Fünf Regeln zur Bewältigung einer Cybersicherheitskrise: Vorstände und Verantwortliche unter Druck

Das aktuelle Allianz Risk Barometer 2020 – als weltweit größte Risikostudie – hat kritische Geschäftsunterbrechungen, die durch Cybersicherheitsverletzungen verursacht werden, als das größte Risiko für Unternehmen erkannt [1].

Illustration: Geralt Absmeier

»Wann man von einer Cybersicherheitskrise betroffen sein wird, lässt sich nie vorhersagen. Unternehmen können aber Zeit gewinnen, indem sie einen gut einstudierten und effektiven Cyber-Resiliency-Plan aufstellen, der unerlässlich ist, um die schlimmsten Auswirkungen eines Angriffs abzumildern und gleichzeitig das Geschäft am Laufen zu halten«, erklärt Sergej CSO Central Europe bei Palo Alto Networks. »Dies wird zu einem heißen Thema für Chief Risk Officers, Chief Information Security Officers und Unternehmensvorstände, wenn sie sich mit der Frage beschäftigen, wie ein Cyberangriff zu handhaben ist.«

Eine gute Vorbereitung auf eine Cybersicherheitskrise ist die halbe Miete. Um schnell reagieren zu können und langfristige Schäden zu vermeiden, müssen Unternehmen einen Cyberangriff simulieren, um die richtigen Verantwortlichkeiten, potenzielle Prozesslücken oder technologische Probleme herauszufinden. Dazu könnte eine Tabletop-Übung gehören, bei der sich die relevanten Führungskräfte um einen Tisch versammeln, um zu klären, wie sich ein Szenario entfalten könnte.

Doch selbst für die am besten vorbereiteten Verantwortlichen kann eine Cybersicherheitskrise jederzeit eintreten. Wie sollte der CEO beziehungsweise Geschäftsführer eines gehackten Unternehmens vorgehen? Sergej Epp von Palo Alto Networks verweist auf fünf wesentlich Regeln:

 

Regel 1: Der CEO muss persönlich das Kommando übernehmen.

Die Ärmel hochkrempeln: Die bloße Delegierung der Arbeit an das IT-Team kann für das Unternehmen und für den CEO persönlich gefährlich sein. Eine Reihe von CEOs großer Unternehmen haben dies kürzlich auf die harte Tour gelernt. Das Cyberrisiko betrifft nicht nur das IT-Netzwerk, sondern auch das gesamte Unternehmen.

Betriebsunterbrechungen und Prozesskosten haben eine unmittelbare Auswirkung auf den Ruf des CEOs, wenn sie nicht richtig priorisiert werden. Daher ist es nicht überraschend, dass Aktionäre beginnen, personelle Konsequenzen für Unternehmen zu fordern, die in eine Cybersicherheitskrise verwickelt sind. Ein effektives Management einer solchen Krise erfordert ein Engagement auf Vorstandsebene sowohl seitens des COOs als auch des CFOs. Ein CEO ist jedoch oftmals die beste Person, um die Bewältigung der Krise zu managen.

 

Regel 2: Alles dreht sich um Kommunikation.

Ist man nun tatsächlich von einem Cyberangriff betroffen, will niemand in den Schlagzeilen landen und von der Öffentlichkeit und der Presse herausgefordert werden. War es schlechte Cybersicherheit oder ein hochkarätiger nationalstaatlich initiierter Hackerangriff? Ist das ganze Ausmaß an durchgesickerten Daten tatsächlich bekannt? Gibt es noch weitere Hintertüren, die die Angreifer für Sabotageaktivitäten nutzen könnten?

Eine Cybersicherheitskrise ist fast immer sehr komplex. Es kann Monate bis Jahre dauern, um all diese Fragen zu beantworten. Die richtige Kommunikationsstrategie wird jedoch die öffentliche Meinung darüber bestimmen, wie professionell der Vorfall gehandhabt wird. Wie wird sich der CEO also entscheiden? Geheimhaltung, volle Transparenz oder für die Gratwanderung dazwischen?

