Cyberangriffe bringen Unternehmen in erhebliche Drucksituationen bis hin zur völligen Handlungsunfähigkeit in den gewohnten Strukturen und Prozessen. Es sind komplexe Ausnahmesituationen, die den geschäftlichen Alltag ins Wanken bringen. Es gilt, die Kontrolle so rasch wie möglich wiederzuerlangen.

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Cyberattacken: Die Frage ist nicht ob, sondern wann

Mit professioneller Vorbereitung Extremsituationen kommunikativ ­meistern

14. Februar 2023, von Daniela Münster und Peter Gerdemann

Beitrag als PDF (Download)

Es geht schon lange nicht mehr darum, ob Unternehmen durch Cyberattacken angegriffen werden, sondern nur noch darum, wann es (wieder) passiert. Ausschlaggebend dabei ist das „Wie“ – sowohl die Form des Angriffs als auch die Vorbereitung betreffend. Die Gefährdungslage ist größer denn je: So sind laut Statista im Jahr 2021 46% der deutschen Unternehmen Opfer eine Cyberattacke geworden mit einer Schadenssumme von insgesamt 230 Milliarden Euro. – Tendenz steigend, Dunkelziffer hoch.

Insgesamt nimmt die organisierte Kriminalität im Cyberspace deutlich zu, Cybercrime-as-a-Service ist ein verbreitetes Geschäftsmodell. Laut Mergermarket1 ist bis 2025 jährlich mit einer globalen Schadenssumme von 10,5 Billionen US-Dollar zu rechnen. Auch werden Cyberkriege wahrscheinlicher. Die häufigsten Angriffsvektoren bei Cyberattacken bilden dabei Phishing, Passwort- und Identitätsdiebstahl. Sie öffnen das Einfallstor und sind meist die Vorstufe von Ransomwareangriffen, die weiter stark auf dem Vormarsch sind. Die Kriminellen nisten sich im System der Zielorganisation ein und spähen ihre Möglichkeiten aus, um dann mit maximalem Erpressungspotential zuzuschlagen. Das jüngste prominente Beispiel ist der Angriff auf Continental durch die Ransomware Lockbit 3.0. Die Gruppe zählt derzeit zu den gefährlichsten und aktivsten Cybererpressern und erbeutete über Monate rund 40 Terabyte an teilweise höchst sensiblen Daten.

Bei einem Cyberangriff ist die mit Abstand größte Schwachstelle der Faktor Mensch. 85% aller Angriffe zielen auf das Verhalten an der Schnittstelle zwischen Mensch und Maschine. Vor allem die deutlich gestiegene Quote an Homeofficearbeit hat der Cybercrimeszene einen enormen Schub gegeben. Viele Unternehmen haben reagiert und die Sicherheitsmaßnahmen für Mitarbeitende im Homeoffice verstärkt. Eine Umfrage2 des Bundesamts für Sicherheit in der Informationstechnik zeigt jedoch nach wie vor deutliche Lücken auf und bestätigt damit die Vielzahl an Einfallstoren.

Cybersicherheitsstrategie sorgt für nötige Besonnenheit im Ernstfall

Besonders relevant bei der Sicherheitsstrategie von Unternehmen sind ein ganzheitlicher Ansatz und ein gemeinsames Verständnis für die IT- und Datensicherheit. Dabei ist wichtig, dass sämtliche Maßnahmen aufeinander abgestimmt sind und die beteiligten Experten eng und koordiniert zusammenarbeiten. Neben Vertretern der IT-Abteilung sollten insbesondere Experten aus Rechtsabteilung und Risikomanagement, Human Resources und Kommunikationsabteilung zusammengezogen werden. Externe Unterstützung kann die Sicherheit weiter erhöhen: Hier können Rechtsanwaltskanzleien, Kommunikationsberatungen, spezialisierte Versicherungen und Dienstleister mit IT- und Forensikerfahrung sowie Wirtschaftsprüfer sinnvolle Ergänzungen der internen Kompetenzen darstellen.
Zentrales Ziel der Cybersicherheitsstrategie ist, die Vermögenswerte zu sichern und die Risiken durch Cyberattacken zu minimieren. Dafür muss die Strategie kontinuierlich aktualisiert und an aktuelle Bedrohungen und Entwicklungen angepasst werden. Was für Virenschutz und Firewall auf dem privaten PC für viele inzwischen selbstverständlich ist, gilt erst recht für sensible Unternehmens-IT und Operating Technology, die im Zuge der Digitalisierung von Produktionsprozessen längst auch ein lohnendes Ziel für Kriminelle ist. All dies muss proaktiv und individuell erfolgen. Hier ist häufig gründliches Umdenken im Unternehmen nötig.

