Reaktives Krisenmanagement
Krisenmanagement braucht individuelle Vorsorge und Planung – dabei können BSI-Standards eine erhebliche Hilfestellung leisten. Dennoch zeigen sich in der Praxis immer wieder Grenzen der Vorbereitung, und Krisenmanager:innen sehen auch eine an sich gute Notfallplanung häufig unter der Belastung „bersten“. Unsere Autoren geben Hinweise auf Stolpersteine, Einblicke in ihren Erfahrungsschatz als dienstleistende Krisenmanager und Tipps, was man häufig „noch ein wenig besser“ machen kann.
Anders sieht es in Sachen Cybersicherheit aus: Auch wenn sich Medienberichte zu Cyberangriffen deutlich häufen und beispielsweise SIXT, Nordex und Media Markt zu prominenten Opfern einer Cyberattacke geworden sind, wird die Vorbereitung auf Cyberkrisen noch immer häufig vernachlässigt. In einer Befragung des Cyberversicherers CyberDirekt fühlten sich noch im Dezember 2021 fast 70 % nicht von Cyberangriffen bedroht [5]. Dies resultiert gegebenenfalls aus einer Mischung von fehlendem Verständnis für Informationstechnik und der „Nichtgreifbarkeit“ des Themas selbst: Der Ausfall eines Gebäudes, zum Beispiel durch Großbrand oder Elementarschäden, lässt sich in einer Krisenübung durchaus testen – aber was ist mit dem Herunterfahren der IT-Infrastruktur oder einer Abschottung einzelner Bereiche/Systeme?
Was in der Realität vielen IT-Abteilungen weiter Probleme bereitet, ist Transparenz über die Abhängigkeiten zwischen Systemen und den genauen Auswirkungen, wenn Teile der zentralen IT-Landschaft bewusst abgeschaltet werden. Erst nach dem tatsächlichen Abschalten erkennt man häufig Abhängigkeiten zwischen Systemen, über die man sich teilweise vorher nicht im Klaren war. Inwieweit die Gründe dafür bei fehlender Sensibilisierung, fehlendem Know-how oder personeller und finanzieller Ressourcen liegen, ist schwer abzuschätzen.
Eine gute Anleitung dafür, wie man eine Strukturanalyse sowie eine Schutzbedarfsfeststellung durchführt, liefert beispielsweise der BSI Standard 200-2 „Grundschutz-Methodik“ [6]. Dies wäre ein erster Teilschritt, um das Risiko einer Cyberkrise zu minimieren und deren Konsequenzen zu verhindern – etwa einen vollständigen Ausfall der IT-Landschaft oder sogar eine Zahlung an nicht sichtbare Verbrecher, um seine Daten zurückzubekommen. Laut Palo Alto beziffert sich das durchschnittlich gezahlte Lösegeld in Zusammenhang mit Ransomware für das Jahr 2021 auf 541.010 US-$, eine Studie von Sophos geht sogar von 812.369 US-$ aus.
Hilfe durch BSI-Standards
Die Standards sowie Hilfsmittel des BSI sollen Institutionen dabei unterstützen, sich angemessen auf Risiken der Informationssicherheit und der Business-Continuity vorzubereiten. Beispielsweise bietet der BSI Standard 200-2 mit seiner Anleitung zum IT-Sicherheitskonzept eine solide Grundlage zur Standard-Absicherung.
Institutionen standen und stehen in den letzten beiden Jahren vor Herausforderungen, die es in den letzten 20 Jahren nicht gegeben hatte: Unternehmen betreiben Krisenstäbe, um die Herausforderungen der Pandemie zu meistern, Schiffe laufen zum denkbar schlechtesten Zeitpunkt auf Grund und lassen Lieferpläne über Board gehen und seit einigen Monaten stellt das vermeintlich Undenkbare alles andere in den Schatten – Krieg auf europäischem Boden.
Um sich zumindest teilweise auf solche „nicht vorhersehbaren“ Geschehnisse vorzubereiten, wurde der BSI Standard 200-4 [1] entwickelt. Hierbei wurden unterschiedliche Multi-Source-Methoden zusammengeführt, um auch die Auswirkungen von Lieferkettenunterbrechungen anzugehen. Der 200-4 zeigt auf, mit welchen Methoden man Business-Continuity im Allgemeinen initiieren kann und wie ein Business-Continuity-Management-System (BCMS) Schritt für Schritt nicht nur aufgebaut, sondern auch etabliert wird.