Über die Erfolgsquote von geheim gehaltenen Vorfällen lässt sich zwar nur spekulieren, aber es gibt genug Beweise, die zeigen: Die meisten großen Unternehmen, die versucht haben, eine Cybersicherheitskrise geheim zu halten, und die danach aufflogen, haben einen Imageschaden davongetragen. Darüber hinaus gilt es alle relevanten internen Stakeholder und Anbieter so zu steuern, dass sie die potenziellen Vorschriften für die Meldepflicht einhalten. Einige Regulierungsbehörden verlangen extrem schnelle Berichte, wie zum Beispiel die Monetary Authority of Singapore (MAS), die eine Benachrichtigung innerhalb weniger Minuten fordert.

Aber es gibt viele technische Variablen, die CEOs nicht kontrollieren können. Zum Beispiel haben Sicherheitsforscher eine Reihe von einschneidenden Cyberangriffen wie Stuxnet gemeldet, indem sie anhand von externen Telemetriedaten und Malwareproben Beweise für eine Kompromittierung identifizierten. Eine transparente Behandlung der Cybersicherheitskrise bringt Vorteile wie die öffentliche Unterstützung durch Behörden, Forscher und Kunden. Der CEO muss jedoch bereit sein, sich dem Druck bei der Kommunikation und Ausführung zu stellen.

 

Regel 3: Zugang zu Fachwissen im Bereich der Cybersicherheit.

Die meisten Unternehmen beschäftigen ihren eigenen CISO (Chief Information Security Officer) und Sicherheitsfachkräfte, die auf die Cybersicherheitskrise reagieren werden. Haben die Mitarbeiter aber wirklich die gesamte Cybersicherheitskrise verfolgt und sie von Anfang bis Ende miterlebt? Wenn noch keine richtigen Tabletop-Übungen durchgeführt wurden und das Team noch nie mit einer Cybersicherheitskrise zu tun hatte, sollten die folgenden Beteiligten in den Krisenprozess einbezogen werden:

  • Experten für Cybersicherheitsvorfälle und -krisen: Die Berichterstattung und die technische Analyse kann wahrscheinlich effektiver von externen Unternehmen durchgeführt werden, die mit ähnlichen Situationen oder demselben Bedrohungsakteur zu tun hatten. Die meisten Unternehmen verfügen beispielsweise häufig nicht über rechtliche Erfahrung oder sind mit den Taktiken, Techniken und Prozeduren (TTP) des Bedrohungsakteurs nicht vertraut.
  • Anbieter von Sicherheitsprodukten: Die meisten Unternehmen scheuen sich, Sicherheitsanbieter als Partner zu betrachten. In Wirklichkeit sind Sicherheitsanbieter angesichts ihrer Erfahrung vielleicht die besten Partner, um Unternehmen bei der Eindämmung der Bedrohung zu helfen.
  • Interessengruppen: Cybersicherheit ist Mannschaftssport. Die meisten der Bedrohungen, denen ein Unternehmen ausgesetzt ist, haben bereits einige andere Unternehmen getroffen. Es ist durchaus wichtig, Gleichgesinnte einzubinden und um Hilfe zu bitten.
  • Strafverfolgung: In vielen Ländern ist die Einschaltung der Strafverfolgungsbehörden eher ein formeller Akt, um den Vorfall zu registrieren. Einige Länder verfügen jedoch über effektive Ressourcen, die sich nicht nur auf die Untersuchung der Bedrohungsakteure konzentrieren, sondern auch bei der Verteidigung der Netzwerke helfen. Um das Problem der Cybersicherheit nachhaltig anzugehen, ist es immer gut, sich während oder nach einem Vorfall mit der Strafverfolgung zu befassen.

 

Regel 4: Intelligente Eindämmung einsetzen.

