Wer nichts sagt, bleibt stumm : Über die riskante Unart, Vorfälle totschweigen zu wollen – und wie man es besser macht

Von Ralph Dombach, Germering

Kommunikation von Mensch zu Mensch ist schwierig – die Kommunikation zu einem Thema, stellvertretend für ein Unternehmen, ebenso! Manch einer folgt dem Ratschlag des Kabarettisten Dieter Nuhr: „Wenn man keine Ahnung hat: Einfach mal die Fresse halten.“ Andere hingegen beziehen Stellung, ohne im Detail zu wissen, wie es sich verhält. Jede dieser Strategien kann sich negativ auf das Image auswirken, was manche Politiker sicher gerne bestätigen.

Unternehmen können zwar für verschiedenste „Vorkommnisse“ detaillierte Verhaltensregeln aus der Schublade ziehen – doch die Schublade für IT-Sicherheit ist oft leer oder mit überalterten Kommunikationsanweisungen gefüllt. Die Einsicht, dass auch die IT-Sicherheit – nach außen wie nach innen – einer Unternehmenskommunikation bedarf, setzt sich erst langsam durch, wie viele (meist negative) Beispiele belegen.

Verkorkst versus verstanden

Etwa bei Uber: Im November 2017 bezog der CEO des Fahrdienst-Vermittlers Uber, Dara Khosrowshahi, in einem Beitrag im Newsroom des Unternehmens Stellung zu einem umfangreichen Datendiebstahl, der sich bereits im Jahr 2016 ereignet hatte (www.uber.com/newsroom/2016-data-incident/). Weder die 57 Millionen Betroffenen noch die Behörden waren zeitnah informiert worden – stattdessen bezahlte man den Angreifern rund 85.000 €, damit diese die gestohlenen Daten vernichten. Nachdem der Vorfall öffentlich wurde, musste unter anderem der Chief-Security-Officer (CSO) das Unternehmen verlassen.

KRACK: Die unter der Abkürzung KRACK bekannt gewordene Schwachstelle zur „Key-Reinstallation-Attack“ betrifft das Schlüssel-Management des WLAN-Standards WPA2 und damit eine elementare Sicherheitsfunktion. Erfreulicherweise war von einschlägigen Herstellern teilweise in Tagesfrist ein Patch verfügbar, der das Sicherheitsloch stopfte. Die Kommunikation war jedoch höchst unterschiedlich und stark abhängig vom jeweiligen Anbieter. Positiv fiel hier etwa Netgear auf: Der Hersteller kommunizierte zeitnah und informierte umfassend von Oktober bis Dezember 2017 (vgl. „Revison History“ in https://kb.netgear.com/000049498/SecurityAdvisory-for-WPA-2-Vulnerabilities-PSV-2017-2826-PSV2017-2836-PSV-2017-2837).

Imgur: Am 23. November 2017 informierte der Sicherheitsforscher Troy Hunt den amerikanischen Bilder-Hostingservice Imgur darüber, dass bereits 2014 die Benutzerdaten von rund 1,7 Millionen Anwendern gestohlen wurden. Betroffen waren auch hier, wie so oft, E-Mail-Adressen und Passwörter – jedoch beispielsweise keine Realnamen, da diese von Imgur nicht abgefragt wurden. Trotz des amerikanischen Feiertags Thanksgiving wurde der Chief-Operating-Officer (COO) unmittelbar aktiv und informierte den CEO und man entschied, was zu tun sei. Dazu zählte unter anderem auch die Publikation des Vorfalls im Unternehmens-Blog am folgenden Tag, dem 24. November (https://blog.imgur.com/2017/11/24/noticeof-data-breach/). Jahre nach dem eigentlichen Vorfall, der vermutlich auf die Nutzung eines veralteten Algorithmus (SHA-256) zurückzuführen war, konnte man sicherlich nicht mehr viel Schadensbegrenzung betreiben, aber die Unternehmenskommunikation hat funktioniert. Dies lobte auch Hunt, der auf den Datendiebstahl aufmerksam gemacht hatte, via Twitter (https://twitter.com/troyhunt/status/934210919508336640).