Der BSI Standard 200-4 baut gegenüber der vorherigen Version Themen weiter aus und wurde um Schwerpunkte wie Synergieeffekte zu anderen Managementsystemen (bspw. Informationssicherheitsmanagementsystem) erweitert. Überdies bildet er zusätzlich Beispiele ab, wie ein Kernstab mit Krisenstab aussehen kann und enthält diverse Dokumentenvorlagen, welche der Anwenderfreundlichkeit dienen sollen.
Bei einem solchen Instrument mit einer doch sehr niveauvollen Tiefe und einem äußerst breiten Spektrum an berücksichtigten Punkten (Aufbau BCMS, Reaktives BCMS, Business-Impact-Analyse u. v. a. m.) würde man davon ausgehen, dass man solide auf alle Eventualitäten vorbereitet ist. Doch was, wenn nicht? Wenn das nicht Greifbare oder das nicht Planbare eintritt? Der vorliegende Artikel beschäftigt sich mit dem Thema der Grenzen des BCM und wie Krisenmanager:innen gute Notfallplanung häufig bersten sehen.
Status quo
Das Bundesministerium für Verteidigung spricht unter anderem von „transnationalem Terrorismus“, „Klimawandel“, „hybrider Kriegführung“ und natürlich „Angriffen im Cyberraum“, wenn es um neue Anforderungen für die Sicherheitspolitik geht.
Gerade Cyberkrisen sind derzeit in aller Munde. Das Systemhaus Palo Alto, ein Anbieter von Cybersicherheitslösungen, hat unlängst einen Ransomware Threat Report veröffentlicht, der von nicht weniger als 2566 „Opfern“ von Ransomwareangriffen spricht. Das sind 85 % mehr öffentlich gepostete „Opfer“ als 2020. Am aktivsten ist deutlich die Gruppierung „Conti“ mit einem „Marktanteil“ von 15,5 % – dabei ist jedoch zu erwähnen, dass Conti Ransomware as a Service anbietet (RaaS). Die Gruppe stellt Schadsoftware sowie die dazugehörige Infrastruktur zur Kommunikation und Erpressung zur Verfügung, sodass Käufer damit ihre dunklen Machenschaften ausführen können.
„Klassische“ Krisen sind mittlerweile verstärkt in den Köpfen der obersten Leitung von Institutionen präsent. Die Corona-Pandemie hat beim Thema Krisenmanagement für eine deutliche Sensibilisierung gesorgt, denn die meisten Institutionen mussten sich mit Stabsprozessen und der Gefahr von Betriebsunterbrechungen infolge von Personalausfällen auseinandersetzen.
Der noch als Community-Draft vorliegende BSI-Standard 200-4 hat zum Ziel, eine praxisnahe Anleitung zu geben, um ein BCM-System in einer Institution zu etablieren und diese darauf vorzubereiten, was die optimalen Maßnahmen im Ernstfall sind. Dieser Standard enthält neben der strukturierten Beschreibung von BCM-Prozessen auch Schnittstellenbeschreibungen sowie Dokumentenvorlagen und Hilfsmittel – beispielsweise Notfallvorsorgekonzepte und -handbücher, Verhaltenskodex und Vorlagen zur Wiederanlauf-/Wiederherstellungsplanung.
Reaktion nach BSI-Standard 200-4
Der BSI Standard 200-4 beschreibt in der Phase der Reaktion im ersten Schritt den Aufbau einer besonderen Aufbauorganisation (BAO), die im Ernstfall komplexe Notfall- und Krisensituationen effizient und effektiv bewältigen soll. Durch die Aufteilung in drei Ebenen – der strategischen, taktischen und operativen Ebene – ergibt sich eine erste Struktur, die eine Aufteilung der notwendigen Maßnahmen zur Bewältigung erleichtert. Während die strategische Ebene den Krisenstab umfasst, in dem die Ziele und Priorität in der Schadensbewältigung festgelegt sowie grundlegende Entscheidungen und Maßnahmen getroffen werden, behandelt die taktische Ebene weitere Teams, die Maßnahmen ausgestalten, umsetzen und überwachen. In der operativen Ebene findet man Personen und Teams, welche die von der strategischen und taktischen Ebene beschlossenen Maßnahmen in weiteren Teilschritten umsetzen.
