beebright - stock.adobe.com

Wie Unternehmen mit einem Cyberangriff umgehen sollten

Wie ein Unternehmen mit einem Sicherheitsvorfall umgeht, kann über dessen Existenz entscheiden. Gute Vorbereitung und ein planvolles Vorgehen schützen Kunden wie Unternehmen.

Große Datenangriffe wie solche auf die amerikanischen Unternehmen Equifax, vergleichbar mit der deutschen SCHUFA, und dem Dienstleister Uber Ende letzten Jahres haben eine wichtige Lehre für Unternehmen hervorgebracht: nämlich wie man als Betrieb in keinem Fall mit einem Hackerangriff umgehen sollte.

Einem Bericht von Osterman Research zufolge stieg die Zahl der Ransomware-Angriffe alleine im Jahr 2016 um mehrere Hundert Prozent pro Quartal. Über die Hälfte (51 Prozent der befragten Unternehmen) gab an, dass sie ein bis fünf Ransomware-Angriffe erlitten hatten. Bei so einer hohen Zahl von Angriffen erscheint es nur als eine Frage der Zeit, bis das eigene Unternehmen betroffen ist und nicht selten hängt das Überleben einer Firma davon ab, wie gut sie auf das Schlimmste vorbereitet ist.

Auch zeigt die aktuelle Studie „Cost of a Data Breach 2018“ des Ponemon Instituts, die von IBM unterstützt wird, wie verheerend eine Datenpanne finanziell für Unternehmen werden kann. In Deutschland sind die Kosten eines Datenlecks im Jahre 2017 um mehr als 12 Prozent auf 3,88 Millionen Euro gestiegen. Der Grund für die hohe Schadenssumme sind laut der Studie auch versteckten Kosten wie verhinderte Geschäftsmöglichkeiten, der Reputationsverlust oder die „Aufholung“ der vielen aufgewendeten Arbeitsstunden.

Für den Fall einer Datenpanne vorbereitet sein

Zunächst einmal ist Cybersicherheit genau so ernst zu nehmen, wie jedes andere Geschäftsrisiko auch. Es ist wichtig, auf virtuelle Erpressungsversuche genauso vorbereitet zu sein, wie auf die Zerstörung oder den Diebstahl physischer Unternehmenswerte. Es empfiehlt sich daher, einen Aktionsplan für den Fall einer Datenpanne (PDF) aufzustellen. Ganz oben auf der Liste der Prioritäten steht die Mobilisierung eines Teams aus Führungskräften auf Vorstandsebene, ebenso wie ein guter Informationsaustausch sowie erfahrene IT-Kräfte, welche die Rettungsmaßnahmen koordinieren. 

Sobald die Ersthelfer feststehen, muss das Unternehmen Richtlinien aufstellen, wie auf den Angriff reagiert werden soll. Die wichtigste Reaktion lautet: „Niemals auf die Hacker eingehen“. Betriebe sollten sich nicht auf die Hacker einlassen und in keinem Falle Lösegeld zahlen. Schließlich handelt es sich hierbei um Kriminelle, und wie wir im Fall von Uber gesehen haben, gibt es keine Garantie dafür, dass diese die Unternehmensdaten löschen oder aber zurückgeben. Im Falle von Ransomware ist außerdem nie sicher, ob nächste Woche, nächsten Monat oder in einem Jahr nicht eine erneute Infektion folgt.

Wie mittlerweile hoffentlich deutlich geworden ist, stellt das Zugeben einer Vertuschung einen wesentlich schlimmeren Fehler dar als einzugestehen, Opfer einer Datenpanne geworden zu sein. Die erste Reaktion von Unternehmen sollte darin bestehen, die zuständigen Behörden einzuschalten. Es empfiehlt sich, vorab die zuständige Datenschutzbehörde zu ermitteln. Auch bezüglich der Kommunikation gilt es einiges zu beachten: Eindeutige Kommunikation ist wichtig und sollte bei den Mitarbeitern beginnen. Diese müssen wissen, an wen beispielsweise Presseanfragen weiterzuleiten sind. In Verbindung damit sollten dann die übrigen Vorstandsmitglieder informiert werden und anschließend die Aktionäre.

Sobald alle Prozesse für die interne Kommunikation abgeschlossen sind, kann der Informationsaustausch nach Außen beginnen. Es sollten sämtliche Personen und/oder Unternehmen informiert werden, die von der Datenpanne betroffen sind. Die Benachrichtigung der Betroffenen ist von höchster Wichtigkeit, um Rufschädigung und Misstrauen durch Kunden zu verhindern. Die schlimmsten Rückschläge bei einer großen Datenpanne erleben oft Unternehmen, welche Informationen zu lange zurückgehalten und ihre Kunden nicht informiert haben. Noch heute betrifft die Kritik an der Datenpanne bei Yahoo vor allem die Tatsache, dass das Unternehmen ein Jahr gewartet hat, den Vorfall zu melden. Solch ein Vorgehen wirkt sich noch lange nach dem Vorfall auf die Marke und oft auch auf den Umsatz aus.

