Krieg ohne Grenzen? (4) : Schutz und Verteidigung gegen Gefahren aus dem Cyberraum – eine gesamtgesellschaftliche Aufgabe
Die fortschreitende Digitalisierung in allen Lebens- und Wirtschaftsbereichen liefert immer neue Angriffsflächen bei fatalerweise sinkenden Kosten und steigender Attraktivität für Angreifer aus allen Bereichen. In diesem Umfeld werden nicht mehr nur Kriminalität und Konkurrenz, sondern auch Konflikte und Kriege allerorten ausgetragen. Quasi überall in der realen und virtuellen Welt drohen Gefahren und Schäden – und daher sind auch allerorten Verteidiger gefragt: vom Staat über die Wirtschaft bis hin zum informierten Bürger. Der letzte Teil unserer Reihe fasst die Auswirkungen von Cyber-Angriffen auf Unternehmen zusammen und liefert „Lessons Learned“.
Cyber-Sicherheit ist nicht nur IT-Sicherheit – dazu gehört einiges mehr. Leider wird jedoch in vielen Unternehmen die IT-Sicherheit der Cyber-Sicherheit immer noch gleichgestellt, obwohl Erstere bei einem Cyber-Angriff nur bedingt helfen kann. IT-Sicherheit ist ein wichtiger Bestandteil jedes Unternehmens, aber bei komplexen Cyber-Angriffen reicht sie alleine nicht aus. Die eigentliche Cyber-Sicherheit kommt ins Spiel, wenn die IT-Sicherheit als erste Verteidigungslinie nicht standgehalten hat.
Jedes Unternehmen muss daher Maßnahmen sowohl zur IT-Sicherheit als auch zur Cyber-Sicherheit implementieren. Zur Ersteren gehören alle Maßnahmen zur Erhaltung der Basishygiene – etwa Backup-Konzepte, Patch- und Vulnerability-Management, Hard- und Software-Sicherheit, Virenschutz, Firewalls, Endpoint- Protection, Multi-Faktor-Authentifizierung, Rollen- und Berechtigungskonzepte et cetera. Zur Cyber-Sicherheit gehören alle Maßnahmen zur Prävention von Cyber-Angriffen, wie Analyse der Cyber-Bedrohungen sowie Modi Operandi der Täter, Analyse der technischen und organisatorischen (Business-) Schwachstellen, Risk-Assessment, Konzepte zum Incident-Handling und Krisenmanagement, Simulationsübungen und regelmäßige Schulungen oder Seminare.
Eine Absicherung durch eine Cyberversicherung ist ebenfalls empfehlenswert, da Vorfallskosten häufig verfügbare finanzielle Kapazitäten übersteigen können. Darüber hinaus müssen Unternehmen für den Krisenfall gewappnet sein. Dazu gehört ein gut aufgebauter und funktionierender Krisenstab mit cyberspezifischen Notfallplänen.
Cyber-Angriff und Krisenmanagement
Was es für Unternehmen bedeuten kann, Opfer eines Cyber-Angriffs zu sein, zeigt exemplarisch das Beispiel eines Ransomware-Angriffs mit Datenabfluss, Verschlüsselung und Erpressung. Angreifer stehlen dabei relevante Unternehmensdaten und verschlüsseln Daten und Systeme – ein sogenannter „Double Strike“: Die Täter erpressen im „First Strike“ ihr Opfer und liefern im Gegenzug Software zur Wiederherstellung der Daten durch Entschlüsselung. Sollte das betroffene Unternehmen dieser Erpressung nicht nachkommen, werden die Daten im „Second Strike“ veröffentlicht oder an interessierte Dritte verkauft.