Assume the Breach

Datendiebstähle werden sich auch zukünftig nicht verhindern lassen – und dürften mit der zunehmenden Menge gespeicherter Daten und genutzter Dienste in der Cloud vermutlich noch an Brisanz zunehmen. Ebenso muss man davon ausgehen, dass bei der Vielzahl von neuen Smartphone-Apps und PC-Programmen die Anzahl der Programmierfehler zunimmt und damit auch die Verletzlichkeit gegenüber Cyberdelikten: Knappe Entwicklungsbudgets, kurze Testphasen (aka „Bananen-Software – reift beim Kunden!“) und Programmierer, die – wenn überhaupt – zu kurz bezüglich sicherer Programmierung ausgebildet wurden, tragen dazu bei, die Situation zu verschärfen.

Es ist also keine Frage, ob man im Unternehmen irgendwann mit einem Datendiebstahl oder einer riskanten Schwachstelle konfrontiert wird – die Frage lautet vielmehr, wann das sein wird und wie man darauf reagiert!

Dabei gilt es, unterschiedliche Vorkommnisse zu bewerten und passend zu reagieren. Einen Vorschlag, wie dies im Security-Umfeld aussehen könnte, liefert Tabelle 1. Dabei steht „ja“ für eine generelle Information der jeweiligen Stelle(n), um den oder die Betroffenen vor Schäden zu bewahren oder rechtlichen Anforderungen gerecht zu werden. Bei „eventuell“ kann eine Weitergabe der Information abhängig von der konkreten Situation möglicherweise sinnvoll sein – „individuell“ bedeutet, dass vorab eine unternehmensspezifische Entscheidung unter Berücksichtigung von Aspekten wie (branchen-)rechtlichen Anforderungen, Aufwand, Nutzen, Auswirkungen auf das eigene Image et cetera erfolgen sollte.

Wie ersichtlich, ist der Worst Case, bei dem es zu einem Cybervorfall (Datendiebstahl, Datenverfälschung, Finanzbetrug etc.) kommt, am schwierigsten zu behandeln: Hier greifen die unterschiedlichsten Interessen ineinander, die alle gegeneinander abzuwägen sind.

So müssen etwa Betreiber kritischer Infrastrukturen (KRITIS) über die allgemeine Gesetzgebung hinaus weitere Regelungen berücksichtigen – allem voran das IT-Sicherheitsgesetz nebst KRITIS-Verordnung. Aber auch der CEO beziehungsweise Geschäftsführer wird sicherlich ein Wort mitreden wollen, ja sogar müssen, denn er vertritt das Unternehmen gegenüber den Aktionären oder Besitzern und muss hier sowohl gesetzeskonform agieren als auch das Unternehmen vor Imageschäden, Regressansprüchen und Umsatzeinbußen et cetera schützen.

Im Übrigen ist auch hierbei keine statische Festlegung möglich – die Entscheidungen müssen vielmehr regelmäßig auf den Prüfstand: Kommt es beispielsweise bei einem Datendiebstahl zum widerrechtlichen Abfluss besonders sensibler Daten, regelt derzeit in Deutschland noch das Bundesdatenschutzgesetz (§ 42a BDSG) die Meldepflicht bei der zuständigen Datenschutzaufsichtsbehörde. Ab Ende Mai „übernimmt“ die EU-Datenschutzgrundverordnung (DSGVO) – mit Art. 33 hinsichtlich der Meldung an die Datenschutzaufsichtsbehörde und Art. 34 bezüglich der Information an Betroffene.

Interne Interaktion

Bei der Security-Kommunikation sollte man sich unbedingt auch den Mitarbeitern widmen – dabei ist jedoch zwischen Angestellten (eigenen Mitarbeitern) und Dienstleistern/Freelancern zu unterscheiden: Eröffnet beispielsweise ein Freelancer, der einen Versionswechsel bei einer Datenbank für das beauftragende Unternehmen durchführt, eine Möglichkeit zum Datendiebstahl durch Dritte: Wer meldet den Vorfall und wer haftet für Schäden? Was geschieht, wenn der gegebenenfalls unmittelbar freigestellte Freelancer den Vorfall „an die große Glocke hängt“? Was geschieht, wenn man als betroffenes Unternehmen keinen Handlungsbedarf sieht und nichts meldet? Ist man dann erpressbar?