Cybersicherheit muss entsprechend priorisiert und in der Unternehmenskultur verankert werden. Angesichts des enormen Ausmaßes möglicher Folgen ist das Thema Cybersecurity Chefsache. Der Vorstand muss frühzeitig eingebunden werden und sich entsprechend engagieren. Um die Einfallstore vor Angreifern zu schützen, muss das „Wachpersonal“ gestärkt werden. Schulungen zu Cyberrisiken und Sensibilisierung der Mitarbeitenden, zum Beispiel durch Phishing-Testmails in unregelmäßigem Abstand, sind essentiell. Sie rufen die Bedrohungen immer wieder ins Gedächtnis.

Gleichzeitig sollten auch Cyber-Breach-Response-Pläne als Teil der Sicherheitsstrategie erarbeitet werden. Ein konkreter Plan sorgt im Notfall für die entsprechende Ruhe und besonnenes Vorgehen. Gerade hier herrscht jedoch in deutschen Unternehmen noch deutlicher Optimierungsbedarf: Laut Bitkom3 haben aktuell nur durchschnittlich 54% der Unternehmen einen solchen Notfallplan parat.

Integrierte Planungen innerhalb des Unternehmens können das Risikomanagement und die Bewertung von Schwachstellen – insbesondere auch durch Gap- und Abhängigkeitsanalysen – bündeln. Die Sicherung der IT-Infrastruktur, Datensicherheit, aber auch eine entsprechende Governance sollten zudem klar geregelt sein. Des Weiteren kann die Entwicklung eines Frühwarnsystems unter konstanter Beobachtung der Medien und sozialen Medien sowie der einschlägigen Berichterstattung über neueste Entwicklungen und Akteure im Cybercrime sinnvoll sein, um die Veränderung von Bedrohungen zu identifizieren und mögliche Angriffe besser abwehren zu können.

Frühzeitige Vorbereitung ist das A und O

Wie Benjamin Franklin schon sagte: „If you fail to plan, you are planning to fail“. Was wie eine Binsenweisheit klingt, trifft beim Thema Cybersecurity ins Schwarze. So liegt ein Großteil des erfolgreichen Umgangs mit Cyberattacken in der Vorbereitung. Denn im Ernstfall sind die Handlungsmöglichkeiten massiv eingeschränkt, es herrschen Hektik und enormer Zeitdruck. In der Regel ist es für wirksame Gegenwehr dann schlichtweg zu spät. Es bleibt nur die Schadensbegrenzung.

Das muss nicht sein. Die frühzeitige Aufklärung und Sensibilisierung der Mitarbeitenden hat oberste Priorität. Durch die Entwicklung einer gemeinsamen Sicherheitskultur als Teil der Unternehmenskultur kann dies in den Alltag eingebunden werden. Das Engagement der Führungsebene und wichtiger Interessengruppen trägt dabei maßgeblich zum Erfolg bei. Regelmäßige fachliche Aus- und Weiterbildungen können zudem helfen, das größte Einfallstor, die Schnittstelle zwischen Mensch und Maschine, besser zu schützen und Angriffen vorzubeugen.

Notfallpläne sind für ruhiges und besonnenes Krisenmanagement essentiell. Ein detailliert ausgearbeitetes Krisenhandbuch, in dem alle relevanten Informationen für den Ernstfall zusammengetragen wurden, steht im Zentrum der Planung und gibt allen Beteiligten Sicherheit. Neben der Erreichbarkeit des Krisenteams sollten hierin Wenn-dann-Situationen festgelegt werden sowie Vorgehensweisen und Abläufe definiert sein. Insbesondere alternative Kommunikationswege sollten bedacht werden für den Fall, dass die IT nicht mehr einsetzbar ist. Auch sollten möglichst viele Inhalte als Entwurf vorliegen, inklusive nötiger Freigaben: von Holding Statements und Kernbotschaften über interne Mitteilungen bis hin zu Pressemitteilungen und Informationsschreiben für Kunden. Je mehr vorbereitet ist, desto schneller kann das Krisenteam reagieren. Zu einer guten Vorbereitung gehört auch, dass die Notfallpläne durch Übungen auf Herz und Nieren geprüft wurden. Dabei empfiehlt sich ein Vorgehen in mehreren Phasen – von Desktopübungen mit dem zentralen Krisenteam, in denen alle niedergeschriebenen Details durchgesprochen und mögliche Lücken identifiziert werden, bis hin zur kompletten Simulation mit praxisnahen Interventionen, die den Krisenstab und die Führungsebene auf den Ernstfall vorbereiten.

Eine weitere zentrale Säule der Vorbereitung beinhaltet die Evaluierung der bestehenden und gegebenenfalls die Implementierung weiterer IT-Sicherheitsmechanismen, wie zum Beispiel Antivirensoftware oder Netzwerksegmentierung, aber auch die Erarbeitung von Passwortrichtlinien und Berechtigungsmanagement sowie die Erstellung von Sicherheitskopien und Prozessen zur Datenwiederherstellung. Externe IT-Experten können dabei hilfreich sein und die Systeme prüfen, von Sicherheitsanalysen bis hin zu simulierten Attacken.