Ein weiterer Punkt ist, dass so Firmen die Sicherheit ihrer Kunden gefährden, wenn diese nicht wissen, dass ihre Daten beeinträchtigt wurden. Laut DSGVO haben Unternehmen nun nur noch begrenzt Zeit, eine Datenpanne zu melden. Bei einem Verstoß drohen Bußgelder, das heißt, Fehler haben seit Wirksamkeit der Verordnung also noch schwerwiegendere Konsequenzen.

Kommunikation mit der Presse

Der nächste Schritt im empfohlenen Notfallplan betrifft die Kommunikation mit der Presse. Generell gilt hier: Bevor mit der Presse gesprochen wird, sollten zunächst alle Fakten beisammen sein. Außerdem muss klar sein, was öffentlich bekannt gegeben werden darf und was nicht. Die Konsequenzen zu überschätzen kann nämlich genauso schädlich sein, wie sie zu unterschätzen.

Zudem ist dafür zu sorgen, dass alle Informationen übereinstimmen. Widersprüchliche Angaben können schädliche Presseberichte zur Folge haben. Equifax gab beispielsweise Ende 2017 bekannt, dass Kunden, die sich bei einem Schutzprogramm gegen Identitätsdiebstahl angemeldet hätten, welches das Unternehmen im Rahmen seiner Reaktion auf die Datenpanne geschaffen hatte, ihr Recht verwirkten, juristisch gegen das Unternehmen vorzugehen. Kurz darauf kündigte Equifax allerdings an, dass dieser Passus gestrichen würde. Die geänderte Aussage bescherte dem Unternehmen nach dem PR-Albtraum noch zusätzlich negative Presse.

Im Rahmen des Kommunikationsplans sollten Unternehmen zudem einen Pressesprecher benennen, damit alle Informationen aus einer Quelle stammen und etwaige Anfrage an diese Person weitergeleitet werden können. Dadurch wird das Risiko gesenkt, dass widersprüchliche Informationen verbreitet werden. Oftmals handelt es sich beim Pressesprecher um den CEO, doch bei kleineren Angriffen kann auch der Leiter der Kommunikationsabteilung oder der Marketingleiter diese Rolle übernehmen.

Nach der ersten Öffentlichkeitsrunde ist es wichtig, den Kommunikationsfluss fortzusetzen, bis der Angriff überwunden ist. Wichtig ist hier, den Mitarbeitern und Betroffenen regelmäßig Informationen zum Fortschritt der „Sanierungsarbeiten“ zukommen zu lassen. Informiert werden sollten diese zum Beispiel über den Stand der Untersuchung, die Einführung von Unternehmensrichtlinien oder die Implementierung neuer Technologien, mit denen eine erneute Datenpanne künftig verhindert werden soll.

Guy Bunker, Clearswift

„Wie ein Unternehmen mit einem Cyberangriff umgeht, entscheidet manchmal über das wirtschaftliche Überleben, vor allem, da größere Zwischenfälle ein Unternehmen oft jahrelang zum Taumeln bringen.“

Dr. Guy Bunker, Clearswift RUAG Cyber Security

Doch selbst danach sollte den Unternehmensprüfern und Behörden weiterhin Bericht erstattet werden (und dies am besten mehrere Jahre lang), um nachzuweisen, dass sich die Dinge gebessert haben und keine weiteren Vorfälle aufgetreten sind. Entscheidend ist außerdem, dass der „Notfallplan“ regelmäßig getestet und angepasst werden sollte – nur so kann sichergestellt werden, dass jeder Einzelne weiß, was zu tun ist. Außerdem spiegelt der Plan nur so die Realität eines Unternehmens wider, welches sich kontinuierlich weiterentwickelt.

Im aktuellen Klima geraten Firmen hinsichtlich ihrer Praktiken zur Cybersicherheit zunehmend unter die Lupe. Wie ein Unternehmen mit einem Cyberangriff umgeht, entscheidet manchmal über das wirtschaftliche Überleben, vor allem, da größere Zwischenfälle ein Unternehmen oft jahrelang zum Taumeln bringen. Eine besonnene Reaktion hilft letztendlich nicht nur, Schäden an der Marke oder dem Umsatz zu vermeiden, sondern schützt vor allem die Kunden. Firmen sollten aus diesem Grund genügend vorbereitet sein, um im Ernstfall souverän und professionell reagieren zu können.

Über den Autor:
Dr. Guy Bunker ist SVP of Products bei Clearswift RUAG Cyber Security.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So sollten Unternehmen mit Sicherheitsvorfällen umgehen

Bessere Transparenz nach einem Sicherheitsvorfall

Ein Vorfallreaktionsplan muss auch getestet werden

Erfahren Sie mehr über IT-Sicherheits-Management