Das Installieren eines Krisenstabs sollte niemals starr nach einer Vorlage durchgeführt werden, sondern immer angepasst auf die Gegebenheiten der Institution selbst. Die grundsätzliche Fragestellung, warum man innerhalb einer Krise eine Sonderorganisation benötigt, lässt sich wie folgt beantworten: Es ist dann zwingend erforderlich, schnell und zielgerichtet Entscheidungen zu treffen, die für eine ideale Umsetzung von Maßnahmen und für einen positiven Verlauf in der Schadensbewältigung sorgt. Hierfür sind alle relevanten Informationen zu bündeln und es ist zu definieren, welche Unterstützungsfunktionen erforderlich sind. Beispielsweise kann die Rolle des Visualisierers bei der Nachverfolgung von Maßnahmen unterstützen und so die Arbeitsfähigkeit auch bei einem IT-Ausfall strukturiert ermöglichen. Ein Beispiel für die Zusammensetzung eines Krisenstabs liefert der BSI-Standard 200-4 (siehe Abb. 1).
Abbildung 1: Mögliche Zusammensetzung eines Stabs nach BSI-Standard 200-4
Ist die BAO von der Institutionsleitung freigegeben, sollte diese so schnell wie möglich umgesetzt werden, denn je schneller man eine bedrohliche Situation einschätzen kann, desto höher ist die Wahrscheinlichkeit, Folgeschäden zu minimieren und die Situation nicht weiter eskalieren zu lassen. Detektion, Alarmierung und Eskalation sind daher die Schritte, die ins Blut übergehen sollten.
Der Eintritt eines Schadensereignisses markiert den Zeitpunkt, zu dem das Schadensereignis tatsächlich geschieht. In einer Cyberkrise ist es leider völlig normal, dass dieser Zeitpunkt zunächst nicht bemerkt wird: Das Eindringen eines Angreifers ist ja vom „Ausbruch“ der Krise unabhängig – oftmals lässt sich der Eintritt beziehungsweise Ursprung eines Schadensereignisses erst durch forensische Analysen aufdecken.
Generelle Sofortmaßnahmen dienen hingegen in erster Linie immer dazu, „Leib und Leben“ zu schützen. In Bezug auf den Erhalt einer Institution wären weitere Sofortmaßnahmen wie die Sicherung kritischer Daten sinnvoll und hilfreich – zum Beispiel durch Abschalten von Systemen oder die Sicherstellung wertvoller Logdateien zur Unterstützung späterer Analysen.
Präventive Maßnahmen
Angesichts massiver und sich häufender Bedrohungen für Institutionen ist Präventivarbeit unabdingbar. Der BSI Standard 200-4 zeigt hier notwendige Planungen für Institutionen auf: Beispielsweise hilft eine Business-Impact-Analyse (BIA), (zeit-)kritische Prozesse zu erkennen, und zeigt auf, welche Alternativen zu überlegen sind oder welche Ausweichmöglichkeiten geschaffen werden müssen.
Um für eine adäquate Vorbereitung zu sorgen, ist es notwendig, sich neben den klassischen Präventivmaßnahmen zur Senkung von Eintrittswahrscheinlichkeiten oder den Auswirkungen eine grundlegende Kontinuitätsstrategie sowie passende Geschäftsfortführungspläne zu überlegen. Denn sollte der Ernstfall eintreten, müssen die involvierten Personen wissen, wie getroffene Präventivmaßnahmen umzusetzen sind – um hier einen gewissen Reifegrad zu erreichen, sollte man konstant üben und testen. Im finalen Schritt ist darauf zu achten, dass das gesamte Konstrukt des BCMS und auch seine Inhalte laufend auf den neusten Stand gebracht werden.