Die Eindämmung einer Cybersicherheitskrise könnte Jahre dauern, wenn nach dem Zufallsprinzip alle Empfehlungen befolgt werden, die derzeit verfügbar sind. Wie soll der CISO in Bezug auf das Gleichgewicht zwischen der Eindämmung von Vorfällen und der Aufrechterhaltung des Geschäftsbetriebs und der Vermeidung von Paniksituationen verfahren?

Anstatt alles Mögliche zu tun, kann die Task Force einen risikoorientierten Eindämmungsansatz anwenden, der die wichtigsten Fragen angeht:

  1. Warum wurden wir gehackt?
  2. Was sind unsere wertvollsten Daten und wurden sie kompromittiert?
  3. Wie können wir die Bedrohung abschwächen?

Um zu verstehen, wie man die Bedrohung eindämmen kann, muss man die erste und zweite Frage richtig einordnen. Manchmal ist es sogar erforderlich, den Angreifer eine Zeit lang im eigenen Netzwerk zu belassen, um seine wahren Beweggründe zu ermitteln. Wenn die Motivation destruktiv ist, sollte der Angreifer so schnell wie möglich aus dem Netzwerk entfernt werden.

Bei allen gezielten Angriffen, die sich speziell gegen ein Unternehmen richten und einen bestimmten Zweck verfolgen, wie etwa der Versuch, Informationen für Spionagezwecke zu stehlen oder das IT-System zu sabotieren, gibt es eine Schlüsselfrage: Haben wir den Patienten Null identifiziert?

Ähnlich wie bei Virenausbrüchen in unserer menschlichen Welt kann der Patient Null helfen, den Angriffspfad zu rekonstruieren und potenzielle versteckte Hintertüren zu identifizieren, die der Angreifer als Backup ins Netzwerk geschaffen hat für den Fall, dass er identifiziert wird. Wenn die Task Force den Patienten Null nicht identifizieren kann, wird sie nicht in der Lage sein, zu bestätigen, ob der Angreifer noch im Netzwerk ist, oder das volle Ausmaß des Angriffs zu bestimmen.

 

Regel 5: Auf der sicheren Seite sein, aber sich nicht entschuldigen.

Wie hat sich der Sicherheitsvorfall auf den Ruf, die rechtlichen, finanziellen und technischen Aspekte des Unternehmens ausgewirkt? Hat das Unternehmen Geld verloren, weil in den letzten 24 Stunden kein Server betrieben werden konnte? Die Gesamtkosten des Angriffs müssen geschätzt werden. Zu achten ist ebenso auf eine laufende Auswirkung auf den Betrieb, wenn bei der Arbeit an wichtigen Projekten Zeit verloren ging. Diese Analyse ist nicht nur dann erforderlich, wenn eine Cyberrisiko-Versicherung abgeschlossen wurde, sondern hilft auch, aus dem Vorfall die erforderlichen zusätzlichen Investitionen in die Cybersicherheit abzuleiten.

Letztendlich investieren die meisten Unternehmen, die eine Cybersicherheitskrise erleben, deutlich mehr in die Cybersicherheit. Die Konzentration auf Prinzipien wie Zero Trust, die Verbesserung der Sicherheitsregeln und die Vereinfachung von Sicherheitsprozessen und -technologien gehören zu den wichtigsten – und grundlegendsten – Dingen, die man tun kann.

 

Resilienz auf den Punkt gebracht

»Unabhängig von der Branche ist ein richtiger Cyber-Resiliency-Plan ein Muss, wenn Unternehmen auf den schlimmsten Fall vorbereitet sein wollen. Die Verringerung des Schadensausmaßes, das durch einen Cyberangriff verursacht wird, ist das Hauptziel eines solchen Plans. Der Versuch, das Netzwerk zu schützen, ist eine Sache«, fasst Sergej Epp abschließend zusammen. »Die Aktivierung eines gut durchdachten und stressgetesteten Business-Continuity-Plans kann im Falle eines Angriffs dem Unternehmen jedoch enorme Kosten und Zeit sparen. Daher gilt es vor allem, gut vorbereitet zu sein.«

 

[1] https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2020.html

 

62 Artikel zu „Cyber Resilienz“

Cyberresilienz: Ein Synonym für Cybersicherheit?