Die heutige Professionalisierung der Täter und die damit verbundenen technischen Fähigkeiten lassen kaum Spielraum für Gegenmaßnahmen: Das Eindringen in die Computernetze wird sorgfältig geplant und so unauffällig durchgeführt, dass Zugriffe auf Netzwerke und Systeme meist nicht oder zumindest zu spät bemerkt werden. In diesem Zeitraum, der in der Regel zwischen zwei Wochen und zwölf Monaten dauert, stehlen die Angreifer unbemerkt die wichtigsten und wertvollsten Daten des angegriffenen Unternehmens („Kronjuwelen“). Danach werden so viele Systeme wie möglich durch Verschlüsselung unbrauchbar gemacht. Die Angreifer hinterlassen eine Nachricht auf den verschlüsselten Systemen, um das weitere Vorgehen der Erpressung zu beschreiben. Einige Täter nennen direkt den zu zahlenden Betrag und eine entsprechende Bitcoin-Adresse als Zahlungsziel – andere fordern zur Kontaktaufnahme im Darkweb oder über gesicherte E-Mail-Systeme auf.
Die erste Woche ist entscheidend
Bei einem derartigen Angriff denken Unternehmen im ersten Moment oft nur in den Bahnen der IT-Sicherheit und vergessen, dass sie am Startpunkt einer geschäftlichen Krise stecken. Auf die kritischen Themen – wie Data-Forensics and Incident-Response (DFIR), Krisenkommunikation, Täterkommunikation, Analyse des Modus Operandi, Datenschutz, Analyse der Erpressbarkeit und Möglichkeit sowie Fähigkeit der Zahlung in Bitcoin und mögliche Wiederherstellungsmaßnahmen – sind die meisten Firmen konzeptionell nicht vorbereitet.
Die ersten 168 Stunden (7 Tage) nach dem Angriff sind dabei entscheidend für die Kostenbegrenzung und das schnelle Wiederherstellen der Arbeitsfähigkeit. Oft sind Unternehmen (besonders KMU) an dieser Stelle überfordert – dann bietet es sich an, einen erfahrenen Krisenmanager ins Boot zu holen, der die nötige Erfahrung besitzt, um in den ersten Tagen die „richtigen“ Entscheidungen zu treffen.
Dazu stellt er kritische Fragen, die nicht alle Inhaber, Unternehmer oder Führungskräfte gerne beantworten. Dabei sollten sich Unternehmen diese Fragen im Vorfeld schon stellen, um besser vorbereitet zu sein. Zu viele Aufgaben sind ansonsten in der Krise quasi gleichzeitig zu erledigen – Aufgaben, die in dieser Form nicht nur völlig neu, sondern auch zeitintensiv sind. Das reicht von einer Anzeige bei der Polizei über die Datenschutzpannenmeldung und Forensik bis hin zur Prüfung der Datensicherung – wobei meistens keine oder nicht alle Daten wiederherstellbar sind.
Es müssen Entscheidungen getroffen werden, die im Unternehmensalltag normalerweise nicht zu treffen sind: Geht man auf die Forderungen ein? Kann und/oder will man bezahlen? Wie lassen sich digitale Währungen beschaffen, und macht man sich womöglich sogar selbst strafbar? Unterfällt die Erpressung etwa der Terrorfinanzierung und unterstützt das Unternehmen dadurch Staaten, die damit ihr Waffenprogramm finanzieren? Was passiert, wenn Daten (ggf. trotz einer Zahlung) veröffentlicht werden?
Während all diese Fragen die Verantwortungsträger beschäftigen, muss auch noch irgendwie das Tagesgeschäft weiterlaufen. Kommt es zu Einschränkungen oder der Einstellung des Betriebs, müssen Kunden und Lieferanten informiert werden, was wiederum häufig zu Vertragsprüfungen und manchmal sogar zu Schadensersatzforderungen führt. In solchen Fällen können entsprechende Versicherungsverträge für Cyberrisiken, Datenschutzverletzungen und Betriebsunterbrechungen die finanzielle Last abfangen.
Fokus der Vorbereitung
Soll man sich vorab auf Prävention oder Reaktion fokussieren? Die Antwort ist einfach: auf beides! Denn nur so können Unternehmen eine Erhöhung der Cyber-Sicherheit und -Resilienz erreichen. Zur Prävention gehören Maßnahmen zur Identifikation der technischen und organisatorischen Schwachstellen gegenüber aktuellen und zukünftigen Cyber-Bedrohungen und Vorgehensweisen der Täter. Diese Schwachstellen müssen durch geeignete Maßnahmen behoben und durch organisationsübergreifende Übungen getestet werden.