Damit verbunden ist die Zielsetzung, einen strukturierten Notbetrieb zu erreichen – denn ohne die dedizierte Vorbereitung auf eine Schadensbewältigung durch ein BCMS lässt sich keine zielführende Stabilität herbeiführen.
In der Realität begegnet man indessen des Öfteren einmalig erfassten Notfallplänen, deren Ansprechpartner oder Entscheider teilweise aus der Notfallplanung ausgeschieden oder nicht einmal mehr Teil der Organisation sind. Dann hat man zwar ein Instrument zur Bewältigung, jedoch keine „Spieler“, die es nutzen können. Abbildung 2 verdeutlicht, was für einen Unterschied BCM in der Schadensbewältigung sowie bei der Wiederherstellung machen kann.
Abbildung 2: Unterschied in der Bewältigung von Krisen mit und ohne BCM
Hilfsmittel in der Krise
Krisen erschüttern die Grundfesten von Institutionen und zwingen sie bei der Bewältigung in völlig neue Denkvorgänge, welche in Alltagssituationen nicht notwendig sind. Cyberkrisen heben sich von anderen schweren Ereignissen, die eine Institution potenziell treffen können, noch einmal ab: Denn das – zumindest für Menschen, die wenig Berührungspunkte mit IT haben – „nicht Greifbare“ der Situation macht es umso schwerer, schnell die passenden Maßnahmen zu ergreifen. Daraus resultiert häufig eine Verzögerung wichtiger Erstmaßnahmen, die eventuell noch viel Schaden abwenden könnten – zum Beispiel zur schnellen Isolierung einzelner IT-Segmente bis hin zur vollständigen Netztrennung oder Abschaltung.
Ein BCM dient zur Festlegung passender Maßnahmen und zum Erstellen von Strukturen, um unterschiedliche Arten von Krisen angemessen bewältigen zu können. Cyberkrisen sind hierbei eine Besonderheit, da hierbei – wie man in der Praxis häufig feststellt – Angreifer domainadministrative Rechte erlangen und damit viele Sicherheitsmechanismen ausschalten können. Das wird beispielsweise dadurch deutlich, dass Monitoringsysteme abgeschaltet, Backupserver inklusive Schattenkopien gelöscht und durch die Verschlüsselung bewusst Spuren vernichtet werden. Im Falle einer zentralisierten IT-Landschaft kann dies etwa dazu führen, dass durch einen einzigen Angriff alle angebundenen Standorte betroffen sind und somit überall Produktionsausfallkosten zum Tragen kommen.
Prototypisches Beispiel
Um einen besseren Einblick in den Ablauf einer Cyberkrise zu geben, soll im Folgenden ein in der Praxis gängiger Ablauf szenisch dargestellt werden: Fünf Tage vor dem „Eintreten“ der Krise, also etwa einer detektierten Verschlüsselung durch Ransomware, gibt es einen kurzzeitigen Ausfall der Firewall. Die aufkommenden Logdateien werden zwar wahrgenommen, jedoch nicht hinreichend analysiert. Wer schaut schon beim 50. Alert der Firewall genau hin und bemerkt, dass sich hier die Auffälligkeiten geändert haben?!
In den kommenden Tagen erweitern die Angreifer ihre Rechte, legen gegebenenfalls neue User an, spähen sensible Daten aus, indem sie beispielsweise gezielt nach Cyberpolicen sowie deren Deckungssummen suchen und wertvolle Daten ausleiten – etwa Personalstammdaten oder zentrale Datenablagen.
In den Morgenstunden von „Tag 0“ werden weitere Sicherheitsmechanismen ausgeschaltet, Backups und Logdateien gelöscht, eventuell weitere Daten ausgeleitet und abschließend alle erreichbaren Systeme, Laufwerke und Clients verschlüsselt. Dies stellt dann in der Regel in den ersten Arbeitsstunden entweder die IT selbst fest oder sie wird aufgrund von Systemausfällen durch User darauf hingewiesen, dass etwas nicht stimmt.
Jetzt beginnt die klassische Chaosphase – es folgt ein wahrer Schlagabtausch von Ereignissen: Der IT-Leiter trennt Fibrechannel, Internet und Firewall – doch zu spät, denn zentrale Laufwerke bis hin zu ganzen Virtualisierungssystemen sind bereits verschlüsselt. Was nun?