Was passiert, wenn wegen eines eigenen HR-Mitarbeiters eine Ransomware von seinem Dienst-Laptop, der widerrechtlich auch privat genutzt wurde, auf einmal eine Vielzahl von Bewerbungsschreiben im zentralen Bewerbungs-Directory verschlüsselt? Wie reagiert man als Unternehmen darauf im Innenverhältnis? Die technische Seite, die versucht, die Verschlüsselung rückgängig zu machen, ist eine eher „digitale“ Aktion (geht / geht nicht) – die Kommunikation bei so einem Security-Vorfall eine ganz andere Herausforderung!

Eine Karte, die dann gern gezogen wird, sind die entsprechenden Arbeitsverträge, die genau definieren, was erlaubt ist und was nicht. Würden sich alle daran halten, wäre das Risiko, einen Cybervorfall zu erleiden, sicherlich deutlich reduziert. Aber Mitarbeiter erledigen eben dringende Arbeiten auch privat über das Wochenende daheim und Freelancer besorgen sich auf inoffiziellen Wegen ein Tool, um bei ihrer Arbeit schneller voranzukommen. Oft fehlt in solchen Fällen jegliche boshafte Absicht.

Andererseits: Auch wenn ein Verstoß durch einen Mitarbeiter, Dienstleister oder Dritten/Partner vorliegt – die Öffentlichkeit wird hier nicht unterscheiden! Dort ist es in aller Regel das Unternehmen, das „geschlampt“ hat und dem der Fehler angekreidet wird. Hier richtig zu reagieren und die korrekten Sachverhalte in der internen und externen Kommunikation darzustellen, ist schwierig – und sollte daher nicht aus dem Stegreif heraus erfolgen!

Der goldene Weg

Generell sollte man bei einem Vorfall vier Ziele verfolgen:

• die Schäden für das betroffene Unternehmen so gering wie möglich halten
• betroffene Personen/Daten/Geheimnisse nachträglich bestmöglich schützen oder entlasten
• die Kommunikation aktiv starten und steuern (intern wie extern)
• relevante Schwachstellen analysieren, beseitigen und den Einsatz von Rechtsmitteln gegen den/die Täter prüfen

Bei allen Punkten ist eine Zusammenarbeit zwischen mehreren Verantwortungsbereichen erforderlich: Neben der Geschäftsleitung gehören auch der Datenschutzbeauftragte, die Rechtsabteilung, die Unternehmenskommunikation und die IT-Security zum Team. Für die ersten beiden Ziele muss man gemeinsam eine zeitnahe Lösung beziehungsweise Bearbeitungsstrategie erarbeiten – den dritten Punkt kann eventuell die Unternehmenskommunikation übernehmen, benötigt dazu aber auch fundierten Input.

Für das vierte Ziel („Aufräumen und Nachsorge“) ist einerseits die IT-(Security)-Abteilung zuständig, die eine unmittelbare Beseitigung der Schwachstelle erarbeiten muss. Bei Bedarf können hier der Datenschutzbeauftragte und die Rechtsabteilung unterstützen, die – je nach Vorkommnis – zwingend einen Strafantrag stellen sollte.

Dabei ist besonders darauf zu achten, Hinweise auf die Vorgehensweise der Tat, aber auch Informationen zu Personen, Daten und Geheimnissen, die damit im Zusammenhang stehen, in gerichtsverwertbarer Form zu sichern. Da dieses Spezialwissen nicht unbedingt innerhalb der IT vorhanden ist, sollte man sich nicht scheuen, hier Experten zu Rate zu ziehen.