Oft dienen auch Penetrationstests dazu, technische Schwachstellen zu identifizieren. Jedoch wird häufig vergessen, die gesamte Organisation – von der Governance bis hin zu kritischen Prozessen und Systemen – zu untersuchen und einem Stresstest zu unterziehen. Strategische Simulationsübungen sind ein geeignetes Tool, um den Krisenstab und seinen Aufbau zu testen, damit im Krisenfall das Unternehmen entsprechend gewappnet ist.
Überdies sind Krisenmanagement-Handbuch und Notfallpläne auf Cyber-Angriffe anzupassen – gute, auf Cyber-Angriffe ausgerichtete Notfallpläne sind essenziell, um größere Schäden zu vermeiden. Dazu gehört auch die Analyse der Erpressbarkeit: Ab wann ist das Unternehmen erpressbar? Welche Daten und Prozesse sind so kritisch, dass deren Verschlüsselung das Unternehmen erpressbar machen würde? Eine Erpressbarkeit sollte natürlich so weit wie möglich vermieden werden. Sollte das getroffene Unternehmen dennoch am Punkt der Erpressbarkeit angelangen, ist zu prüfen, ob, wie und wie schnell eine Zahlung in Digitalwährungen möglich ist und welche rechtlichen Auswirkungen damit verbunden sind.
Für den Fall, dass ein Cyber-Angriff erfolgreich ist, muss ein Unternehmen so resilient aufgestellt sein, dass es effektiv und schnell reagieren kann. Dazu gehört ein Krisenstab, der seine auf Cybervorfälle ausgerichteten Notfallpläne sofort einsetzen kann.
Fazit
Cybercrime muss heute als eines der größten Risiken für Unternehmen ernst genommen werden. Eine Verbesserung der Cyber-Sicherheit und die Resilienz gegenüber Cyber-Angriffen lässt sich nur durch eine konstante Analyse der geostrategischen sowie der Cyber-Bedrohungslage erreichen – denn die Täter missbrauchen neueste Informationstechnologie. Unternehmen sollten ihre Fähigkeit auf- oder ausbauen, um Schwachstellen zu erkennen und Schutzmechanismen zur Erhöhung der Cyber- sowie IT-Sicherheit implementieren. Cyber-Sicherheit sollte dabei als Qualitätsmanagement der Digitalisierung angesehen werden – und nicht nur als lästiger Kostentreiber.
Unternehmen müssen in Eigenverantwortung zur Erhöhung ihrer Cyber-Sicherheit beitragen, da sie durch die Globalisierung, Digitalisierung und Vernetzung Teil von langen, komplexen und kritischen Supply-Chains geworden sind. Sie müssen stärker bemüht sein, ihre Infrastrukturen und kritischen Systeme sowie Prozesse so abzusichern, dass eine sichere und bewertbare Cyber-Resilienz entsteht. Zusätzlich muss die Strafverfolgung befähigt werden, die Kernaufgabe der Repression global durchzuführen, damit illegal erbeutete Gelder festgesetzt, Täter identifiziert und festgenommen werden können.
Und zu guter Letzt müssen auch Vorstandsmitglieder sowie Aufsichtsräte zu diesem Thema sensibilisiert werden: Es nützt nur bedingt, einem CISO die Verantwortung zu übertragen, denn die unbequemen Fragen hinsichtlich Erpressbarkeit, Fähigkeit und Bereitschaft zu Zahlungen, Reputationsschäden und vielem mehr müssen Vorstand und Aufsichtsrat beantworten! Dazu sollte sich der Aufsichtsrat ernsthaft mit dem Themenfeld der Cyber-Sicherheit beschäftigen und sich einen erfahrenen Krisenmanager in das Aufsichtsgremium holen. Nur so lässt sich sicherstellen, dass Cyber-Sicherheit auf allen Ebenen einer Firma angemessen berücksichtigt und umgesetzt wird – denn Cyber-Sicherheit ist eine gemeinschaftliche Aufgabe aller Beteiligten, auch innerhalb eines Unternehmens oder Konzerns.
Dr. Stefanie Frey, Phd Department of War Studies, King`s College London, ist Geschäftsführerin der Deutor Cyber Security Solutions GmbH.