Angesichts der wachsenden Zahl an Schwachstellen und der zunehmenden Komplexität von Cyberattacken lautet die Frage nicht mehr, ob ein Unternehmen attackiert wird, sondern wann – und ob die angegriffene Organisation in der Lage sein wird, ihre Aktivitäten unbeschadet fortzusetzen. Genau das bezeichnet die Cyberresilienz. Von Stormshield gibt es vier gute Vorsätze zu deren Gewährleistung.  …

Cyberresilienz: Erhebliche Defizite bei der Notfallplanung

Mehr als die Hälfte der deutschen Unternehmen testen ihre Notfallpläne nicht. Automatisierung verbessert die Erkennung und Eindämmung von Cyberangriffen in Deutschland um 46 Prozent.   Die Ergebnisse der vierten, jährlichen Benchmark-Studie zur Cyberresilienz, vom Ponemon Institute durchgeführt und von IBM Resilient gesponsert, sind veröffentlicht worden. In »The 2019 Cyber Resilient Organization« wird untersucht, inwieweit Unternehmen…

Vielfalt in der Cybersicherheit: ein strategisches Muss

In einer Zeit, in der sich der IT-Markt in einem tiefgreifenden Wandel befindet (Aufkauf europäischer Technologien durch amerikanische Unternehmen, Angst vor der Entstehung von Monopolen, insbesondere in den Bereichen Cloud und Daten usw.), ist Umsicht wichtiger denn je. Diese Marktentwicklung kann insofern problematisch sein, als Monopole die Freiheit der Nutzer einschränken, indem sie deren Wahlmöglichkeiten…

Neun Prognosen zur Cybersicherheit im Jahr 2020

Egal ob EU-Institutionen, nationale Regierungen, internationale Unternehmen oder auch die Mitglieder der Weltwirtschaftsforums: Als Berater rund um Cybersicherheit ist Greg Day, VP und Chief Security Officer (EMEA) von Palo Alto Networks ein gefragter Experte. Er beantwortet heute eine aktuelle Frage: Wie werden die kommenden Herausforderungen und Chancen für IT-Sicherheit in 2020 aussehen?   KI wird…

Aus- und Weiterbildung ist einer der wichtigsten Faktoren der Unternehmensresilienz

Warum der Erwerb von Kompetenzen zu Cyberangriffen & Co. in Unternehmen existenziell ist. Von Unternehmen ist heute flexible Handlungsfähigkeit gefordert – auch in Krisensituationen. Es gilt daher, in der gesamten Organisation Widerstandskraft aufzubauen. Unternehmensresilienz ist der Schlüssel und erfordert eine Sensibilisierung beziehungsweise Stabilisierung der Mitarbeiter für entsprechende Handlungsfelder und Gefahren. Aus- und Weiterbildung ist daher…

Im Wettlauf gegen Cyberkriminelle: Fallstricke manueller Incident Response

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis…

Erfolgreiche digitale Transformation braucht IT-Resilienz

Für den »State of IT-Resilience Report 2019« wurden weltweit 500 Führungskräfte sowohl aus der IT als auch aus anderen Geschäftsbereichen befragt [1]. Die Teilnehmer kamen aus über zehn unterschiedlichen Branchen und äußerten sich zu den derzeitigen Herausforderungen von IT-Resilienz im Rahmen der digitalen Transformation. Die Ergebnisse der Befragung geben Einblick in den Stand der Dinge…

Cybercrime: Cyberkriminalität kostet Unternehmen im Schnitt 13 Millionen US-Dollar pro Jahr

