Das aktuelle Allianz Risk Barometer 2020 – als weltweit größte Risikostudie – hat kritische Geschäftsunterbrechungen, die durch Cybersicherheitsverletzungen verursacht werden, als das größte Risiko für Unternehmen erkannt [1].

»Wann man von einer Cybersicherheitskrise betroffen sein wird, lässt sich nie vorhersagen. Unternehmen können aber Zeit gewinnen, indem sie einen gut einstudierten und effektiven Cyber-Resiliency-Plan aufstellen, der unerlässlich ist, um die schlimmsten Auswirkungen eines Angriffs abzumildern und gleichzeitig das Geschäft am Laufen zu halten«, erklärt Sergej CSO Central Europe bei Palo Alto Networks. »Dies wird zu einem heißen Thema für Chief Risk Officers, Chief Information Security Officers und Unternehmensvorstände, wenn sie sich mit der Frage beschäftigen, wie ein Cyberangriff zu handhaben ist.«

Eine gute Vorbereitung auf eine Cybersicherheitskrise ist die halbe Miete. Um schnell reagieren zu können und langfristige Schäden zu vermeiden, müssen Unternehmen einen Cyberangriff simulieren, um die richtigen Verantwortlichkeiten, potenzielle Prozesslücken oder technologische Probleme herauszufinden. Dazu könnte eine Tabletop-Übung gehören, bei der sich die relevanten Führungskräfte um einen Tisch versammeln, um zu klären, wie sich ein Szenario entfalten könnte.

Doch selbst für die am besten vorbereiteten Verantwortlichen kann eine Cybersicherheitskrise jederzeit eintreten. Wie sollte der CEO beziehungsweise Geschäftsführer eines gehackten Unternehmens vorgehen? Sergej Epp von Palo Alto Networks verweist auf fünf wesentlich Regeln:

Regel 1: Der CEO muss persönlich das Kommando übernehmen.

Betriebsunterbrechungen und Prozesskosten haben eine unmittelbare Auswirkung auf den Ruf des CEOs, wenn sie nicht richtig priorisiert werden. Daher ist es nicht überraschend, dass Aktionäre beginnen, personelle Konsequenzen für Unternehmen zu fordern, die in eine Cybersicherheitskrise verwickelt sind. Ein effektives Management einer solchen Krise erfordert ein Engagement auf Vorstandsebene sowohl seitens des COOs als auch des CFOs. Ein CEO ist jedoch oftmals die beste Person, um die Bewältigung der Krise zu managen.

Regel 2: Alles dreht sich um Kommunikation.

Ist man nun tatsächlich von einem Cyberangriff betroffen, will niemand in den Schlagzeilen landen und von der Öffentlichkeit und der Presse herausgefordert werden. War es schlechte Cybersicherheit oder ein hochkarätiger nationalstaatlich initiierter Hackerangriff? Ist das ganze Ausmaß an durchgesickerten Daten tatsächlich bekannt? Gibt es noch weitere Hintertüren, die die Angreifer für Sabotageaktivitäten nutzen könnten?

Eine Cybersicherheitskrise ist fast immer sehr komplex. Es kann Monate bis Jahre dauern, um all diese Fragen zu beantworten. Die richtige Kommunikationsstrategie wird jedoch die öffentliche Meinung darüber bestimmen, wie professionell der Vorfall gehandhabt wird. Wie wird sich der CEO also entscheiden? Geheimhaltung, volle Transparenz oder für die Gratwanderung dazwischen?

Über die Erfolgsquote von geheim gehaltenen Vorfällen lässt sich zwar nur spekulieren, aber es gibt genug Beweise, die zeigen: Die meisten großen Unternehmen, die versucht haben, eine Cybersicherheitskrise geheim zu halten, und die danach aufflogen, haben einen Imageschaden davongetragen. Darüber hinaus gilt es alle relevanten internen Stakeholder und Anbieter so zu steuern, dass sie die potenziellen Vorschriften für die Meldepflicht einhalten. Einige Regulierungsbehörden verlangen extrem schnelle Berichte, wie zum Beispiel die Monetary Authority of Singapore (MAS), die eine Benachrichtigung innerhalb weniger Minuten fordert.

Aber es gibt viele technische Variablen, die CEOs nicht kontrollieren können. Zum Beispiel haben Sicherheitsforscher eine Reihe von einschneidenden Cyberangriffen wie Stuxnet gemeldet, indem sie anhand von externen Telemetriedaten und Malwareproben Beweise für eine Kompromittierung identifizierten. Eine transparente Behandlung der Cybersicherheitskrise bringt Vorteile wie die öffentliche Unterstützung durch Behörden, Forscher und Kunden. Der CEO muss jedoch bereit sein, sich dem Druck bei der Kommunikation und Ausführung zu stellen.

Regel 3: Zugang zu Fachwissen im Bereich der Cybersicherheit.

