Die Angst vor Cyberangriffen wächst: Laut dem Branchenverband Bitkom entstand in der deutschen Wirtschaft 2022 ein Schaden von mehr als 203 Milliarden Euro durch den Diebstahl von IT-Hardware und Daten, Spionage und Sabotage. Praktisch jedes Unternehmen, das vom Verband befragt wurde, war betroffen oder vermutet dies. Mit Blick auf die aktuelle weltwirtschaftliche Situation gehört das Thema auf jede Unternehmensagenda – auch auf die der CFOs.
Ein digitaler Angriff kann für ein Unternehmen gravierende Folgen haben: Von Strom- und Kommunikationsausfällen der Systeme bis hin zu lahmgelegten Verwaltungen oder der Diebstahl beziehungsweise die Veränderung wichtiger Finanzdaten. Viele dieser Fälle gingen in den vergangenen Monaten durch die Presse.
Können Unternehmen Cyberattacken vermeiden? Nein, eine hundertprozentige Sicherheit gibt es nicht. Die Strategien der Hacker werden immer ausgefeilter. Aber Unternehmen können sich schützen, wenn sie das Thema IT-Sicherheit ernst nehmen, ein Managementsystem für alle Eventualitäten etablieren und so präventiv handeln.
Unternehmen sollten Krisenstab zusammenstellen
Um eine mögliche Krise durch einen Systemausfall zu vermeiden, sollten Unternehmen schon vor dem Ernstfall einen Krisenstab bestimmen. Auch die jeweiligen Aufgaben und Verantwortlichkeiten sollten im Papier klar geregelt sein. So sparen Unternehmen wertvolle Zeit und vermeiden eine ungesteuerte Informationsverbreitung. Ein Krisenstab umfasst in der Regel nur wenige Personen, beispielsweise aus Geschäftsführung, IT, kaufmännischer Leitung und Kommunikation.
Der Krisenstab sollte einen Notfallplan erarbeiten, auf den er im Ernstfall zurückgreifen kann. Dabei sollte der Plan alle Eventualitäten beinhalten.Zum Beispiel: Das Unternehmen ist nicht mehr handlungsfähig und die Systeme müssen zur Isolierung des Angreifers heruntergefahren werden. Welche Informationen benötigen die Ansprechpartner im Unternehmen, um aussagefähig zu sein? Über welche Kanäle kann noch kommuniziert werden?
Wichtig: Transparenz schaffen
Ist es zu einem Angriff gekommen, muss der Krisenstab erstmal Transparenz über die Art und das Ausmaß des Schadens schaffen. Dabei steht vor allem im Vordergrund, wie handlungsfähig das Unternehmen noch ist. Unternehmen sollten sich fragen: „Welche Bestandteile der IT-Infrastruktur sind betroffen und welche Auswirkungen sind zu erwarten?“ „Wie lange wird eine mögliche Systemwiederherstellung dauern?“ „Ist das Unternehmen noch handlungsfähig?“ „Konnte der Angreifer bereits isoliert werden?“ „Oder befindet sich ein möglicher Angreifer noch in den IT-Systemen?“ All dies sind Informationen, die in den weiteren Aktionsplan einfließen.
Unternehmen sollten nicht versuchen, den Tatbestand „unter dem Deckel zu halten“. Zumal jedes Unternehmen im Sinne der Datenschutzgrund-verordnung einen Hackerangriff binnen drei Tagen oder je nach Leistungsgegenstand (zum Beispiel bei kritischen Infrastrukturen) an das Bundesamt für Sicherheit in der Informationstechnik melden muss.
Zudem sollte im Notfallplan stehen, welche Stellen zu informieren sind und wer dies im Falle des Hackerangriffs übernimmt. Die Art und Weise der Kommunikation hängt stark vom Schadensausmaß ab. Für die Krisenkommunikation eines Hackerangriffs gelten die gleichen Regeln wie bei jeder krisenbezogenen Kommunikation, also eher Ad-hoc-Aktionen vermeiden und sach- wie prozessbezogen bleiben.
Cyber Security Operations Centers können helfen
Eine Krise stellt vor dem Hintergrund des finanziellen und Reputationsschadens für jeden Verantwortlichen im Unternehmen einen emotionalen Kraftakt dar. Es gibt Cyber Security Operations Centers (CSOC), die täglich die Entwicklung der internationalen Hackerszene beobachten. Solche Unternehmen unterstützen Kunden dabei, Hacker, die eine Firewall und Virenscanner bereits übersprungen haben, in den Systemen zu isolieren, zu entfernen und die Systeme wiederherzustellen. Ein CSOC/SIEM-System und damit die kontinuierliche Überwachung der IT-Struktur ist ein wichtiger Bestandteil der Prävention und gerade deshalb für kritische Infrastrukturen verpflichtend. Für die strafrechtliche Verfolgung stellen sie die gerichtliche Verwertbarkeit der Informationen sicher.
Vor allem mittelständische Unternehmen nehmen Cyberattacken noch nicht ernst genug. Dabei sind insbesondere die Mitarbeiter in den Finanzbereichen oft die erste Wahl der Hacker, wenn es darum geht, Kontodaten auszuspionieren oder gezielt Finanztransaktionen anzustoßen. Unternehmen sollten regelmäßig Schulungen für Mitarbeiter durchführen, um sie für das Thema zu sensibilisieren.
Andreas Blum ist Senior Partner der dhpg. Innerhalb der dhpg beschäftigt er sich mit der Entwicklung innovativer IT-Dienstleistungen für Mandanten. Dazu gehört auch die Beratung in Fragen von IT- und Cybersicherheit.
Markus Müller ist Senior Partner der dhpg. Innerhalb der dhpg beschäftigt er sich mit der Entwicklung innovativer IT-Dienstleistungen für Mandanten. Dazu gehört auch die Beratung in Fragen von IT- und Cybersicherheit.