In der Regel werden Incident-Response-Teams zu diesem Zeitpunkt aktiviert und machen sich, nach einer ersten Einschätzung der Lage, idealerweise umgehend auf den Weg zur betroffenen Institution. Bei ihrer Ankunft nehmen Krisenmanager:innen zusammen mit IT-Forensiker:inne:n direkt ihre Arbeit auf und machen sich ein genaueres Bild der Lage.
Der ideale Handlungsstrang wäre es, alle verantwortlichen Personen betroffener Abteilungen in einen (physischen) Raum einzuberufen und daraus einen Krisenstab zu bilden, um zu entscheiden, wer Teil des Stabs ist und wer die Umsetzung aus den im Krisenstab bestimmten Maßnahmen zielführend umsetzt. Wenn keine erprobten Notfallpläne bestehen, muss in der Realität jedoch zuerst ein Bewusstsein für die Situation geschaffen werden: Krisenstäbe bilden sich dann häufig aus dem Managementkreis heraus, damit sich schnell erste zeitdringliche Maßnahmen umsetzen lassen.
Parallel setzen sich die technische Einsatzleitung und die IT-Forensiker:innen mit der aktuellen Situation auseinander und gehen auf das IT-Personal zu. Direkt zeigt sich das erste Risiko: Denn das gesamte Netz der Produktion und Verwaltung ist im gleichen zentralen Verzeichnisdienst (Active Directory, AD), was die Gefahr einer Persistenz im gesamten Netz birgt.
Innerhalb der IT-Forensik ist es ein Ziel herauszufinden, welche Bewegungen im Netz auf Angreifer zurückzuführen sind und welche Daten bereits ausgeleitet wurden. Häufig sind ausgeleitete AD-Kopien zu finden: Sollten Angreifer administrativen Zugang in der Domäne erlangt haben, hätten sie damit in der Regel umfassenden und administrativen Zugang auf alle Systeme, Applikationen und Daten, welche gegen dieses AD authentifizieren. Das AD ist quasi ein Masterschlüssel: Sollte es „fallen“, haben die Angreifer den Masterschlüssel entwendet oder kopiert – und ihnen stehen somit alle Türen offen, die in dieser „Schließanlage“ eingebunden sind. Selbst wenn Passwörter als Hash-Werte abgelegt sind, ist es häufig mit einem relativ geringen Aufwand möglich, diese zu brechen – und die Angreifenden haben dann nahezu alle Berechtigungen, um im Netz weiter vorzugehen.
Zurück zum Stab: Initial sind die Krisenmanager:innen mit der Sondierung der Lage vor Ort beschäftigt und unterstützen den Krisenstab der Institution. Dabei fällt auf, dass es weder einen Notfallplan noch einen Disaster-Recovery-Plan gibt. Ohne Notfallplanung erhöht der Zeitverlust durch die notwendigen Erklärungen den Druck auf die Krisenmanager:innen, da eines der Ziele Schadensminimierung und somit Fortführung des Geschäftsbetriebs ist. Parallel starten erste Kommunikationsmaßnahmen, denn Beschwerden von Kunden häufen sich, dass die E-Mails bouncen. Nach ersten Analysen kann die IT-Forensik bestätigen, dass sich Angreifer über die Gebäudesteuerung Zutritt verschafft haben und sich viel Zeit gelassen haben, um sich im Netzwerk ausgiebig umzusehen.
Nach drei Tagen schickt ein Mitarbeiter in einer WhatsApp-Gruppe einen Screenshot herum, dass „Conti“ den Angriff auf die Institution veröffentlicht hat – die Institution ist im World Wide Web bloßgestellt. Diverse Unternehmen oder Privatpersonen scannen bekannte Angreiferblogs und veröffentlichen einen neuen Vorfall umgehend auf Social-Media-Plattformen wie Twitter und LinkedIn.
