Auf Angriff folgt Erschöpfung : Die psychischen Auswirkungen von Ransomware-Vorfällen auf Mitarbeiter
Bei der Bewältigung eines Ransomware-Angriffs durchlaufen Mitarbeiter verschiedene Phasen, die von hohem Stress in der ersten Woche über anhaltenden Druck im ersten Monat bis hin zu erhöhter Anspannung im ersten Jahr reichen. Das führt sowohl zu körperlichen Symptomen als auch zu psychischen Problemen.
Man könnte meinen, dass wir inzwischen alles über das Phänomen Ransomware wissen. In vielerlei Hinsicht ist das auch richtig: Wir verstehen heute viel besser, wer die Urheber von Ransomware-Angriffen sind, welche Methoden sie anwenden, wie wir unsere IT-Systeme so aufbauen können, dass sie vor Ransomware-Angriffen geschützt sind, wie wir Systeme nach einem Angriff forensisch analysieren können und wie sie sich möglichst schnell und sicher wiederherstellen lassen.
Aber was ist mit der menschlichen Seite? Hat Ransomware auch unsichtbare – vielleicht sogar langfristige – Auswirkungen auf die Betroffenen? Mit welchen psychischen Folgen von Ransomware-Vorfällen muss man rechnen und – eventuell noch wichtiger – was kann man tun, um die negativen Konsequenzen von Cyber-Attacken auf das Wohlbefinden der betroffenen Mitarbeiter zu minimieren? Die Verhaltensforscher von Northwave haben eine Studie durchgeführt, um Einblicke in die psychischen Auswirkungen von Ransomware-Angriffen zu gewinnen. Denn anhand von Beobachtungen bei Kunden vor Ort, die einen Vorfall hatten, hat die Autorin festgestellt, dass es hauptsächlich um die schnelle Wiederherstellung von Daten ging und um die Aufnahme eines Notbetriebs – dem psychischen Zustand der IT-Mitarbeiter wurde dabei oft nicht viel Aufmerksamkeit geschenkt. Die Ursache hierfür ist der enorme Druck, der auf allen liegt – die Betroffenen arbeiten oft, ohne sich die hohe Belastung anmerken zu lassen. Bei vielen treten erst später erkennbare Folgen der Krise auf. Die Untersuchung bestand aus drei Teilen und bezog alle wichtigen Akteure im Rahmen der Angriffe ein:
- Gruppe 1: Zunächst wurden die Mitarbeiter des eigenen Computer Emergency Response Teams (CERT) anhand von Fragebögen zu ihren Erlebnissen befragt.
- Gruppe 2: Im nächsten Schritt wurden ausführliche Interviews mit Führungskräften und IT-Managern von Unternehmen, die Opfer von Ransomware geworden waren, durchgeführt.
- Gruppe 3: Schließlich füllten insgesamt 315 Mitarbeiter dieser Unternehmen einen Fragebogen aus: darunter solche, die direkt an der Reaktion auf den Ransomware-Angriff beteiligt waren (30 %), solche, die indirekt beteiligt waren oder eine unterstützende Funktion hatten (30 %) und solche, die nicht direkt an der Reaktion auf den Angriff beteiligt waren (40 %).
Wenn Menschen an die Akteure hinter Ransomware-Angriffen denken, stellen sie sich oft einen Nerd vor, der irgendwo allein in einer Dachkammer sitzt. Solche Vorstellungen entsprechen jedoch nicht mehr der Realität. Vielmehr haben Unternehmen es heute mit Ransomware-Gruppen zu tun, die hochprofessionell agieren und über beträchtliches Know-how verfügen. Ihre raffinierten Vorgehensweisen machen die Wiederherstellung von Daten nach einem Angriff schwierig und zeitaufwendig. Betroffene Unternehmen sind in der Regel nicht nur ein oder zwei Tage offline, sondern im Mittel 23 Tage. Es dauert also durchschnittlich mehr als drei Wochen, bis die Basissysteme wieder betriebsbereit sind.
Während dieser langen Ausfallzeit herrscht Unsicherheit über die Zukunft; niemand weiß, ob das Unternehmen überleben wird. Viele hochrangige Führungskräfte sind es gewohnt, unter hohem Druck zu arbeiten, wenig zu Hause zu sein und komplexe Entscheidungen unter unklaren Umständen zu treffen. Dagegen sind andere Beteiligte, wie etwa Mitglieder des IT-Teams oder die für die Krisenkommunikation zuständigen Mitarbeiter, in der Regel nicht an den starken Druck, die enorme Verantwortung und die immense Arbeitsbelastung gewöhnt. Daher kann man sich leicht vorstellen, dass diese schwierige Zeit große Auswirkungen auf die Psyche der Menschen haben wird.