Die meisten Unternehmen beschäftigen ihren eigenen CISO (Chief Information Security Officer) und Sicherheitsfachkräfte, die auf die Cybersicherheitskrise reagieren werden. Haben die Mitarbeiter aber wirklich die gesamte Cybersicherheitskrise verfolgt und sie von Anfang bis Ende miterlebt? Wenn noch keine richtigen Tabletop-Übungen durchgeführt wurden und das Team noch nie mit einer Cybersicherheitskrise zu tun hatte, sollten die folgenden Beteiligten in den Krisenprozess einbezogen werden:

• Experten für Cybersicherheitsvorfälle und -krisen: Die Berichterstattung und die technische Analyse kann wahrscheinlich effektiver von externen Unternehmen durchgeführt werden, die mit ähnlichen Situationen oder demselben Bedrohungsakteur zu tun hatten. Die meisten Unternehmen verfügen beispielsweise häufig nicht über rechtliche Erfahrung oder sind mit den Taktiken, Techniken und Prozeduren (TTP) des Bedrohungsakteurs nicht vertraut.
• Anbieter von Sicherheitsprodukten: Die meisten Unternehmen scheuen sich, Sicherheitsanbieter als Partner zu betrachten. In Wirklichkeit sind Sicherheitsanbieter angesichts ihrer Erfahrung vielleicht die besten Partner, um Unternehmen bei der Eindämmung der Bedrohung zu helfen.
• Interessengruppen: Cybersicherheit ist Mannschaftssport. Die meisten der Bedrohungen, denen ein Unternehmen ausgesetzt ist, haben bereits einige andere Unternehmen getroffen. Es ist durchaus wichtig, Gleichgesinnte einzubinden und um Hilfe zu bitten.
• Strafverfolgung: In vielen Ländern ist die Einschaltung der Strafverfolgungsbehörden eher ein formeller Akt, um den Vorfall zu registrieren. Einige Länder verfügen jedoch über effektive Ressourcen, die sich nicht nur auf die Untersuchung der Bedrohungsakteure konzentrieren, sondern auch bei der Verteidigung der Netzwerke helfen. Um das Problem der Cybersicherheit nachhaltig anzugehen, ist es immer gut, sich während oder nach einem Vorfall mit der Strafverfolgung zu befassen.

Regel 4: Intelligente Eindämmung einsetzen.

Die Eindämmung einer Cybersicherheitskrise könnte Jahre dauern, wenn nach dem Zufallsprinzip alle Empfehlungen befolgt werden, die derzeit verfügbar sind. Wie soll der CISO in Bezug auf das Gleichgewicht zwischen der Eindämmung von Vorfällen und der Aufrechterhaltung des Geschäftsbetriebs und der Vermeidung von Paniksituationen verfahren?

Anstatt alles Mögliche zu tun, kann die Task Force einen risikoorientierten Eindämmungsansatz anwenden, der die wichtigsten Fragen angeht:

1. Warum wurden wir gehackt?
2. Was sind unsere wertvollsten Daten und wurden sie kompromittiert?
3. Wie können wir die Bedrohung abschwächen?

Um zu verstehen, wie man die Bedrohung eindämmen kann, muss man die erste und zweite Frage richtig einordnen. Manchmal ist es sogar erforderlich, den Angreifer eine Zeit lang im eigenen Netzwerk zu belassen, um seine wahren Beweggründe zu ermitteln. Wenn die Motivation destruktiv ist, sollte der Angreifer so schnell wie möglich aus dem Netzwerk entfernt werden.

Bei allen gezielten Angriffen, die sich speziell gegen ein Unternehmen richten und einen bestimmten Zweck verfolgen, wie etwa der Versuch, Informationen für Spionagezwecke zu stehlen oder das IT-System zu sabotieren, gibt es eine Schlüsselfrage: Haben wir den Patienten Null identifiziert?

Ähnlich wie bei Virenausbrüchen in unserer menschlichen Welt kann der Patient Null helfen, den Angriffspfad zu rekonstruieren und potenzielle versteckte Hintertüren zu identifizieren, die der Angreifer als Backup ins Netzwerk geschaffen hat für den Fall, dass er identifiziert wird. Wenn die Task Force den Patienten Null nicht identifizieren kann, wird sie nicht in der Lage sein, zu bestätigen, ob der Angreifer noch im Netzwerk ist, oder das volle Ausmaß des Angriffs zu bestimmen.

Regel 5: Auf der sicheren Seite sein, aber sich nicht entschuldigen.

Wie hat sich der Sicherheitsvorfall auf den Ruf, die rechtlichen, finanziellen und technischen Aspekte des Unternehmens ausgewirkt? Hat das Unternehmen Geld verloren, weil in den letzten 24 Stunden kein Server betrieben werden konnte? Die Gesamtkosten des Angriffs müssen geschätzt werden. Zu achten ist ebenso auf eine laufende Auswirkung auf den Betrieb, wenn bei der Arbeit an wichtigen Projekten Zeit verloren ging. Diese Analyse ist nicht nur dann erforderlich, wenn eine Cyberrisiko-Versicherung abgeschlossen wurde, sondern hilft auch, aus dem Vorfall die erforderlichen zusätzlichen Investitionen in die Cybersicherheit abzuleiten.

Letztendlich investieren die meisten Unternehmen, die eine Cybersicherheitskrise erleben, deutlich mehr in die Cybersicherheit. Die Konzentration auf Prinzipien wie Zero Trust, die Verbesserung der Sicherheitsregeln und die Vereinfachung von Sicherheitsprozessen und -technologien gehören zu den wichtigsten – und grundlegendsten – Dingen, die man tun kann.

Resilienz auf den Punkt gebracht

»Unabhängig von der Branche ist ein richtiger Cyber-Resiliency-Plan ein Muss, wenn Unternehmen auf den schlimmsten Fall vorbereitet sein wollen. Die Verringerung des Schadensausmaßes, das durch einen Cyberangriff verursacht wird, ist das Hauptziel eines solchen Plans. Der Versuch, das Netzwerk zu schützen, ist eine Sache«, fasst Sergej Epp abschließend zusammen. »Die Aktivierung eines gut durchdachten und stressgetesteten Business-Continuity-Plans kann im Falle eines Angriffs dem Unternehmen jedoch enorme Kosten und Zeit sparen. Daher gilt es vor allem, gut vorbereitet zu sein.«