Währenddessen erreicht den Krisenstab die nächste Hiobsbotschaft – die physischen Backups sind leider unbrauchbar. Da ein Datenverlust inakzeptabel erscheint, ist es notwendig, die verschlüsselten Daten mit dem Decryptor der Angreifer:innen wiederherzustellen. Der einzige Ausweg ist das Aufnehmen von Verhandlungen mit den Erpressern – also mit Verbrechern, mit denen man von nun an über ein kleines Chatfenster kommuniziert. Für Situationen dieser Art existieren übrigens Verhandlungsspezialisten, die Erfahrung mit den Besonderheiten in solch einem Szenario haben.
Wichtige Stakeholder:innen erwarten von der Institution nun rasch ein schriftliches Statement. Für die Krisenmanager:innen der HiSolutions AG hat sich in den vergangenen Jahren in solchen Situationen gezeigt, dass ein offener und ehrlicher Umgang mit Informationen zielführender ist als ein Verschleiern oder gar Vertuschen von Geschehnissen. Ab diesem Moment hilft in der Regel nur noch das Eingestehen der komplexen krisenhaften „Situation“ – Ziel der Krisenmanager:innen ist es nun, die Institution kommunikativ so darzustellen, dass nach innen die Angestellten einen ehrlichen Stand der Lage bekommen und man nach außen Stabilität sowie einen bewussten Umgang mit der Situation transparent darstellt.
Parallel ist die IT damit beschäftigt, eine neue IT-Landschaft aufzubauen, während die Institution im Wesentlichen handlungsunfähig ist. Der Druck, der auf alle Beteiligten wirkt, ist in so einer Situation fast in der Luft greifbar. Entscheidungen, nach Verhandlungen das Lösegeld für die eigenen Daten zu zahlen, sind in einer so ausweglosen Situation schnell getroffen – und der Entschlüsselungs-Key wird von den Angreifern in diesem Fall sogar prompt geliefert. Eine leichte Zuversicht macht sich breit und sowohl das Einsatzteam als auch die Angestellten der Institution wagen es, für einen kurzen Moment aufzuatmen.
Nach einem erfolgreichen Test einzelner Daten wird die Entschlüsselung angestoßen und soll über Nacht durchlaufen. Um sechs Uhr früh am darauffolgenden Tag folgt das grausame Erwachen: Die Verschlüsselung ist nicht rückgängig zu machen, da sie – resultierend aus der Unfähigkeit der Angreifer – mehrfach aktiviert wurde. Die Folge ist eine Mehrfachverschlüsselung, die nicht mehr rückgängig zu machen ist – alle derart verschlüsselten Daten sind unwiederbringlich zerstört.
Etliche Punkte aus den BSI-Standards wären in diesem Szenario mehr als wertvoll gewesen: So mussten etwa die Krisenmanager:innen einen ganzen Tag dafür aufwenden, um die Basis einer Notfallplanung und den Zweck eines Krisenstabs zu erläutern. Dabei wurden das Maßnahmenboard sowie die komplette Visualisierung der Lage von den Krisenmanager:innen selbst übernommen. Das „Nicht-vorbereitet-Sein“ hat in diesem Fall mindestens zwei Tage gekostet, die mit einer – zumindest theoretischen – Planung nicht notwendig gewesen wären. Das zeigt eindrücklich, wie wichtig präventive Notfallplanung ist und was die BSI-Standards dabei für einen wertvollen Beitrag in der Welt der Krisen leisten können.
Grenzen der Vorbereitung
Innerhalb der Prävention werden gravierende Schritte wie die Abschaltung der gesamten IT-Landschaft häufig nicht ausreichend berücksichtigt, da man davon ausgeht, dass es nicht zu derart tiefgreifenden Ausfällen kommt, die solche Maßnahmen nötig machen würden. Das erhöht natürlich im Falle eines Falles das Schockmoment, da die fehlenden Vorsorgemaßnahmen und die Handlungsunfähigkeit je nach Vorkenntnissen unterschiedlich erkannt werden. Weiterhin sind häufig Fragen offen, wer etwa in der Ereignisbewältigung schnell und zielführend helfen kann: Welche Incident-Response-Dienstleister (IR-DL) decken welche Fähigkeiten ab und ergänzen somit gegebenenfalls fehlende eigene Kompetenzen? Und selbstverständlich auch: Welche IR-DL können überhaupt situativ schnell unterstützen? In Großlagen, beispielsweise der Hafniumwelle, sind Situationen keine Seltenheit, in denen Unternehmen die gesamte Liste „APT-Response-DL“ mehrfach abtelefonieren und dennoch ad hoc keine Unterstützung erhalten können.