Chronologie der psychischen Auswirkungen
Die psychischen Auswirkungen von Ransomware-Angriffen lassen sich grob in drei Phasen einteilen. Diese umfassen in etwa die erste Woche nach einem Angriff, den ersten Monat und das erste Jahr nach dem Angriff.
Krise (Phase 1, Woche 1)
In der ersten Woche nach einem Ransomware-Angriff steht oft das gesamte Unternehmen still. Es herrschen Krisenstimmung und Chaos. Die IT-Abteilung, die Geschäftsleitung und das CERT arbeiten 12 bis 16 Stunden pro Tag, auch an den Wochenenden. Zu diesem Zeitpunkt erscheint den meisten Teammitgliedern alles noch machbar, da der Adrenalinspiegel bei allen extrem hoch ist. Doch der Druck ist enorm. Ein IT-Manager formulierte es in einem Gespräch so: „Ich glaube, wir haben sämtliche Phasen des Trauerprozesses durchlaufen. Ich hätte vor Wut fast eine Glastür eingetreten.“
Viele im Unternehmen fühlen sich machtlos; sie sind motiviert und wollen helfen, wissen aber nicht, wie und wo sie ansetzen sollen. Oft dominieren Schuldgefühle, die sich in Aussagen wie „Wir hätten das kommen sehen müssen“ und „Wir hätten mehr tun müssen, um so etwas zu verhindern“ äußern. Am häufigsten ist vielleicht das Gefühl der Sorge, nicht zuletzt um den eigenen Arbeitsplatz, wenn die Unternehmensleitung die Schuldfrage zu stellen beginnt.
Der Stress, die unregelmäßigen Arbeitszeiten sowie der Verzehr von Junkfood führen in dieser Situation zu zahlreichen körperlichen Beschwerden. Dazu gehören Kopfschmerzen (44 % der direkt an der Entschärfung des Angriffs beteiligten Mitarbeiter und 48 % der CERT-Mitarbeiter), Nacken- und Rückenschmerzen (30 % der direkt beteiligten Mitarbeiter und 34 % der indirekt beteiligten Mitarbeiter) und Schlafstörungen (63 % der direkt beteiligten Mitarbeiter, 52 % der indirekt beteiligten Mitarbeiter und 52,4 % der CERT-Mitarbeiter). IT-Leiter und -Manager erwähnten in den Interviews auch hohen Blutdruck, der in einem Fall sogar zu einem Herzinfarkt führte. Diese Symptome machen deutlich, wie wichtig regelmäßige Pausen sind. So hält es die Mehrheit (86 %) der CERT-Mitarbeiter für sehr wichtig, Pausen einlegen zu können und Zeit zum Entspannen zu haben.
Oft werden diese ersten Symptome psychischer Probleme jedoch ignoriert: Die Menschen sind im Krisenmodus und achten deshalb wenig auf die möglichen Auswirkungen auf ihr Wohlbefinden. Allerdings kommt es auch zu den ersten Ausfällen: Zwei von neun IT-Managern berichteten, dass sie IT-Mitarbeiter wegen völliger Erschöpfung nach Hause schicken mussten. Diejenigen, die am Ball bleiben, greifen zu verschiedenen Mitteln, um durchzuhalten: So gaben IT-Leiter und -Manager an, dass sie sich mit Essen oder Trinken trösteten, und einige fingen sogar wieder an zu rauchen.
Das war nur die erste Woche und das Licht am Ende des Tunnels ist noch lange nicht in Sicht.
Von der Krise zum Vorfall (Phase 2, 1. Woche bis 1. Monat)
Nach der ersten Woche sind die grundlegenden Funktionen wieder verfügbar, aber die meisten wichtigen Prozesse laufen noch nicht oder sind lediglich manuell ausführbar. Das IT-Team muss sich nun nicht nur um die Wiederherstellung aller IT-Systeme kümmern, sondern auch um den Support der bereits wieder funktionierenden Systeme.
An diesem Punkt geht das Adrenalin zur Neige. Die Kollegen sind erschöpft – gleichzeitig steigt der Stress weiter an. Nun kommt auch der private Druck hinzu, denn die Familien verstehen oftmals nicht, warum das Privatleben derart vernachlässigt wird und die Mitarbeiter sogar wichtige Anlässe wie zum Beispiel das Weihnachtsfest verpassen. 48 Prozent der CERT-Mitarbeiter gaben an, dass sie Schuldgefühle gegenüber Familie und Freunden entwickelten. Ein IT-Manager erzählte: „Ich musste mich zu Hause bei meiner Frau und meinen Kindern stark zusammenreißen. Ich war wie ein anderer Mensch, weil ich so viel gearbeitet hatte. Zu Hause war ich fürchterlich angespannt.“
Der Druck kommt in dieser Phase auch von Kollegen, die nicht direkt an der Bewältigung des Angriffs beteiligt sind. Warum dauert die Wiederherstellung so lange? Warum müssen plötzlich alle Mitarbeiter neue Passwörter erstellen und Zwei-Faktor-Authentifizierung verwenden? Das IT-Team hat noch alle Hände voll zu tun, um die Angriffsfolgen zu beseitigen, doch die Kollegen beginnen bereits wieder, Fragen zu regulären Projekten zu stellen. Das führt bei 60 bis 75 Prozent der direkt oder indirekt Betroffenen zu negativen Gedanken und Unsicherheiten. Und selbst von den nicht betroffenen. Mitarbeitern berichtete etwa die Hälfte, dass sie Grübeleien nachhingen.
