Verantwortliche Geschäftsführungs- und Vorstandsebenen verfügen in der Regel weder über die notwendige Nähe zur IT noch über ein realistisches Risikobewusstsein. Kommt es zu einem Cyberangriff oder einem Krisenfall, so sind Unternehmen nicht nur technisch, sondern vor allem organisatorisch schlecht vorbereitet. Das hat das für ein Unternehmen schwerwiegende Konsequenzen gepaart mit hohen finanziellen Schäden.
Im folgenden Fachartikel werden häufige Fehleinschätzungen von Geschäftsleitungen betreffend Cyberangriffe und andere Krisensituationen beleuchtet. Unlängst kamen bei einem Kundentermin zwecks gegenseitigen Updates die grassierenden Cyberangriffe und ihre potentiellen Folgen für Unternehmen zur Sprache. Die Geschäftsleitung war der Ansicht, dies sei alles Sache der IT-Abteilung und ein technisches Thema.
Bewusstseinsbildung
Gegenüber Geschäftsleitungen müssen die Risiken einer erfolgreichen Cyberattacke oder anderer Krisen massiv verdeutlicht werden. Im Bereich der kritischen Infrastruktur gibt es mit der NIS/NIS 2 – Richtlinie mittlerweile eine gesetzliche Verpflichtung, Schutzmaßnahmen zu ergreifen, das zB eine sichere Wasser- und Energieversorgung, Gesundheitsversorgung etc. gewährleistet sein muss.
Ein erfolgreicher Ransomware-Angriff stellt eine digitale Atombombe dar, von Feuer, Wasser oder etwaigen Naturkatastrophen nicht zu sprechen. Man muss froh sein, wenn man sich noch physisch Zutritt zum Betrieb verschaffen kann (siehe Facebook-Ausfall). Man hat nur noch sein Mobiltelefon mit den wichtigsten Telefonnummern von Kollegen und sonst keine digitale Infrastruktur wie E-Mail, ERP-Systeme oder eine Produktionssteuerung (OT/IoT-Systeme) zur Verfügung. Vor diesem Hintergrund muss ein Betrieb von Null neu gestartet werden (können).
Paradigmenwechsel
Daher müssen sich die Geschäftsleitungs- und Vorstandsebenen mehr mit den Bedrohungen auseinandersetzen. Es ist hier Zeit für einen breit angelegten Paradigmenwechsel. Viele Vorstände sehen die Sicherheit als notwendiges Übel jenseits ihres Knowhow-Bereichs an, das man weitestgehend Experten überlassen sollte. Die wichtigen strategischen Entscheidungen – und da zugehörige Budgetfreigaben – werden aber auf Vorstandsebene getroffen. Dementsprechend müssen Notfälle oder Cybersicherheit ohne Ausnahme als Chef- oder Vorstandsaufgabe gesehen werden, die nicht nur die IT, sondern die gesamte Betriebsorganisation umfasst. Die Geschäftsleitung kommt also nicht umhin, sich zumindest einmal intensiv mit der Thematik zu befassen, die Meinung interner und externer Fachleute einzuholen, eine zukunftsorientierte Strategie zu verabschieden und die notwendigen Mittel freizugeben. Wurden diese Hausaufgaben einmal sorgfältig gemacht, langfristige Maßnahmen abgeleitet und auch die Risiko-Aufmerksamkeit der gesamten Belegschaft als wichtiges Sicherheitskriterium erkannt, kann man sich wieder eine Zeitlang dem Tagesgeschäft zuwenden.
Spätestens mit der NIS2-Richtlinie ist die Verantwortung der Geschäftsleitung in gesetzliche Regelungen gegossen. Geschäftsleitungen können gemäß dem Prinzip „Unwissenheit schützt vor Strafe nicht“ direkt zur Verantwortung gezogen werden, eine Delegierung an einen Beauftragten ist nicht mehr möglich. Bußgelder bewegen sich analog zum Datenschutz in Millionenhöhe. Die Meldefrist beträgt 24h, Updates nach 72h und 30 Tagen sind vorgeschrieben. Stichtag für die Umsetzung der NIS2-Richtlinie ist der 17. Oktober 2024.
Operative Umsetzung
Die vorgeschlagenen Maßnahmen orientieren sich an den Phasen Vorbeugen, Erkennen und Behebung/Bewältigung. Es wird ein Abriss der Handlungsfelder mit Startpunkten gegeben und kein Anspruch auf Vollständigkeit erhoben. Die Einführung von der unter Pkt. 1 genannten Normen oder der ISO 2700 / NIS2 / VdS10000 erfordern wesentlich granularere Maßnahmen.
1. Organisatorische Vorbereitung
Gehen Sie von einem Worst Case Szenario mit Feuer, Wasser oder einem schweren Cyberangriff aus. Solchen Bedrohungen begegnet man effektiv nur im Vorfeld. Existiert ein Notfallhandbuch, gibt es Pläne für Business Continuity und Desaster Recovery? Als Startpunkt wird auf zwei aktuelle Normen verwiesen.
Die DIN EN ISO 22361 ist eine Norm für betriebliches Krisenmanagement. Näheres zum Inhalt dieser kostenpflichtigen Publikation unter folgendem Link.
Der modernisierte BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Hier geht es zum Download.
Regelmäßige Audits komplettieren die technische und organisatorische Vorbereitung.
Ein interner / externer Krisenkommunikationsplan ist vorzubereiten.
