Sind Sie bereit, gehackt zu werden?

Cyberangriffe sind allgegenwärtig - ein hundertprozentiger Schutz unmöglich. Umso wichtiger ist es, sich richtig auf IT-Security-Krisenfall und die dazugehörige Kommunikation vorzubereiten. [...]

Sind Sie auf die Verteidigung im Cyberkrieg ausreichend vorbereitet? Hier lesen Sie, was Sie als (Security-) Manager tun sollten, wenn Sie gehackt wurden (c) pixabay.com

Mehr als drei Viertel des Gesamtwertes großer Unternehmen besteht heute aus geistigem Eigentum (intellectual property, IP) und anderen immateriellen Vermögenswerten. Diese sind durch Angriffe krimineller Hacker erheblich gefährdet. Gleichwohl unterschätzen manche Firmen immer noch die Cyberrisiken und sind schlecht auf IT-Sicherheitsvorfälle vorbereitet.

Heute bleiben nur noch wenige Informationen vertraulich. Whistleblower oder motivierte Insider sprechen mit den Medien oder posten Informationen über eigene Kanäle. Grundlegende Überlegungen, wie das Unternehmen in einem solchen Fall vorgeht, sollten am besten vor dem Ernstfall angestellt werden – wenn es (noch) nicht brennt. Eine Cyberattacke sollte heute zu den Szenarien gehören, auf das jedes Unternehmen vorbereitet ist.

So bereiten Sie sich darauf vor, gehackt zu werden

Krisenprävention fokussiert darauf, erste Antworten parat zu haben, wenn der Krisenfall eintritt. Dazu sollten Unternehmen:

  1. systematisch Szenarien für denkbare (und auch weniger denkbare) Krisenfälle erarbeiten – auch über Cyberattacken hinaus,
  2. mögliche Krisenfälle gedanklich durchspielen, um Schwachstellen zu finden, Abläufe zu definieren und Zuständigkeiten zu klären,
  3. sowie die gewonnenen Erkenntnisse in eine Handlungsanleitung für den Krisenfall übersetzen.

Übrigens können auch Angriffe auf die Reputation – zum Beispiel in Form von Fake News – zu einer Krise führen. Natürlich liegt die Verantwortung, über Maßnahmen zu entscheiden, bei der Unternehmensleitung. In einem solchen Fall richtig zu kommunizieren, ist dabei jedoch erfolgskritisch. Leider zeigt sich immer wieder, dass Krisen sich durch falsche oder sogar fehlende Kommunikation in der ersten heißen Phase noch verschärfen können.

Hat ein erfolgreicher Cyberangriff stattgefunden, müssen viele Dinge schnell parallel ablaufen. Mit Hilfe eines bereits vorhandenen Plans können schnellstmöglich Antworten auf folgende Fragen gefunden werden:

  • Wo liegt die Ursache für die Cyberattacke?
  • Wer zeichnet für den Angriff verantwortlich?
  • Wurden sensible Daten entwendet? Wer ist davon betroffen und muss sofort informiert werden?
  • Wie hoch ist der verursachte Schaden?

In manchen Fällen brauchen Unternehmen für die Beantwortung die Unterstützung von forensischen IT-Spezialisten. Zudem sollte im Akutfall auch juristischer Rat eingeholt werden. Liegen alle Informationen vor und ist die Gefahr gebannt, müssen die IT-Systeme wiederhergestellt und der Schadensfall dokumentiert werden.

So kommunizieren Sie, wenn Sie gehackt wurden

Neben der Abarbeitung des rechtlichen und operativen Parts sollte parallel die Kommunikation über den Sicherheitsvorfall anlaufen. Hierbei sollte das Management nicht den Fehler machen, auf Zeit zu spielen und zu hoffen, den Vorfall unter den Teppich kehren zu können. Eine offene Kommunikation, die zeitnah Mitarbeiter, Kunden, Zulieferer und andere Stakeholder informiert, schafft Vertrauen und zahlt sich aus. Über welche Kanäle die Information laufen soll, sollte ebenfalls bereits im Vorfeld geklärt werden.

Reicht es, nur betroffene Stakeholder per E-Mail zu informieren oder macht es Sinn, die Krisenkommunikation per Social Media weitreichend zu verbreiten? Bei börsennotierten Unternehmen gibt es bei entsprechender Größenordnung des Schadens auch die Publizitätspflicht mittels einer Ad-Hoc-Meldung, gegebenenfalls verbunden mit einer Pressekonferenz, um die Information der Investoren sicherzustellen.

Krisenkommunikation wird im Fall von Hackerangriffen oft zu spät bedacht oder es fehlt die Bereitschaft, in sie zu investieren. Unabhängig von der Größe eines Unternehmens können im Krisenfall eine Vielzahl von Fragen aus unterschiedlichen Quellen auf das Management einstürmen. Gut, wenn Sie darauf vorbereitet sind:

  • Wo sind Informationen zu den IT-Security-Maßnahmen zu finden, die das Unternehmen getroffen hat?
  • Gibt es Zahlen zu den Investitionen in IT-Sicherheit?
  • Wie viele Angriffe werden im Schnitt täglich abgewehrt?
  • Wieviele IT-Spezialisten und IT-Security-Experten sind im Unternehmen beschäftigt?
  • Gibt es Statements der Geschäftsleitung zur Bedeutung der IT-Sicherheit?
  • Sind in diesem Bereich Ankündigungen gemacht und umgesetzt worden?
  • Gibt es bekannte Schwachstellen in Systemen auf die beispielsweise von Mitarbeitern hingewiesen wurde?
  • Wie hat das Unternehmen auf diese Ankündigungen reagiert?
  • Sind die Systeme regelmäßig getestet worden und wenn ja, wann zuletzt?

Auch wenn die Vorbereitung auf einen möglichen Cyberangriff in „friedlichen“ Zeiten möglicherweise bei Mitarbeitern auf Unverständnis stößt, so kann sie im Ernstfall zu einem ruhigeren geplanten Ablauf verhelfen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Rainer Westermann ist Unternehmensberater für Kommunikation. Er war Unternehmensgründer und Geschäftsführer eines deutsch-amerikanischen Joint Ventures, Vorstand eines amerikanischen Softwareunternehmens, Deutschlandchef zweier internationaler Kommunikationsberatungen und für Infineon Technologies AG weltweit verantwortlich für die Kommunikation. Seit 2018 ist er Präsident des Crisis Protection Network Zürich. Er ist Dozent im Executive MBA an der TUM School of Management. Dort ist er auch seit vielen Jahren Mitglied des Executive Education Board.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*