Gegen Ende des ersten Monats ist die heiße Phase der Krise vorüber. Da die meisten Systeme nun wieder funktionieren, sind alle CERT-Mitarbeiter von Northwave abgezogen und das IT-Team des Unternehmens arbeitet allein weiter. Die psychischen und psychosomatischen Auswirkungen der Krise treten jetzt immer deutlicher zutage. Schlafstörungen (40 %), Kopfschmerzen (29 %) und Müdigkeit (57 %) bleiben bei denjenigen, die direkt an der Behebung des Angriffs beteiligt waren.
Darüber hinaus gab etwa jeder vierte Mitarbeiter an, immer wieder starke Gefühle wie Wut und Traurigkeit zu empfinden. Zwei der neun befragten Manager berichteten, dass sie rund 7 bis 10 Kilo zunahmen, weil ihnen die Zeit für Sport und Entspannung fehlte. Ein CIO erzählte: „Ich dachte nur noch an die Arbeit, und selbst wenn ich frei hatte, hatte ich keine Energie mehr für Hobbys. Wenn ich trotzdem irgendetwas unternahm, das mir Spaß machte, hatte ich ein schlechtes Gewissen wegen der Situation auf der Arbeit. Ich hatte das Gefühl, nirgends gerecht werden zu können.“ Und noch immer ist nicht alles ausgestanden.
Vom Vorfall zum Projekt (Phase 3: 1. Monat bis 1. Jahr)
Mehr als einen Monat nach dem Angriff läuft der Betrieb allmählich wieder normal. Das IT-Team hat allerdings immer noch mit der Wiederherstellung im weiteren Sinn zu tun. Diese ist zu einem Projekt geworden: Implementierung verbesserter Sicherheitsmaßnahmen, Wiederherstellung der letzten Systeme, Migration anderer Systeme – ein Ende ist nicht Sicht. Wenn außerhalb der Bürozeiten das Telefon klingelt, scheint immer noch jeder aufzuschrecken: „Ist es wieder passiert?“
Da für die meisten anderen Mitarbeiter wieder „business as usual“ herrscht, beginnen sie die Krise allmählich zu vergessen. Das Mitgefühl für das IT-Team lässt nach. Die IT-Mitarbeiter sind jedoch nach wochenlanger Krisenarbeit und monatelangem Druck weiter erschöpft. Und da Mitgefühl und Verständnis der Kollegen abnehmen, fällt es ihnen schwer, über ihre Erfahrungen zu sprechen. Solche langfristigen Folgen wirken sich auf die Fluktuation aus: 18 Prozent der direkt von einem Angriff Betroffenen gaben an, dass sie einen Stellenwechsel in Erwägung gezogen haben oder noch in Erwägung ziehen. Dabei ist zu beachten, dass die Fragebögen durch die Unternehmen selbst an die Mitarbeiter verteilt wurden, sodass Personen, die ihren Arbeitgeber verlassen haben, möglicherweise nicht in der Stichprobe enthalten sind. Darüber hinaus berichtete mehr als die Hälfte der Manager und IT-Mitarbeiter in den Interviews, dass mehrere Beschäftigte Monate oder gar ein Jahr nach dem Angriff über einen längeren Zeitraum abwesend waren.
Die Krise ist also abgeklungen, aber die unsichtbaren Folgen hinterlassen weiterhin ihre Spuren, und diese sind gravierend. Der Angriff hat dauerhafte Auswirkungen auf die Weltsicht der Mitarbeiter. Zwei Drittel der Beschäftigten, selbst solche, die gar nichts mit dem Angriff zu tun hatten, halten die Welt jetzt für sehr gefährlich. So erklärte ein IT-Verantwortlicher: „Ich bin viel misstrauischer gegenüber der Außenwelt geworden. Dort lauert viel Böses.“
Es überrascht nicht, dass der Angriff immer noch ein emotional aufgeladenes Thema ist. Die Hälfte der befragten IT-Manager und CEOs gaben an, dass es ihnen schwerfalle, darüber zu sprechen: „Ich merke, wie mir die Tränen kommen.“ Auch Monate nach dem Angriff zeigt etwa jeder siebte Mitarbeiter, der direkt oder indirekt betroffen war, Symptome, die so stark sind, dass sie über der klinischen Schwelle liegen, bei der professionelle Hilfe zur Traumabewältigung erforderlich ist. Ein IT-Leiter gab zu: „Das ist das Schlimmste, was mir je passiert ist. Ich habe immer noch enorme Schuldgefühle.“ Zugleich brachten die befragten Mitarbeiter auch ihre Bedürfnisse klar zum Ausdruck. Ein Fünftel gab an, dass man sich mehr professionelle Hilfe gewünscht hätte, um mit dem Erlebten zurechtzukommen. Und jeder Dritte hätte gern mehr Wissen und konkrete Strategien gehabt, um die psychischen Folgen des Angriffs zu bewältigen.
