Krisenmanagement (K)ein Drehbuch für den Ernstfall

Von Uwe Gehrmann

Digitale Prozessinnovationen sind auf dem Vormarsch, immer mehr Unternehmen erkennen die Chancen. Doch die Digitalisierung birgt auch Risiken – und zwar größere, als den Entscheidungsträgern lieb sein kann. So kontinuierlich die Transformationsprozesse vorangetrieben werden, so konstant steigt die Zahl der Cyberangriffe.

Anbieter zum Thema

Nach einem Cyberangriff vergessen Unternehmen oft, dass sie jetzt in einer geschäftlichen Krise stecken. Jetzt sollte unbedingt ein erfahrener Krisenmanager das Ruder übernehmen.
Nach einem Cyberangriff vergessen Unternehmen oft, dass sie jetzt in einer geschäftlichen Krise stecken. Jetzt sollte unbedingt ein erfahrener Krisenmanager das Ruder übernehmen.
(Bild: UnderTheSea - stock.adobe.com)

Die digitale Transformation schreitet unaufhaltsam voran, datengetriebene Geschäftsmodelle ergänzen oder ersetzen die Traditionellen. Jedes Unternehmen, ob KMU oder Großkonzern, muss dieser Entwicklung Rechnung tragen. So agiert der Großteil heutzutage innerhalb von globalisierten, digitalisierten und zu Teilen intransparenten Lieferketten, dessen Aufbau wiederum auf einer komplexen IT fußt. Die entsprechenden Systeme der beteiligten Unternehmen greifen dank Cloud Computing, Anwendungsintegration und Algorithmen standardisiert und automatisiert ineinander – kreieren untereinander aber auch starke Abhängigkeiten. Große Mengen an sehr sensiblen Daten, die häufig im Kontext der Kunden, Produkte und Dienstleistungen stehen, fließen rund um die Welt.

Kommt es nun zu einer bewusst herbeigeführten Störung, zu einem Cyberangriff auf das System, ist Handlungsschnelligkeit gefragt: Wer kann helfen? Welche Hilfe brauche ich konkret? Wie kann weitergearbeitet werden? Meist ist der Geschäftsbetrieb nämlich in einem solchen Ausmaß betroffen, dass ein Weiterarbeiten unmöglich erscheint. Zu groß ist der Datenabfluss, zu perfide der Diebstahl und die Verschlüsselung der Daten. Jetzt ist guter Rat – im wahrsten Sinne des Wortes – teuer. Daher gilt die goldene Regel für alle Unternehmen, die noch nicht getroffen wurden: IT-Sicherheit ist zwar kostenintensiv, aber sie lohnt sich. Einerseits wird durch präventive Maßnahmen die Eintrittswahrscheinlichkeit eines Cyberangriffs erschwert, andererseits segeln Unternehmen infolge eines Angriffs besser durch die Krise.

7 Tage Handlungsspielraum

Wenn der Angriff erfolgt, denken Unternehmen leider zu oft in IT-Sicherheit und vergessen, dass sie jetzt in einer geschäftlichen Krise stecken. Daher sollte an dieser Stelle unbedingt ein erfahrener Krisenmanager das Ruder übernehmen. Sprich: IT-Incident Management, Krisenkommunikation, Datenschutz, Wiederherstellungsmaßnahmen. Erfahrene IT-Profis sind zwar wichtig, da die Störung der IT der Auslöser der Krise ist, aber das Problem erstreckt sich über viele weitere Unternehmens- und Aufgabenbereiche. Die ersten 168 Stunden nach dem Angriff sind entscheidend für die Kostenbegrenzung und das schnelle Wiederherstellen der Arbeitsfähigkeit. Nur ein erfahrener Krisenmanager kann dabei helfen, die richtigen Entscheidungen auf der Zeitachse von 168 Stunden zu treffen.

