell umgesetzt wird, verhindert im Krisenfall Schlimmstes und kann bestenfalls die betroffenen Akteure involvieren und zu Partnern bei der Lösung des Problems machen.

Fazit: Prävention ist gerade bei Cyber-Angriffen das Mittel der Wahl

Eine vorausschauende, präventive Krisenkommunikation ermöglicht eine angemessene Reaktion auf Cyber-Risiken. Ziel muss es sein, die Planung, Umsetzung und kontinuierliche Optimierung der Cyber-Sicherheit im Unternehmen zu gewährleisten. Cyberkrisen unterscheiden sich maßgeblich von herkömmlichen Krisen, da sie jedes Unternehmen treffen können (direkt oder eben als Kollateralschaden) und zudem einen massiven Einfluss auf die Kommunikationsinfrastruktur und damit die Handlungsfähigkeit des Unternehmens haben. Hinzu kommt die technische Komplexität, die nur durch konsequente Schulungen, Trainings und das Hinzuziehen von IT-Experten beherrschbar gemacht werden kann.

Die finanziellen Folgen können dabei oftmals erheblich sein und für klein- und mittelständische Unternehmen existenzbedrohende Ausmaße annehmen. So ist es nur konsequent, dass dieses hochrelevante und zunehmend existenzielle Thema in die Chefetagen der Unternehmen einzieht. In einer weitestgehend global vernetzten Welt gehört Cybersecurity und die aktive Vorbereitung auf Krisenfälle auf die Agenda eines jeden Managers oder Vorstands.

40° unterstützt Sie bei der Identifikation der Kommunikationsrisiken, beim Aufbau einer präventiven Krisenkommunikationsarchitektur und der Entwicklung von durchgreifenden Abwehrmechanismen und Kommunikationsmaßnahmen. Mit unserem eintägigen Quickcheck-Workshop „Cybersecurity-Prevention“ analysieren wir Ihre aktuelle Defense-Strategie, identifizieren Risiken im Falle eines Cyberangriffs und erarbeiten strategische Leitplanken für Ihre Krisenkommunikation.

Quellen

[1] Studie „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie“, Studienbericht 2018, vom Branchenverband BITKOM, Quelle: https://www.bitkom.org/sites/default/files/file/import/181008-Bitkom-Studie-Wirtschaftsschutz-2018-NEU.pdf

[2] Heise-Online, 28.6.2017, Quelle: https://www.heise.de/security/meldung/Alles-was-wir-bisher-ueber-den-Petya-NotPetya-Ausbruch-wissen-3757607.html

[3] „IBM DeepLocker: Malware mit KI-Funktion zu Forschungszwecken“, Artikel ComputerBase vom 9.8.2018, Quelle: https://www.computerbase.de/2018-08/deeplocker-ibm-ki-malware/

[4] „IoT-Sicherheit: Sind Sie gewappnet für 200 Milliarden vernetzte Geräte in 2020?“, Artikel Capgemini, 25.10.2018, Quelle: https://www.capgemini.com/de-de/2018/10/internet-of-things-sicherheit/

[5] Artikel „Sicherheitskreise: Hacker drangen in deutsches Regierungsnetz ein“, Heise Online vom 28.2.2018, Quelle: https://www.heise.de/newsticker/meldung/Sicherheitskreise-Hacker-drangen-in-deutsches-Regierungsnetz-ein-3983510.html sowie

Artikel „Chaos Computer Club fordert strikt defensive Cyber-Sicherheitsstrategie“, Chaos Computer Club, 29.8.2018, Quelle: https://www.ccc.de/de/updates/2018/defensive-cyber-strategie

Sowie Artikel „Cyber-Attacken: Angriffe auf Bundestagsintranet halten an“, Zeit Online, 15. Mai 2015, Quelle: https://www.zeit.de/digital/datenschutz/2015-05/bundestag-hacker-angriff

[6] „Die Lage der IT-Sicherheit in Deutschland“, Lagebericht Bundesamt für Sicherheit und Informationstechnik, 2018, Quelle: https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

[7] „Unbefugte Veröffentlichung von persönlichen Daten und Dokumenten im Internet“, Pressemitteilung Bundesamt für Sicherheit in der Informationstechnik, 5. Jan. 2019, Quelle: BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Update_Unbefugte_Veroeffentlichung_persoenlicher_Daten_und_Dokumente_050119.html

[8] „Ransomeware: Krankenhaus zahlt 60.000 US-Dollar trotz Backups“, 17. Jan. 2018, Quelle: Golem Online, https://www.golem.de/news/ransomware-krankenhaus-zahlte-60-000-us-dollar-trotz-backups-1801-132206.html

Kontakt

40° GmbH Labor für Innovation
Frederik Bernard
Jägersberg 23
24103 Kiel
Tel.: 01738944835
frederik.bernard@40grad.de
www.40grad.de