Positive Effekte
Trotz der enormen negativen Auswirkungen von Ransomware-Angriffen berichteten die Befragten auch von positiven Effekten, die sie durch die Krise erfahren haben. In vielen Fällen hat beispielsweise die IT-Abteilung endlich die Möglichkeit, längst überfällige Sicherheitsmaßnahmen umzusetzen, da das Unternehmen der Cybersicherheit nun eine höhere Priorität einräumt. Verbesserungen der Sicherheit, die lange hinausgeschoben worden waren, lassen sich im Rahmen der Wiederherstellung der IT-Systeme zügig realisieren. Und auch wenn bei den untersuchten Fällen einige Kollegen kein Verständnis für den Stress hatten, unter dem die IT-Abteilung stand, zeigten sich andere hilfsbereit, brachten den Mitarbeitern an den langen Arbeitstagen in den ersten Krisenwochen Snacks mit und erkundigten sich, wie es ihnen ging. Tatsächlich gaben 44 Prozent der Befragten an, dass sich die Zusammenarbeit erheblich verbessert habe, und jeder fünfte von Ransomware-Angriffen betroffene Mitarbeiter
erklärte, dass er sich seinen Kollegen jetzt „enger verbunden als je zuvor“ fühle. Ein IT-Leiter sagte: „Der Angriff war eine der besten Teambuilding-Aktivitäten, die wir je hatten“.
Wichtige Lehren
Die Ergebnisse der Studie unterstreichen die aktive Rolle des Managements bei der Bewältigung der sichtbaren und unsichtbaren Folgen von Ransomware-Angriffen. Konkret können Führungskräfte ihre Mitarbeiterinnen und Mitarbeiter durch folgende Maßnahmen unterstützen:
- Sie sollten in Phase 1 für regelmäßige Check-ins sorgen. Einen Marathon kann man nicht im Sprinttempo laufen, und ein Ransomware-Angriff ist ein Marathon. Führungskräfte müssen sicherstellen, dass die Mitarbeiter regelmäßig Pausen machen und in Schichten arbeiten. Menschen fühlen sich verantwortlich, und manche wird man dazu auffordern müssen, sich Auszeiten zu nehmen. Zudem sollte man im Blick behalten, welche Bewältigungsstrategien die Mitarbeiter anwenden, denn ungesunde Strategien sind keine Seltenheit.
- In Phase 2 ist es wichtig, die Arbeitsbelastung des Notfallteams vernünftig zu regeln. Dabei sollte das Management zwischen störfallbezogenen und regulären Aufgaben unterscheiden. Wenn möglich sind für die regulären Aufgaben zusätzliche Mitarbeiter einzusetzen. Zudem sollte man für alle einen Rhythmus schaffen, bei dem Ruhe- und Erholungszeiten sichergestellt sind.
- In der Phase 3 sollten die Führungskräfte Bewertungen durchführen. Die Wahrscheinlichkeit, dass viele der von dem Angriff betroffenen Personen psychische Symptome entwickeln, ist sehr hoch. Da das Zusammengehörigkeitsgefühl unter den Kollegen wächst, kann ein wirksames Instrument darin bestehen, ein offenes Umfeld zu schaffen, in dem regelmäßig über die negativen Gefühle gesprochen werden kann. Die Menschen möchten über das reden, was geschehen ist und was es für sie bedeutet, und wenn sie diese Möglichkeit bekommen, kann das enorm hilfreich sein.
Fazit
Ransomware-Angriffe haben nicht nur finanzielle und technische Folgen, sondern auch psychische Auswirkungen auf die Betroffenen wie Schuldgefühle, Schlafstörungen oder Angstzustände. Unternehmen sollten sich dessen bewusst sein und ihren Mitarbeitern mit unterstützenden Maßnahmen zur Seite stehen.
Eileen Walther leitet als Country Managerin bei Northwave Cyber Security seit 2020 die deutsche Niederlassung in Leipzig. E-Mail: eileen.walther@northwave-security.com