Ruhe bewahren im Krisenfall

Ein möglicher Krisenfall kann sich im Vorfeld abzeichnen: durch erste Anzeichen von Schwäche, aber auch durch die Entwicklung und Zunahme des Auftretens neuer Angriffsvektoren. Das meist zunächst interne Bekanntwerden der Attacke auf das eigene Unternehmen löst dann die unmittelbare Aktivierung des Krisenstabs aus. Nun gilt es, sich schnell einen Überblick zu verschaffen und die entsprechenden Notfallmaßnahmen einzuleiten. Die Schadensbegrenzung und Eindämmung der Verbreitung im Unternehmensnetzwerk stehen an erster Stelle. Unter Einbezug der Fachkräfte werden das Einfallstor ermittelt und geschlossen und die angegriffenen Systeme isoliert sowie weitere Schutzmaßnahmen eingeleitet. Nach Sicherung des Systems kann eine Wiederherstellung oder Neuaufsetzung des IT-Systems erfolgen. Im Fall von Ransomwareangriffen muss die Abwehrstrategie abgewogen und entschieden werden. Hier ist die Hinzuziehung externer Spezialisten mit entsprechender Verhandlungserfahrung unbedingt angeraten.

Im Krisenfall besteht die Herausforderung vor allem darin, bei beschränkter eigener Information richtig und schnell zu kommunizieren. Abzuwarten bis mehr Klarheit besteht ist keine Option. Die Reihenfolge der Kommunikation hat dabei hohe Relevanz: Gemäß Art. 33, 34 DSGVO müssen bei Cyberattacken betroffene Organisationen innerhalb von 72 Stunden nach Feststellung des Problems Informationen an Aufsichtsbehörden übersenden, danach müssen betroffene Personen informiert werden – sofern ein hohes Risiko einer Verletzung von deren Rechten besteht. Im Anschluss erfolgt die Information der weiteren internen sowie der externen Stakeholder. Die Botschaften müssen abgewogen werden und in der Lage sein, die Öffentlichkeit zu beruhigen, ohne dabei Angreifern zu viele Informationen zu geben.

Cyberangriffe bringen Unternehmen in erhebliche Drucksituationen bis hin zur völligen Handlungsunfähigkeit in den gewohnten Strukturen und Prozessen. Es sind komplexe Ausnahmesituationen, die den geschäftlichen Alltag ins Wanken bringen. Es gilt, die Kontrolle über das Unternehmen so rasch wie möglich wiederzuerlangen. Dazu müssen alle Beteiligten – von Vorstand bis IT, von Recht bis Kommunikation – souverän und geübt zusammenwirken. Besser wäre, es käme erst gar nicht so weit, dank guter Vorbereitung und solider Krisenplanung.

 

 

daniela.muenster@h-advisors.global

peter@gerdemann-communication.com

_____

1 Studie von Mergermarket und Admincontrol, Under attack: Cyber due diligence demands more of dealmakers (Befragung von 100 Senior Executives in Investmentbanken, Kanzleien und Private Equity in Q4 2022)
2 Umfrage des Bundesamtes für Sicherheit in der Informationstechnik in deutschen Unternehmen, die Homeoffice angeboten haben (Okt./Nov. 2020; 1.000 Befragte)
3 Ergebnis einer Studie im Auftrag des Digitalverbands Bitkom, repräsentative Befragung von 1.066 Unternehmen aus allen Branchen, veröffentlicht im September 2022
Themen

Aktuelle Beiträge

Die Regelungen zum Pre-Pack-Verfahren lassen sich in die bestehende Struktur des deutschen Insolvenzrechts einfügen, insbesondere in das Vorverfahren. Ein separates Gesetz wird hierfür nicht unbedingt erforderlich sein.
RestructuringBusiness
Das Pre-Pack-Verfahren Richtlinienentwurf für die Harmonisierung von bestimmten Aspekten des Insolvenzrechts weiterlesen
Ein Delisting und die damit verbundene Vereinfachung kapitalmarktrechtlicher Pflichten kann nur durch einen eigenen Antrag der Schuldnerin oder einen Widerruf der Börsenzulassung von Amts wegen erreicht werden.
RestructuringBusiness
Die börsennotierte Aktiengesellschaft in der Insolvenz Kapitalmarktrechtliche Pflichten und Börsennotierung bleiben unberührt weiterlesen
Schutz vor Insolvenz bietet die Deutsche Reisesicherungsfonds GmbH: Nach der gesetzlichen Zielvorgabe soll der Fonds bis Oktober 2027 ein Haftungskapital von 750 Millionen Euro ansparen und danach vorhalten, um auch Großinsolvenzen ohne staatliche Zuwendungen regulieren zu können.
RestructuringBusiness
Herausforderungen bei ­Reiseinsolvenzen Der Musterfall Thomas Cook und der neue Reisesicherungsfonds weiterlesen
© 2023 Deutscher AnwaltSpiegel