Im Fall einer Cyberkrise werden auch fehlende Betrachtungen deutlich, die sich normalerweise nur in einem sehr hohen Reifegrad erkennen ließen. Beispielsweise könnte man nicht an bestimmte Seitenauswirkungen gedacht haben, etwa dass Fingerabdruckleser nicht mehr funktionieren und Drehkreuze keine Zugangskarten mehr akzeptieren – und so den Zutritt in wichtige Gebäudeteile verhindern. Oder die Problematik, dass als Alternative zu E-Mails Telefonnummern angegeben sind – das Telefonsystem jedoch längst über VoIP läuft und somit in IT-Krisen ebenfalls ausfallen kann.
Grenzen des BCM-Standards
Wo der Standard hingegen wenig(er) Hilfestellungen gibt, sind die Punkte: Wie kann man Mitarbeiter:innen richtig in der Krise „mitnehmen“? Wie erlangt man Erfahrungen damit, beispielsweise innerhalb der Stabsarbeit forensische Ergebnisse anhand von Lagebildern richtig zu verarbeiten und eine Vielzahl von unterstützenden Dienstleistern richtig einzubinden und zu steuern? Und all das unter der Besonderheit, dass die Beschaffung von Hardware und die kurzfristige Einbindung geeigneter Dienstleister eine große Herausforderung darstellt.
Bei einem Ausfall von IT-Landschaften gestaltet sich es oft schon schwierig, Auskünfte über Datenbestände und Sicherungsniveaus kritischer Daten zu erlangen und/oder zu kommunizieren. Selbst wenn IT-Abteilungen im Prinzip einen aktuellen Überblick über gesicherte Datenbanken/Systeme, eingesetzte Datensicherungssysteme, die Zuordnung zu kritischen Systemen sowie deren Datensicherungsintervalle haben, ist der Zugriff auf diese Daten bei einer „verschlüsselten“ IT-Landschaft gegebenenfalls nur noch bedingt möglich.
Darüber hinaus haben IT-Abteilungen in der Regel keinen vollumfänglichen Wiederaufbau ihrer IT-Landschaft geplant – oft wird nur der Ausfall einzelner Systeme oder Bereiche berücksichtigt. Ein Gesamtausfall beeinträchtigt aber die gesamte Supply-Chain und dort gestaltet sich dann beispielsweise bereits die Zuordnung von Materialien oder die Versendung von Fertigprodukten zu einer besonderen Herausforderung.
Im Bereich der Krisenkommunikation stößt der Standard ebenfalls an seine Grenzen: Es werden zwar grundlegend wichtige Punkte angeführt (bspw. Grundregeln der Kommunikation, Stakeholderanalyse etc.), jedoch beispielsweise Abhängigkeiten zwischen den Abteilungen innerhalb einer Institution ausgelassen. Will man in einer Institution die Mitarbeiter:innen schnell und gezielt auf den neusten Stand in der Krise bringen oder deren mögliche Sorgen frühzeitig besänftigen, dann ist es ratsam, hierfür die Personalabteilung mit einzubeziehen – umso mehr, um die rechtlichen Möglichkeiten abzudecken, damit der intensive Personaleinsatz nicht zu einem weiteren Problem anwachsen kann.
Kann man hier frühzeitig und profund Antwort geben, stärkt man das Vertrauen der Mitarbeiter:innen – und gleichermaßen auch aller anderen Stakeholder:innen. Die Erfahrung im Krisenmanagement der HiSolutions zeigt, dass sich Transparenz und Ehrlichkeit im Umgang mit der Situation bezahlt machen: Kunden bringen eher Verständnis auf, wenn man ihnen von einer Krise erzählt, als wenn sie von der misslichen Lage aus den Medien erfahren. In der heutigen Zeit trifft man häufig auf ein hohes Verständnis dafür, dass eine Institution von einem Cyberangriff betroffen ist. Wofür wiederum weniger Verständnis besteht, ist, wenn man als Kunde oder Partner nicht frühzeitig über einen Ausfall oder mögliche Lieferverzögerungen informiert wird.