Die Professionalisierung der Täter und die damit verbundenen technologischen Fähigkeiten lassen kaum Spielraum für Gegenmaßnahmen. Das Eindringen in die Computernetze wird sorgfältig geplant und so leise durchgeführt, dass die Zugriffe auf die Systeme meistens nicht bemerkt werden. In diesem Zeitraum, der in der Regel zwischen zwei und zwölf Wochen dauert, stehlen die Angreifer unbemerkt die wichtigsten Daten des angegriffenen Unternehmens. Danach werden so viele Systeme wie möglich durch Verschlüsselung unbrauchbar gemacht. Die Täter hinterlassen eine Nachricht auf den verschlüsselten Systemen, um das weitere Vorgehen der Erpressung zu beschreiben.

Der Überforderung begegnen

An diesem Punkt sind die betroffenen Unternehmen überfordert. Zu viele Aufgaben müssen zeitgleich erledigt werden. Aufgaben, die in dieser Form nicht nur völlig neu, sondern auch zeitintensiv sind. Das reicht von einer Anzeige bei der Polizei, über die Datenschutzpannenmeldung und der Forensik des Vorfalls, bis hin zur Prüfung der Datensicherung – wobei meistens keine oder nicht alle Daten wiederherstellbar sind. Es müssen Entscheidungen getroffen werden, die im Unternehmensalltag normalerweise nicht zu treffen sind: Gehen wir auf die Forderungen ein? Bezahlen wir die aufgerufene Summe? Wie beschaffen wir die digitale Währung?

Während all diese Fragen die Verantwortungsträger beschäftigen, muss auch noch das Tagesgeschäft weiterlaufen. Kommt es zu Einschränkungen oder der Einstellung des Betriebs, müssen Kunden und Lieferanten informiert werden, was wiederum häufig zu Vertragsprüfungen und manchmal sogar zu Schadensersatzforderungen führt. In solchen Fällen können entsprechende Versicherungsverträge für Cyberrisiken, Datenschutzverletzungen und Betriebsunterbrechungen die finanzielle Last abfangen.

Weitreichende Präventionsmaßnahmen

Ein durchschnittlicher Krisenfall dauert in der Regel ein bis drei Monate. Die Langzeitfolgen dauern jedoch bis zu zwei Jahre an, da im Anschluss eines Angriffs die Sicherheit im Unternehmen erhöht werden sollte. Das kostet Zeit und Geld und bedingt erfahrene Fachleute, die bei der Vermeidung weiterer Angriffe unterstützen. Damit die Krise keine dramatischen Auswirkungen hat, sollte man sich im Vorfeld eines Angriffs durch gute und funktionierende Präventionsmaßnahmen schützen. Diese Maßnahmen schließen einen Angriff nicht aus. Ziel muss es aber sein, das Erpressungsrisiko und die Betriebsunterbrechung zu minimieren.

In der Phase nach dem Angriff geht es vor allem um die gewonnene Erkenntnisse und darum, eine höhere Qualität in Technik und der Organisation herbeizuführen. Dieser Prozess ist ebenfalls kosten- und zeitintensiv. Auch die Stärkung der Resilienz gegenüber digitalen Straftaten, ein tragfähiges Risikomodell sowie Technologien und Architekturen, die es erlauben, Vorfälle früh- bzw. rechtzeitig zu erkennen und es den Angreifern nicht allzu einfach machen in die Systeme einzudringen, sind von immenser Bedeutung. Die konsequente Schulung und Awareness-Bildung bei Mitarbeitern auf allen Ebenen, sorgt darüber hinaus für eine Sicherheitskultur, die ein wesentlicher Schutz vor Angriffen darstellt und die den Unternehmen eine sorgenfreiere Zukunft ermöglicht.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Über den Autor: Uwe Gehrmann ist Partner, Mitglied des Executive Board und darüber hinaus Leiter der Praxisgruppe Telekommunikation, IT und Medien bei der Atreus GmbH.

(ID:47946498)