2. Bildung von Notfall-Teams
Für Notfälle werden eingespielte Notfallteams für die wichtigsten Fachabteilungen wie Beschaffung, Produktion, IT oder Kundendienst benötigt. Diese Teams müssen regelmäßig trainieren und über eine robuste Notfallkommunikation verfügen.
3. Das schwächste Glied
Eine Kette ist immer nur so stark wie das schwächste Glied. Effektive Krisenresilienz oder Datensicherheit beginnt immer auf der Ebene des einzelnen Mitarbeiters. Wird hier kein entsprechendes Bewusstsein geschaffen, greifen auch die höher aufgehängten Maßnahmen weitestgehend ins Leere. Der Fokus sollte nicht ausschließlich auf der typischen Infrastruktur wie Büro, Arbeitsplatzrechner, Smartphone oder Server-Architektur liegen. Bei der Bewältigung von Krisen sind lange Verfügbarkeiten von Mitarbeitern notwendig. Familiäre Verpflichtungen in Haushalt und bei der Kinderbetreuung sind zu berücksichtigen, sonst stehen die Mitarbeiter nicht zur Verfügung.
4. Digitale Basishygiene
Vor dem Hintergrund der wahrscheinlichsten Krise, dem erfolgreichen Cyberangriff, sind folgende Maßnahmen empfohlen. Angefangen mit einer Clean Desk Policy, einem sicheren Identitätsmanagement und sicheren Passwörtern mit Multifaktor-Authentifizierung (wenn möglich auch schon FIDO2/Passkeys) sind ein Muss. Die Verwendung eines robusten Passwortmanagers kostet wenig und bringt nach Schulung der Mitarbeiter viel. Das Bewußtsein der Mitarbeiter für ihr Verhalten im Social Media Bereich muß geschärft oder das Erkennen von Social Engineering Cyber-Attacken (Phishing etc) trainiert werden.
5. Standort- / Abteilungsübergreifende Maßnahmen
Es müssen alle Standorte und Abteilungen bei der Erstellung eines Notfallplans miteinbezogen werden. In möglichst multidisziplinären Teams muss das Wissen der Mitarbeiter zur Bewältigung einer Krise vorab dokumentiert werden.
6. Anlassfall – Erhebung Status Quo
Welcher Krisenfall liegt vor – Cyberangriff, Feuer, Wasser, andere Naturkatastrophen? Ist eine (eingeschränkte) Fortführung des Betriebes möglich. Ist das Büro noch benutzbar, welche Kommunikationswege funktionieren noch (Festnetz, Mobilfunk, Internetleitung, E-Mail, Kollaborationstools, Ablagen, ERP-Systeme). Anforderung externer Dienstleister (zB Incident Response bei Cyberangriffen).
7. Erste Schritte – Sofortiger Handlungsbedarf
Ein Krisenplan wird in Kraft gesetzt und intern/extern kommuniziert. Krisenteams treffen sich. Abhängig von Betriebsart (Produktionsbetrieb, Dienstleister etc) sind an Hand von vorbereiteten und trainierten(!) Checklisten Maßnahmen einzuleiten. Für die Krisenteams ist ein sauberer Ersatz Netzwerk- und Internetzugang zu schaffen. Bei durch einen Cyberangriff kompromittierter IT-Infrastruktur greifen die Krisenteams auf vorbereitete saubere Ersatzlaptops mit Ersatz-E-Mail-Postfächern zurück.
8. Bewältigung der Krise
Abhängig vom Krisenfall werden Wiederherstellungsmaßnahmen eingeleitet. Als Anleitung wird auf Pkt. 1 verwiesen. Der modernisierte BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Unter dem Stichwort Desaster Recovery finden sich im Netz mannigfache Ressourcen.
9. Externe Krisenkommunikation – Erforderliche Meldungen
Die vorbereiteten Vorlagen für entsprechende Krisenfälle werden noch auf den spezifischen Anlassfall angepasst und für die jeweilige Zielgruppe (Öffentlichkeit – Presse/TV, Mitarbeiter, Lieferanten, Kunden etc.) angepasst und ausgesendet. Time is of the essence – in der Krisenkommunikation wird das Narrativ vom Erstkommunizierenden bestimmt. Vermeiden Sie in Folge unvollständiger Information Rückfragen, die in die Defensive treiben. Nur so gelingt es Reputationsschäden gering zu halten.
Die Grundsätze der Krisenkommunikation sind:
• Auf Krisen vorbereitet sein (Plan und Vorlagen vorhanden?)
• Die ersten Stunden entscheiden (Narrativ!)
• Fakten töten Mythen
• Völlige Transparenz
• Nur einer spricht
• Jede Aussage muss 100% abgesichert und richtig sein
• Sofort und durchgehend erreichbar sein
• Interne Kommunikation
• Mitgefühl zeigen
Abhängig von der Branche sind Meldungen an die zuständigen Behörden zu erstatten.
Conclusio
Oft werden die Verantwortlichen erst durch Schaden klug. Es ist deshalb schon im Vorfeld die richtige Strategie zu etablieren und die richtigen Maßnahmen abzuleiten. Hierbei sollte auch auf der Gesellschafter- oder Aufsichtsratsebene Bewußtsein geschaffen werden und notwendige unangenehme Fragen in der Gremienarbeit gestellt werden.
Für Rückfragen stehe ich gerne jederzeit zur Verfügung.
Mag. Markus Lenotti
Geschäftsführer
Lenotti Advisors GmbH
Neueste Kommentare