Auch die besonderen Umstände der Schadensbewältigung bringen Herausforderungen mit sich, die sich nur schwer in einem Standard abbilden lassen: Nach tagelanger Dauerbelastung und Arbeitstagen von teilweise deutlich über 10 Stunden verringert sich beispielsweise die Entscheidungsfreudigkeit, die Empathie für Mitarbeiter:innen sowie Kund:inn:en sowie die Belastbarkeit durch neue Stresssituationen. Daraus resultieren Fehlentscheidungen und Flüchtigkeitsfehler in der KrisenBewältigung und beim Wiederanlauf der IT-Landschaft.
Auch wenn sich solche Sonderlagen in Krisenstabsübungen simulieren lassen, bleibt dennoch anzumerken, dass diese immer noch „geplant“ ablaufen und für die Teilnehmer einen absehbaren Zeitraum einnehmen. Eine solide Basis lässt sich hierbei allerdings mit dem Trainieren und Erarbeiten strategischer Entscheidungsfindung und Stressmanagement schaffen.
Fazit
Die Standards des BSI helfen durch ihren hohen Detaillierungsgrad dabei, Institutionen zu befähigen, einen hohen Reifegrad an Notfalllösungen zu erarbeiten. Eine Herausforderung ist – wie so oft – die Umsetzung dieser Leitfäden: Denn sie hängt mit dem Wunsch der individuellen Umsetzung, der unterschiedlichen Interpretation der Leitfäden und damit auch der finanziellen Motivation zusammen, solch eine Absicherung zu leisten. Dies birgt die Gefahr, dass man zwar das notwendige Setup an sich erarbeitet, aber für dessen Umsetzung dennoch nicht den Idealzustand erreicht.
Neben dem Wunsch der Vorbereitung auf einschneidende Vorfälle bleibt immer noch der Faktor Mensch. Oft verschließen die Betroffenen die Augen vor der Realität oder die Tragweite von Entscheidungen bringt Manager an ihre Belastungsgrenze. Ein wesentlicher Faktor ist hierbei die Herausforderung, Entscheidungen auf Basis von unterschiedlichen Informationsständen unter einem hohen Zeitdruck zu treffen. Im Krisenfall kann man schließlich nicht erst wie gewohnt alle notwendigen Informationen sammeln und dann nach abschließender Bewertung eine Entscheidung treffen.
Als Krisenmanager im Incident-Response wird dies oft deutlicher, als man es selbst wahrhaben möchte. Denn auch wenn sich über verschiedene Vorfälle hinweg gewisse Muster erkennen lassen, erlebt man im Krisenmanagement eigentlich nie die gleiche Situation zweimal – und dennoch muss man Menschen durch schwierige Entscheidungsprozesse begleiten und kurzfristige Handlungen ermöglichen. Hierbei ist es häufig ein großer und wichtiger Schritt im Umgang mit potenziell existenzgefährdenden Situationen, wenn sich eine Institution mit den BSI-Standards vorab intensiv auseinandergesetzt hat.
Lorenz Egender und Uwe Grams sind Berater bei der HiSolutions AG im Bereich Security-Consulting.
Literatur
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Business Continuity Management, BSI-Standard 200-4, Community Draft (CD) 1.0, Januar 2021, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html
[2] Marcel Lehmann, Jann-Christoph Sowa, BSI-Standard 200-4 veröffentlicht: Business-Continuity-Management weitergedacht, <kes> 2021#1, S. 30
[3] Cäcilia Jung, Daniel Gilles, Neuer BSI-Standard 200-4: Business-Continuity-Management – Leichter zum BCM durch IT-Grundschutz, <kes> 2021#2, S. 30
[4] Victor Wolf, Daniel Gilles, Der Weg zum Fünf-Sterne-BCMS, Ein Reifegradmodell für den BSI-Standard 200-4, <kes> 2022#2, S. 31
[5] CyberDirekt, Risikolage 2022, Blogpost/Pressemitteilung, März 2022, www.cyberdirekt.de/post/cyber-direkt-risikolage-2022/
[6] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Methodik, November 2017, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node