Vertrauensaufbau nach Cyberangriff
Krisenkommunikation
Fortsetzung des Artikels von Teil 1
Grundsätze der Krisenkommunikation
Erlebt ein Unternehmen einen öffentlichkeitswirksamen Cybervorfall, lässt sich ein vorübergehender Reputationsverlust kaum vollständig vermeiden. Wie stark die Störung des Verhältnisses etwa zu Kunden oder Partnern ist, hängt allerdings davon ab, wie die betroffene Organisation den Fall behandelt. Die Information muss:
- hinreichend schnell erfolgen
- den Schadensumfang präzise benennen
- eventuell betroffenen Dritten Hilfen für den eigenen Umgang mit dem Vorfall bieten
- zeigen, dass die Organisation Lehren aus dem Vorfall zieht und seinen Sicherheitsstatus verbessert
Nur zögerliches Herausrücken immer neuer Details und spürbare Probleme, den Schaden exakt benennen zu können, hinterlassen einen schlechten Eindruck auf die Öffentlichkeit, auf Konsumenten und auf Business-Partner.
Gerade die Forderung, nach einem Vorfall möglichst früh und genau darüber Auskunft zu geben, welche Informationen und welche Prozesse betroffen sind und welche nicht, stellt Organisationen mit ausschließlich klassischer und präventiver Sicherheitstechnik häufig vor Probleme. Es fehlt an der Sensorik, das Vorgehen von Angreifern aufdecken zu können, wenn diese es erst einmal hinter den Perimeterschutz geschafft haben. Oft genug entgeht den Sicherheitsmechanismen der Fall sogar ganz, und das betroffene Unternehmen erfährt von der Kompromittierung beispielsweise erst nach dem Auftauchen gestohlener Informationen in der Öffentlichkeit oder nach konkreten Fällen von Informationsmissbrauch.
Existiert darüber hinaus kein Log-Management, das eine nachträgliche Untersuchung des Angriffs anhand gespeicherter Informationen aus dem internen Netz erlaubt, besteht auch keine Möglichkeit zur Eingrenzung des Schadens – im Extremfall müsste ein Unternehmen dann alle Daten und Systeme als potenziell unterwandert einschätzen und – je nach Branche und Compliance-Zusammenhang – auch alle potenziell betroffenen Dritten informieren.
Damit ein Unternehmen gar nicht erst in diese Situation der Ratlosigkeit und der Unfähigkeit zur schadensmindernden Kommunikation gerät oder damit es nicht Ähnliches nach einem weiteren Vorfall erneut erlebt, sollte es vier Vorkehrungen treffen:
- Ein Risiko-Assessment durchführen, das zu allen Datenbeständen und Systemen das Risikopotenzial ermittelt.
- Eine Asset-Datenbank und eine zentrale Informationsstelle (CMDB) aufbauen, aus der sich ohne langes Suchen entnehmen lässt, auf welchen Systemen sich welche Informationen mit welchem Schutzbedarf befinden.
- Einen Security-Leitstand (Security Operations Center, SOC) mit einem Security-Information-und-Event-Management-System (SIEM) einrichten, dessen Sensorik alle wichtigen Systeme im Netz permanent überwacht und schädliche Verhaltensweisen erkennt.
- Ein Incident-Management-System einrichten und Emergency-Response-Kapazitäten schaffen.
SIEM-Systeme gibt es in verschiedenen Leistungs- und Ausbaustufen. Ihnen gemein ist, dass sie permanent sicherheitsrelevante Informationen von Anwendungen, Servern, Netzwerkgeräten und traditionellen Security-Werkzeugen im Netz sammeln, Auffälligkeiten in Echtzeit zueinander in Beziehung setzen und die Daten für forensische Untersuchungen speichern. Letzteres ist zunächst einmal eine willkommene Hilfe, wenn es gilt, einen Vorfall zu untersuchen und dabei festzustellen, auf welche Informationen oder Systeme im Rahmen eines Angriffs zugegriffen wurde. Diese Funktion verhilft somit zur eingangs geforderten Informationsfähigkeit im Ernstfall.
- Krisenkommunikation
- Grundsätze der Krisenkommunikation
- Kontextinfos für schnelle Analysen
Lesen Sie mehr zum Thema
