Es ist der Albtraum eines jeden Unternehmens: Man wird Opfer einer professionellen Attacke von Cyberkriminellen. IT Systeme sind verschlüsselt und das Unternehmen wird erpresst. Oftmals geht es dabei um das Überleben der Unternehmung und den erhalt vieler Arbeitsplätze. Doch was muss ich beachten, wenn ich Opfer einer solchen Attacke geworden bin?
Was passiert eigentlich in Deutschland wenn das Gas knapp wird? Wie wird die Versorgung profitiert? Was kann ich als Unternehmen jetzt schon beachten?
Haben Sie sich auch schon einmal gefragt, warum meistens erst etwas passieren muss, damit gehandelt wird? Warum erst nach einem Ereignis Vorkehrungen getroffen werden, dass die Auswirkungen von einem solchen Ereignis nicht so weitreichend sind, sollte es noch einmal eintreten? Dieser Frage wird in diesem Blogartikel nachgegangen. Um ein Risiko zu adressieren, muss es zuallererst einmal bekannt sein. In einigen Unternehmen wird dem proaktiv nachgegangen und es werden Risikoanalysen und Business Impact Analysen (Geschäftsauswirkungsanalysen) erstellt. Weshalb jedoch werden manche Risiken nicht ernst genommen oder behandelt, obwohl sie vielleicht sogar bekannt sind? Zu Beginn soll dafür noch einmal darauf eingegangen werden, wie ein Risiko im Notfall- und Krisenmanagement definiert wird. Bei einem Risiko handelt es sich um die Eintrittswahrscheinlichkeit / -häufigkeit eines bestimmten Ereignisses mal dessen Schadensausmaß / -potential. Eingeordnet werden die verschiedenen Risiken in einer Risikomatrix, welche als Beurteilungsvorlage gilt. Abb. 1: Risiken abgebildet in einer Risikomatrix nach [...]
Befindet sich eine Gruppe von Personen in einer überfordernden Situation, also in einer Situation, bei der die Herausforderung die vorhandenen Ressourcen übersteigen, so kann es dazu kommen, dass die ganze Gruppe sich in eine Art kognitive Notfallreaktion flüchtet. Was eine kognitive Notfallreaktion ist, können Sie im vorangegangenen Blogartikel ausführlich lesen Kognitive Notfallreaktion – die Flucht ins vertraute Handeln - IUGITAS. Jedoch hier nochmal eine Kurzfassung: eine kognitive Notfallreaktion ist ein dysfunktionaler Schutzmechanismus, in der alles getan wird, um ein Kompetenzgefühl und ein Selbstwertgefühl aufrechtzuerhalten. Oftmals werden, unangemessener Weise, die vertrauten und routinierten Verhaltensweisen fortgeführt, um eine scheinbare Handlungsfähigkeit sowie Kontrolle zu erhalten. Wird von Gruppendenken gesprochen, so ist nicht von einer Schwarmintelligenz die Rede, sondern eher von dem genauen Gegenteil davon. Gruppendenken bedeutet nicht, das intelligente Entscheidungen aufgrund einer Kollaboration des Teams getroffen werden, sondern dass die ganze Gruppe so handelt, dass ein kollektiver Schutz für das Kompetenzgefühl [...]
Die Loveparade in Düsseldorf, Unglücke in Mekka, 9/11 und als neuestes Beispiel das Lag-Baomerfest am Meron-Berg in Israel. In den Medien wird schnell von einer Massenpanik gesprochen, wenn viele Menschen aufeinandertreffen, es Engstellen oder Hindernisse gibt und die Notwendigkeit Atem- und Bewegungsfreiheit (zurück) zu erlangen oder Personen eine starke Angst verspüren und versuchen aus einer Situation zu fliehen. All dies steht zumeist in Kombination mit Verletzten oder gar Toten. In Meron wurde schnell nach Einritt des Ereignisses von einer Massenpanik gesprochen. Bei dem Fest an der Wallfahrtsstätte des Berges Meron sind 45 Personen ums Leben gekommen und etliche wurden verletzt. Es handelt sich um die größte zivile Katastrophe in der Geschichte Israels. Auslöser war nach ersten Erkenntnissen die Situation an einer abschüssigen Rampe, an welcher Personen ins Rutschen gekommen sind. Aufgrund der Dichte entstand eine Art Dominoeffekt und Menschen fielen übereinander. Augenzeugen berichten von einer „Menschenlawine“. Medien berichten [...]
Wie auf ein Ereignis, dass den alltäglichen Geschäftsbetrieb beeinflusst, reagiert wird, hat maßgebliche Auswirkungen auf das Schadensausmaß. Daher sollten im Vorhinein nicht nur präventive Maßnahmen im Unternehmen implementiert werden, um das Restrisiko so gering wie möglich zu halten, sondern es sollten ebenfalls reaktive Maßnahmen vorbereitet werden. Schließlich existiert keine 100%ige Sicherheit und das Restrisiko wird niemals 0 betragen. Im Falle eines Ereignisses, wird es demnach Auswirkungen auf das Unternehmen geben. Die reaktive Seite der Notfall- und Krisenbewältigung sollte allerdings nicht nur als schönes Dokument für Auditoren vorliegen, sondern sollte vor allen Dingen handlich und anwendbar sein. Sind die geplanten Handlungen nicht anwendbar, so verringern sich die Auswirkungen des Ereignisses sich lediglich unmerklich oder gar nicht. Wie handlich die reaktive Seite tatsächlich geplant wurde, kann nicht nur durch eine theoretische Prüfung erfolgen. Es ist auch nicht ausreichend, wenn das Vorhandensein eines Notfallhandbuches allen bekannt ist die darin eine Rolle [...]
Das Risiko der Korruption im Unternehmen zu managen, ist ein wichtiger Teil der Resilienzstrategie eines Unternehmens. Die ISO 37001 ist das Managementsystem zur Korruptionsbekämpfung.
Die Aktionen, die das Unternehmen in den ersten Minuten und Stunden durchführt, sind entscheidend dafür, wie groß - oder klein - die Auswirkungen des Cyberangriffs sein werden.
Nur wer vorbereitet ist und sich auch vorbereitet fühlt, kann einen Notfall adäquat und rechtzeitig abhandeln. Ist dies nicht der Fall, so können sich Notfälle zu Krisen oder gar Katastrophen für das eigene Unternehmen/die eigene Organisation oder sogar für weitere Stakeholder entwickeln.
Die Standards für Organisatorische Resilienz Im März 2017 wurde der neue ISO-Standard ISO 22316:2017 mit dem langen Titel „Security and resilience – Organizational resilience – Principles and attributes“ veröffentlicht. Erarbeitet wurde der Standard durch das Technical Committee ISO/TC 292 Security and resilience, das auch die ISO-Standards rund um den ISO 22301 Business Continuity Management verantwortet. Neben diesem ISO-Standard gibt es bereits seit 2014 mit dem BS 65000:2014 „Guidance on organizational resilience“ einen Standard zu Resilienz von British Standards (BSI). Wir können demnach aktuell sogar auf zwei Standards zum Thema Resilienz bauen. Was ist das für ein scheinbar so bedeutendes Thema, dass sich gleich zwei Standards diesem widmen? Gibt man in Amazon den Suchbegriff „Resilienz“ für deutsche Bücher ein, erhält man bereits über 1.000 Vorschläge zur Befüllung des elektronischen Einkaufwagens. Wer sich fremdsprachig an das Thema „Resilience“ heranwagt, hat bereits über 4.000 Bücher als Kauf-Option. Der überwiegende Teil [...]