Je schneller eine Tat entdeckt wird, umso größer ist die Chance, Daten zu gewinnen, die zweckdienliche Hinweise liefern – mit diesen kann dann auch die Unternehmenskommunikation eine korrekte und informative Kommunikation starten. Das Ziel ist es dabei, die Stakeholder zu informieren, aber nicht Cyberkriminelle zu animieren, das Unternehmen weiter zu attackieren.

Simple Worthülsen sind hierbei nicht geeignet, um das Vertrauen der Kunden, Partner und Mitarbeiter zu stärken – ebenso wenig helfen detaillierte Analyseergebnisse auf technischer Ebene. Erfolgversprechender ist eine solide Information nach dem Notrufprinzip, bei dem fünf „Ws“ zu beachten sind: wer, wo, was, wie viele und welche (vgl. Tab. 2).

Dabei sollte man diese Aufgabe nicht unterschätzen: Einen informativen Text zu verfassen, der informiert, ohne zu verdächtigen, und der pragmatische Lösungen aufzeigt, ist nicht leicht. Vor allem in einer frühen Phase, wenn der Vorfall entdeckt wird, läuft vieles mitunter unkoordiniert ab. Hier wäre es überaus dienlich, wenn das Unternehmen über eine Art „Emergency-Response-Team“ für die Krisenkommunikation verfügt, das die einbezogenen Verantwortungsbereiche (CEO, Rechtsabteilung etc.) unterstützt und Aktivitäten koordiniert. Prinzipiell ist es auch schon sehr nützlich, wenn abgestimmte Textbausteine existieren, auf die man bei der Erstellung von Mitteilungen zurückgreifen kann.

Eine schnelle Information kann dabei überlebenswichtig sein – bevor sich am Markt der Eindruck etabliert, dass womöglich etwas unter den Tisch gekehrt werden soll und die IT-Sicherheit beim betroffenen Unternehmen nur nachlässig „gelebt“ wird. Welche Auswirkungen dies haben kann, zeigt unter anderem der Datendiebstahl bei Yahoo aus den Jahren 2013 und 2014, der einen deutlichen Wertverlust des Unternehmens und etliche Klagen zur Folge hatte (vgl. https://de.nachrichten.yahoo.com/alleyahoo-accounts-datenklau-jahr-044007482.html).

Bevorzugt informiert man heutzutage ohnehin auf elektronischem Weg. Dies kann in einem Unternehmens-Blog erfolgen oder über gängige Social-Media-Kanäle. Aber auch eine Information über klassische Medien (Papierpost, Unternehmens-Postille, Fachzeitschriften etc.) ist denkbar. Zu schweigen und die Kommunikation anderen zu überlassen, ist jedoch nur sehr selten die beste Entscheidung, denn so wird man zusätzlich unter Druck gesetzt und kann gegebenenfalls nur reagieren, anstatt selbst zu agieren!

Fazit

Die IT-Sicherheit braucht eine Unternehmenskommunikation, die auf einen Worst Case vorbereitet ist – und nicht erst im Falle eines Falles mit heißer Nadel gestrickt wird! Cybervorfälle wird es immer mehr geben und ein Kleinstunternehmen mit einer Handvoll Angestellten muss sich heute ebenso damit auseinandersetzen wie ein Großkonzern mit zigtausend Mitarbeitern. Je besser die Vorbereitung, desto besser ist die Chance, Folgeschäden zu minimieren und das Vertrauen der Kunden und Partner zu behalten.

Kommunikation sollte dabei immer bei den eigenen Mitarbeitern beginnen, die man über Schwachstellen in genutzten Produkten aktiv informiert – sie setzt sich über Partner fort, mit denen man sichere Schnittstellen vereinbart, um Vorfälle zu verhindern, und sie endet beim Kunden, den man darüber informiert, was man getan hat, um Cybervorfälle zu vermeiden. All das ist kein einfaches Geschäft – aber IT-Security war immer schon eine besondere Herausforderung!

Ralph Dombach (www.secuteach.de) ist freier Autor – unter @secuteach twittert er täglich mit einem Augenzwinkern über das, was IT-Sicherheit ist und ausmacht.