Die Bedrohungslage durch Cyberangriffe verschärft sich weltweit und Unternehmen geben mehr Geld denn je aus, um sich mit den Kosten und Folgen immer komplexerer Angriffe auseinanderzusetzen. Das zeigt die 9. »Cost of Cybercrime«-Studie, die die Unternehmensberatung Accenture gemeinsam mit dem Ponemon Institute in elf Ländern und 16 Branchen durchgeführt hat. In Deutschland wurden im Rahmen…

Threat Intelligence – die Grundlage für Cybersicherheit

Über die wachsende Rolle von Threat Intelligence für die Cybersicherheit und wie sie im Rahmen eines umfassenden Cyber-Abwehrprogramms effektiv genutzt werden kann.   Im Bereich Cybersicherheit ist man umso besser gerüstet, je mehr man über potenzielle Bedrohungen für sein Unternehmen weiß. Threat Intelligence, auf Deutsch das »Wissen über Bedrohungen« beschreibt die Sammlung aller sicherheitsrelevanten Informationsquellen.…

Weltweit wird noch immer zu wenig für die Cybersicherheit getan

Weltweit wird noch immer zu wenig für die Cybersicherheit getan. Es handelt sich hierbei nicht um eine allgemeine Betrachtung, sondern um die Ergebnisse der jährlichen Umfrage von 2019 mit dem Titel »Cyber Resilient Organization«, die vom Ponemon Institute durchgeführt, von IBM Resilient gesponsert wurde und an der mehr als 3.600 Sicherheits- und IT-Experten aus der…

Cyber Resilience im Energiesektor: In fünf Schritten zur widerstandsfähigen IT-Infrastruktur

Energieversorger werden immer häufiger zum Ziel von Hackerangriffen. Sind diese erfolgreich, können große Bereiche des gesellschaftlichen Lebens zusammenbrechen. Als kritische Infrastruktur (KRITIS) ist der Energiesektor daher gesetzlich dazu verpflichtet, sich besonders gut zu schützen. Diese Herausforderung lässt sich sukzessive mit Sustainable Cyber Resilience meistern.   Dirk Schrader, CISSP, CISM, ISO/IEC 27001 Practitioner bei Greenbone Networks…

Cybersicherheit: 1.440 einmalige Schwachstellen pro Unternehmen

Cyberkriminelle setzten 2018 vermehrt auf Kryptojacking. Mehr als die Hälfte der Cyberangriffe waren keine Malware-basierten Angriffe; Zahl der Attacken auf geschäftliche E-Mail-Adressen gestiegen.   IBM Security gibt die Ergebnisse des X-Force Threat Intelligence Index 2019 bekannt: Erhöhte Sicherheitsmaßnahmen und ein gestiegenes Bewusstsein gegenüber Cyberangriffen zwingen Cyberkriminelle dazu, ihre Angriffstechniken auf der Suche nach Profit zu…

Die Trends zur Cybersicherheit im Jahr 2019: Bots legen das Internet lahm

Wer seine Unternehmens- und Kundendaten umfassend schützen will, muss Cyberkriminellen immer einen Schritt voraus sein. Das ist jedoch nur möglich, wenn Unternehmen die kurz- und langfristigen Entwicklungen im Bereich Cybersicherheit kennen. Worauf sollte man 2019 also vorbereitet sein? Intelligentere Bots, komplexe Clouds, IoT-Risiken und Datenregulierungen werden im kommenden Jahr die vorherrschenden Themen sein. Akamai zeigt…

Künstliche Intelligenz kann wichtigen Beitrag zur Cybersicherheit leisten

Die heutigen IT-Architekturen unserer IT-Systeme, wie Endgeräte, Server, IoT-Geräte und Netzkomponenten sind zunehmend und sich stetig wandelnden Angriffs- und Bedrohungsszenarien ausgesetzt. Die Anforderungen im Bereich Cybersecurity steigen. »Der Schaden im Bereich IT-/Cybersicherheit ist mit 55 Milliarden Euro im Jahr in Deutschland jetzt schon zu groß, wächst aber kontinuierlich weiter. Wir müssen uns auf die hohen…