Vorstände und Verantwortliche unter Druck

Regeln zur Bewältigung einer Cybersicherheitskrise

Das aktuelle Allianz Risk Barometer 2020 – als weltweit größte Risikostudie – hat kritische Geschäftsunterbrechungen, die durch Cybersicherheitsverletzungen verursacht werden, als das größte Risiko für Unternehmen erkannt.

„Wann man von einer Cybersicherheitskrise betroffen sein wird, lässt sich nie vorhersagen. Unternehmen können aber Zeit gewinnen, indem sie einen gut einstudierten und effektiven Cyber-Resiliency-Plan aufstellen, der unerlässlich ist, um die schlimmsten Auswirkungen eines Angriffs abzumildern und gleichzeitig das Geschäft am Laufen zu halten“, erklärt Sergej CSO Central Europe bei Palo Alto Networks. „Dies wird zu einem heißen Thema für Chief Risk Officers, Chief Information Security Officers und Unternehmensvorstände, wenn sie sich mit der Frage beschäftigen, wie ein Cyberangriff zu handhaben ist.“

Anzeige

Eine gute Vorbereitung auf eine Cybersicherheitskrise ist nach Meinung von Palo Alto Networks die halbe Miete. Um schnell reagieren zu können und langfristige Schäden zu vermeiden, müssen Unternehmen einen Cyberangriff simulieren, um die richtigen Verantwortlichkeiten, potenzielle Prozesslücken oder technologische Probleme herauszufinden. Dazu könnte eine Tabletop-Übung gehören, bei der sich die relevanten Führungskräfte um einen Tisch versammeln, um zu klären, wie sich ein Szenario entfalten könnte.

Doch selbst für die am besten vorbereiteten Verantwortlichen kann eine Cybersicherheitskrise jederzeit eintreten. Wie sollte der CEO bzw. Geschäftsführer eines gehackten Unternehmens vorgehen? Sergej Epp von Palo Alto Networks verweist auf fünf wesentlich Regeln:

Regel 1: Der CEO muss persönlich das Kommando übernehmen.

Die Ärmel hochkrempeln: Die bloße Delegierung der Arbeit an das IT-Team kann für das Unternehmen und für den CEO persönlich gefährlich sein. Eine Reihe von CEOs großer Unternehmen haben dies kürzlich auf die harte Tour gelernt. Das Cyberrisiko betrifft nicht nur das IT-Netzwerk, sondern auch das gesamte Unternehmen.

Betriebsunterbrechungen und Prozesskosten haben eine unmittelbare Auswirkung auf den Ruf des CEOs, wenn sie nicht richtig priorisiert werden. Daher ist es nicht überraschend, dass Aktionäre beginnen, personelle Konsequenzen für Unternehmen zu fordern, die in eine Cybersicherheitskrise verwickelt sind. Ein effektives Management einer solchen Krise erfordert ein Engagement auf Vorstandsebene sowohl seitens des COOs als auch des CFOs. Ein CEO ist jedoch oftmals die beste Person, um die Bewältigung der Krise zu managen. 

Regel 2: Alles dreht sich um Kommunikation.

Ist man nun tatsächlich von einem Cyberangriff betroffen, will niemand in den Schlagzeilen landen und von der Öffentlichkeit und der Presse herausgefordert werden. War es schlechte Cybersicherheit oder ein hochkarätiger nationalstaatlich initiierter Hackerangriff? Ist das ganze Ausmaß an durchgesickerten Daten tatsächlich bekannt? Gibt es noch weitere Hintertüren, die die Angreifer für Sabotageaktivitäten nutzen könnten?

Eine Cybersicherheitskrise ist fast immer sehr komplex. Es kann Monate bis Jahre dauern, um all diese Fragen zu beantworten. Die richtige Kommunikationsstrategie wird jedoch die öffentliche Meinung darüber bestimmen, wie professionell der Vorfall gehandhabt wird. Wie wird sich der CEO also entscheiden? Geheimhaltung, volle Transparenz oder für die Gratwanderung dazwischen?

