Interessant ist dabei, dass viele Menschen dieser Sichtweise zustimmen. Gleichzeitig haben aber viele Unternehmen – vom Kleinunternehmer bis zum globalen Enterprise – keine oder nur unzureichende oder veraltete Pläne für einen Cyberangriff. Mancher vertritt die Einstellung, dass er im Falle eines Falles einfach alle Beteiligten an einen Tisch holt. Einerseits pragmatisch, andererseits aber auch naiv, denn wer sind „alle Beteiligte“? Was, wenn Personen aus diesem Kreis nicht greifbar sind, weil sie im Urlaub sind, krank oder auf Dienstreise?
Und überhaupt: Entscheidungen, die in einer Krisensituation unter Zeitdruck fallen, sind selten so durchdacht, umfassend und nachhaltig wie Entscheidungen, die man mit Überlegung in einer ruhigen Zeit getroffen hat.
Schon vor einem Cyberangriff Szenarien durchgehen
Natürlich ist es eine Herausforderung, Notfall- und Krisenpläne für Cyber-Security-Vorfälle aufzustellen; man weiß ja nicht, was bei dem Angriff das Ziel ist und wen man dann im Detail braucht. Aber es gibt genügend Rahmen- und Eckdaten, die man im Vorfeld klären kann:
- Welche Personen gehören zum Notfallstab, wer sind ihre Vertreter?
- Ab welcher Schadstufe und nach wieviel Zeit soll der Angriff gemeldet werden?
Welche Personen und Funktionen sind dann zu informieren? - Wenn der Schutz personenbezogener Daten verletzt wurde:
Laut Datenschutzgrundverordnung, Artikel 55 muss der Verantwortliche einen solchen Vorfall binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Es sei denn, der Vorfall führt voraussichtlich nicht zu einem Risiko für die Rechte der betroffenen Personen. - Wer ist für die Information der Kunden und Mitarbeiter zuständig, wer übernimmt gegebenenfalls die Pressearbeit?
- Wer ist der Kontakt beim IT-Dienstleister und welche Service- und Reaktionszeiten sind dort vereinbart?
- Desgleichen bei Internetprovider, Stromanbieter und Webagentur.
- Bei welcher zuständigen Behörde bzw. Polizei erhält man Hilfe? Die Polizei hat diese Seite mit Cybercrime-Ansprechstellen eingerichtet.
Fragen, die Sie mit einem IT-Spezialisten klären sollten
- Welche Dienste können abgeschaltet werden, welche müssen trotz Angriff weiterlaufen?
Wurde beispielsweise der Mailserver angegriffen, kann eventuell der Webserver mit dem Internetauftritt weiterlaufen und umgekehrt.
Wurde beispielsweise der Server eines existenziell wichtigen Dienstes für Ihr Unternehmen angegriffen, muss eine Risikoabschätzung gemacht werden. Was ist das kleinere Übel: abschalten oder trotz Angriff und Abwehr versuchen, den Dienst aufrecht zu erhalten? - Wie soll der Cyberangriff eingedämmt werden?
Je nachdem, welcher Art der Angriff ist, kann man zumindest das angreifende Systeme an der Firewall sperren lassen. Doch oft ist das nicht genug. Handelt es sich um Angriffe mittels Traffic-Überlastung wie bei einer DDoS-Attacke, kann man Filtermechanismen dazu schalten lassen. - Wie lässt sich der Schaden beheben?
Zunächst ist die Art des Schadens zu klären. Beispielsweise bei einem Schaden durch Ransomware hilft das Einspielen von Backups. Wurden Server gekapert oder Mailserver kompromittiert, müssen sie analysiert und neu aufgebaut werden. Im Falle des Mailservers muss auch der Reputationsschaden bei diversen Antispam-Portalen bereinigt werden, damit Ihre Mails nicht länger als Spam deklariert werden. - Wie wird überprüft, ob Ihr Unternehmen frei von Schadsoftware ist?
- Was lässt sich aus dem Angriff lernen?
Wie können Sie Ihr Unternehmen besser gegen Angriffe wappnen? Organisieren Sie ein Review.
Der Fragenkatalog ließe sich noch stark erweitern. Aber er gibt einen ersten Einblick, warum Sie sich schon vor einem Cyberangriff damit beschäftigten sollten. Selbst wenn Sie nur eine kleine IT haben, die von einem externen Dienstleister betrieben wird, hilft es, einige Details zur Hand zu haben, um im Ernstfall sinnvoll handeln zu können.