IT-Sicherheit
Unternehmen im Kampf gegen Cybercrime
Fortsetzung des Artikels von Teil 1
168 Stunden Reaktionszeit
Wenn der Angriff passiert, denken Unternehmen oft in IT-Sicherheit und vergessen, dass sie jetzt in einer geschäftlichen Krise stecken. Daher sollte an dieser Stelle ein erfahrener Krisenmanager das Ruder übernehmen. Heißt konkret: IT-Incident Management, Krisenkommunikation, Datenschutz, Wiederherstellungsmaßnahmen. IT-Fachleute sind wichtig, da die Störung der IT der Auslöser der Krise ist, aber das Problem erstreckt sich über viele weitere Unternehmens- und Aufgabenbereiche. Die ersten 168 Stunden nach dem Angriff sind entscheidend für die Kostenbegrenzung und das schnelle Wiederherstellen der Arbeitsfähigkeit. Ein erfahrener Krisenmanager kann dabei helfen, die richtigen Entscheidungen auf der Zeitachse von 168 Stunden zu treffen. Dazu stellt er kritische Fragen, die nicht alle Inhaber, Unternehmer oder Führungskräfte gerne beantworten. Diese Fragen sollten sich Unternehmen aber schon im Vorfeld stellen, um besser vorbereitet zu sein.
Die Professionalisierung der Täter und die damit verbundenen technologischen Fähigkeiten lassen kaum Spielraum für Gegenmaßnahmen. Das Eindringen in die Computernetze wird sorgfältig geplant und so leise durchgeführt, dass die Zugriffe auf die Systeme meistens nicht bemerkt werden. In diesem Zeitraum, der in der Regel zwischen zwei und zwölf Wochen dauert, stehlen die Angreifer unbemerkt die Kronjuwelen, die wichtigsten und werthaltigsten Daten des angegriffenen Unternehmens. Danach werden so viele Systeme wie möglich durch Verschlüsselung unbrauchbar gemacht. Die Täter hinterlassen eine Nachricht auf den verschlüsselten Systemen, um das weitere Vorgehen der Erpressung zu beschreiben. Einige Täter nennen direkt den zu zahlenden Betrag und eine entsprechende Bitcoin-Adresse wird angegeben. Andere Tätergruppen fordern zur Kontaktaufnahme im Darkweb auf.
Ein gewaltiger Berg an Herausforderungen
An diesem Punkt sind die betroffenen Unternehmen überfordert. Zu viele Aufgaben müssen zeitgleich erledigt werden. Aufgaben, die in dieser Form nicht nur völlig neu, sondern auch zeitintensiv sind. Das reicht von einer Anzeige bei der Polizei, über die Datenschutzpannenmeldung und der Forensik des Vorfalls, bis hin zur Prüfung der Datensicherung – wobei meistens keine oder nicht alle Daten wiederherstellbar sind. Es müssen Entscheidungen getroffen werden, die im Unternehmensalltag normalerweise nicht zu treffen sind: Gehen wir auf die Forderungen ein? Bezahlen wir die aufgerufene Summe? Wie beschaffen wir die digitale Währung?
Während all diese Fragen die Verantwortungsträger beschäftigen, muss auch noch irgendwie das Tagesgeschäft weiterlaufen. Kommt es zu Einschränkungen oder der Einstellung des Betriebs, müssen Kunden und Lieferanten informiert werden, was wiederum häufig zu Vertragsprüfungen und manchmal sogar zu Schadensersatzforderungen führt. In solchen Fällen können entsprechende Versicherungsverträge für Cyberrisiken, Datenschutzverletzungen und Betriebsunterbrechungen die finanzielle Last abfangen.
Lessons learned
Ein durchschnittlicher Krisenfall dauert in der Regel ein bis drei Monate. Die Langzeitfolgen dauern jedoch bis zu zwei Jahre an, da im Anschluss eines Angriffs die Sicherheit im Unternehmen erhöht werden sollte. Das kostet Zeit und Geld und bedingt erfahrenere Fachleute, die bei der Vermeidung weiterer Angriffe unterstützen. Damit die Krise keine dramatischen Auswirkungen hat, sollte man sich im Vorfeld eines Angriffs durch gute und funktionierende Präventionsmaßnahmen schützen. Diese Maßnahmen schließen einen Angriff nicht aus. Ziel muss es aber sein, das Erpressungsrisiko und die Betriebsunterbrechung zu minimieren.
Nach einer solchen Krisensituation ist weiterführende Hilfe von entscheidender Bedeutung, die Management-Herausforderungen werden nicht kleiner. Nun kommt es darauf an, mit einem sehr hohen Maß an Kompetenz, Erfahrung und Qualität die nächste Krise zu vermeiden. In der Phase nach dem Angriff geht es vor allem um die "Lessons Learned" und darum, eine höhere Qualität in Technik und der Organisation herbeizuführen. Dieser Prozess ist ebenfalls kosten- und zeitintensiv. Auch die Stärkung der Resilienz gegenüber digitalen Straftaten, ein tragfähiges Risikomodell sowie Technologien und Architekturen, die es erlauben, Vorfälle früh- beziehungsweise rechtzeitig zu erkennen und es den Angreifern nicht allzu einfach machen in die Systeme einzudringen, sind von wichtig. Die konsequente Schulung und Awareness-Bildung bei Mitarbeiten auf allen Ebenen, sorgt darüber hinaus für eine Sicherheitskultur, die ein wesentlicher Schutz vor Angriffen darstellen und die den Unternehmen eine sorgenfreiere Zukunft ermöglichen kann.
- Unternehmen im Kampf gegen Cybercrime
- 168 Stunden Reaktionszeit
Lesen Sie mehr zum Thema
