Mit Fortschreiten der Digitalisierung von Unternehmen muss auch stets die Informationssicherheit im Blick behalten werden, denn Hacker nutzen jede Lücke, die sie finden können. So sind Cyber Angriffe ein ernsthaftes Geschäftsrisiko, nicht nur für grosse, sondern auch kleine und mittelständische Unternehmen. Um dem bestmöglich entgegenzutreten bedarf es klarer Notfallkonzepte für Cyber Attacken.
Organisierte Attacken mit hoher krimineller Energie häufen sich in den letzten Jahren. Ein besonders aktuelles Beispiel ist der Angriff auf den Online-Vergleichsdienst Comparis. Hacker haben die Website lahmgelegt und sich Zugang zu Kundendaten verschafft. Der scheinbar einzige Ausweg der Firma – Kapitulation vor den Erpressern. Comparis hat sich nach eigenen Aussagen geeinigt und für die Entschlüsselung ein Lösegeld bezahlt. Eine Strategie, welche Experten der Branche nicht empfehlen. (Eine ausführlichen Bericht zu dem Fall finden Sie hier)
Das Problem liegt hierbei auch darin, dass Cyber Risiken nur teilweise versichert werden können, da die Risiken sehr vielfältig sind. Eine Absicherung aller Gefährdungen ist quasi unmöglich, dennoch gibt es einige Cyber Security Versicherungen mit diversen Leistungsspektren.
Notfallkonzepte in KMU
Wenn es nun zu einem Cyber Angriff kommt, gilt es vorbereitet zu sein und ein aktuelles sowie eingespieltes Notfallkonzept zu haben. Häufig fehlt es in KMU jedoch genau daran. Es gilt also, eine unternehmensinterne Organisation zu schaffen. Dazu sollte sich ein Unternehmen insbesondere diese drei Fragen stellen:
- Wer ist verantwortlich?
- Welche Bedrohungen können aufkommen?
- Welche Massnahmen müssen ergriffen werden?
1. Wer ist verantwortlich? Rollendefinitionen aller Beteiligten
Klare Verantwortlichkeiten und Aufgabenbereiche sind essenziell für ein Notfallkonzept bei Cyber Attacken. Bereits im Vorhinein sollte genau festgelegt sein, wer die folgenden Rollen und Funktionen übernimmt und ob diese intern oder extern zu besetzen sind:
- Krisenmanagement
- Kommunikationsmanagement
- Rechtliche Aspekte
- Sponsoren
- Cyber Security Experten
- Weitere, je nach Unternehmen
2. Welche Bedrohungen können aufkommen? Risiko-Identifizierung und -Bewertung
Ein Notfallkonzept kann ein Unternehmen nur auf Eventualitäten vorbereiten. Wie auch im Bereich der Cyber Security-Versicherungen ist es nahezu unmöglich, für alle Risiken einen Plan in der Schublade zu haben. Dennoch gibt es häufige Bedrohungsarten, für welche sich ein Unternehmen individuell rüsten kann:
- Elementarereignisse (Hochwasser, Grossbrand, Sturmschäden, …)
- Fehlmanipulation (Versehentliche Beschädigung, Datenvernichtung, Schlüsselverlust …)
- Technisches Versagen (Stromausfall, Kabelbrand, Hard- und Softwarefehler, …)
- Vorsätzliche Handlungen (Cyber-Angriffe, Sabotage, Diebstahl, Vandalismus, …)
- Organisatorische Mängel (Fehlende Zuständigkeiten, fehlende Archivierung, mangelhafte Verträge, ungenügendes Know-how, …)
Die Bedrohungslage kann sich mit der Zeit verändern. So werden, wie einleitend bereits beschrieben, Cyber-Attacken auf Unternehmen immer häufiger oder auch Naturkatastrophen weiten sich durch den Klimawandel auf Regionen aus, welche vor 10 Jahren noch nicht davon betroffen waren. Daher ist es empfehlenswert, die Bedrohungen und nachfolgenden Massnahmen regelmässig zu überprüfen und zu aktualisieren.
Darüber hinaus können die Bedrohungen noch um ihre Eintrittswahrscheinlichkeiten und Auswirkungen erweitert werden. Entsprechend müssen auch die Massnahmen angepasst werden.
3. Welche Massnahmen müssen ergriffen werden? Der eigentliche Notfallprozess
Stehen die verantwortlichen Personen fest und hat man die wahrscheinlichsten Bedrohungen identifiziert, gilt es ein Verfahren für den jeweiligen Notfall zu entwickeln. Einige der folgenden Vorgehensweisen können für mehrere Bedrohungslagen zutreffen.
- Schadenausmass beurteilen
- Im Bedarfsfall Notfallorganisation einberufen
- Priorisierung der Wiederinbetriebnahme einzelner Services
- Beizug verantwortlicher Personen/Firmen (intern und extern nach Rollendefinition)
- Mögliche Sofortmassnahmen einleiten
- zBsp Systeme vom Netzwerk trennen, Säuberung oder Neuinstallation, Datenwiederherstellung, etc.
- Ressourcenplanung (intern und extern)
- Einhaltung der Meldepflichten (z. B. bei Datenschutzbeauftragten)
- Einreichung einer Strafanzeige bei der Kantonspolizei
- (Kunden-)Kommunikation
- Kommunikationsstrategie entsprechend der Rollendefinition
- Auflistung aller Betroffener
- Wer ist inwiefern von der Bedrohung betroffen (Kunden, Systeme, …)
- Zeiträume erfassen
- Umgang mit Lösegeldforderungen
- Beizug der Versicherung und Kantonspolizei
Fazit
Eine bestmögliche Cyber Security zeichnet sich durch eine Kombination aus intelligenten und modernen Technologien sowie klar strukturierten Prozessen und einer guten Vorbereitung aus. Als Unternehmen muss man sich der Bedrohungslage möglicher Angriffe bewusst sein und darauf vorbereiten, um gezielt und schnell einzugreifen. Dies gelingt am besten mit einem klaren, eingespielten Notfallkonzept für Cyber Attacken. Ziel ist es, den Schaden so gering wie möglich zu halten.
Wenn Sie mehr über das Thema Cyber Security wissen wollen, erfahren Sie in unserem Cyber Security Awareness Training grundlegendes Wissen über aktuelle, folgenreiche Risiken. Lernen Sie, wie Sie Ihre Daten bestmöglich schützen – von der Technik bis zu möglichen menschlichen Fehlern, machen wir Sie fit in der Cyber Security!
Sie kennen den aktuellen Stand Ihres Unternehmens im Bereich Cyber Security noch nicht? Kein Problem. Mit unserem standardisierten Vorgehen, basierend auf wissenschaftlich anerkannten Methoden, erarbeiten wir dank des Cyber Security Risk Assessments gemeinsam mit Ihnen Ihre persönliche Ausgangslage.