Über die Erfolgsquote von geheim gehaltenen Vorfällen lässt sich zwar nur spekulieren, aber es gibt genug Beweise, die zeigen: Die meisten großen Unternehmen, die versucht haben, eine Cybersicherheitskrise geheim zu halten, und die danach aufflogen, haben einen Imageschaden davongetragen. Darüber hinaus gilt es alle relevanten internen Stakeholder und Anbieter so zu steuern, dass sie die potenziellen Vorschriften für die Meldepflicht einhalten. Einige Regulierungsbehörden verlangen extrem schnelle Berichte, wie zum Beispiel die Monetary Authority of Singapore (MAS), die eine Benachrichtigung innerhalb weniger Minuten fordert.

Aber es gibt viele technische Variablen, die CEOs nicht kontrollieren können. Zum Beispiel haben Sicherheitsforscher eine Reihe von einschneidenden Cyberangriffen wie Stuxnet gemeldet, indem sie anhand von externen Telemetriedaten und Malwareproben Beweise für eine Kompromittierung identifizierten. Eine transparente Behandlung der Cybersicherheitskrise bringt Vorteile wie die öffentliche Unterstützung durch Behörden, Forscher und Kunden. Der CEO muss jedoch bereit sein, sich dem Druck bei der Kommunikation und Ausführung zu stellen. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Regel 3: Zugang zu Fachwissen im Bereich der Cybersicherheit.

Die meisten Unternehmen beschäftigen ihren eigenen CISO (Chief Information Security Officer) und Sicherheitsfachkräfte, die auf die Cybersicherheitskrise reagieren werden. Haben die Mitarbeiter aber wirklich die gesamte Cybersicherheitskrise verfolgt und sie von Anfang bis Ende miterlebt? Wenn noch keine richtigen Tabletop-Übungen durchgeführt wurden und das Team noch nie mit einer Cybersicherheitskrise zu tun hatte, sollten die folgenden Beteiligten in den Krisenprozess einbezogen werden:

  • Experten für Cybersicherheitsvorfälle und -krisen: Die Berichterstattung und die technische Analyse kann wahrscheinlich effektiver von externen Unternehmen durchgeführt werden, die mit ähnlichen Situationen oder demselben Bedrohungsakteur zu tun hatten. Die meisten Unternehmen verfügen beispielsweise häufig nicht über rechtliche Erfahrung oder sind mit den Taktiken, Techniken und Prozeduren (TTP) des Bedrohungsakteurs nicht vertraut.
     
  • Anbieter von Sicherheitsprodukten: Die meisten Unternehmen scheuen sich, Sicherheitsanbieter als Partner zu betrachten. In Wirklichkeit sind Sicherheitsanbieter angesichts ihrer Erfahrung vielleicht die besten Partner, um Unternehmen bei der Eindämmung der Bedrohung zu helfen.
     
  • Interessengruppen: Cybersicherheit ist Mannschaftssport. Die meisten der Bedrohungen, denen ein Unternehmen ausgesetzt ist, haben bereits einige andere Unternehmen getroffen. Es ist durchaus wichtig, Gleichgesinnte einzubinden und um Hilfe zu bitten.
     
  • Strafverfolgung: In vielen Ländern ist die Einschaltung der Strafverfolgungsbehörden eher ein formeller Akt, um den Vorfall zu registrieren. Einige Länder verfügen jedoch über effektive Ressourcen, die sich nicht nur auf die Untersuchung der Bedrohungsakteure konzentrieren, sondern auch bei der Verteidigung der Netzwerke helfen. Um das Problem der Cybersicherheit nachhaltig anzugehen, ist es immer gut, sich während oder nach einem Vorfall mit der Strafverfolgung zu befassen. 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.