Die Vorbereitung auf Cyber-Angriffe ist in vielen Unternehmen oft ein Schwachpunkt. In diesem Artikel schauen wir, wie man einen effektiven Reaktionsplan für Vorfälle entwickelt und gibt einen Überblick über fünf Schritte, die während eines Vorfalls durchgeführt werden sollten.
Es ist der Anruf, den die IT-Teams fürchten: Ein Mitarbeiter meldet, dass sein PC-Bildschirm rot blinkt, mit einer Nachricht, die ihm sagt, dass seine Dateien verschlüsselt sind und dass er ein Lösegeld zahlen muss, um sie zu entschlüsseln. Was sollen sie als nächstes tun?
Die Aktionen, die das Unternehmen in den nächsten Minuten und Stunden durchführt, sind entscheidend dafür, wie groß – oder klein – die Auswirkungen des Cyberangriffs sein werden. Darüber hinaus wirkt sich ein Cyberangriff nicht nur negativ auf die physischen IT-Systeme des Unternehmens aus, sondern verursacht auch Stress und setzt auch die Mitarbeiter unter Druck.
Ein kürzlich von der University of Haifa veröffentlichtes Papier ergab, dass Cyberangriffe eine starke psychologische Wirkung auf alle Mitarbeiter haben, indem sie ihr Ausmaß an Angst, Stress und Panik erhöhen – was dann zu Fehlern und damit zu weiteren Schäden führen kann.
Wie sollten Unternehmen also vorgehen, um diese menschlichen, panischen und emotionalen Reaktionen auf Cyber-Vorfälle zu beseitigen und eine besser koordinierte, konditionierte Reaktion zu entwickeln?
Man kann nie genug trainieren
Ein wichtiges Beispiel ist die strenge Ausbildung der Piloten im Umgang mit unerwarteten Ereignissen: Sie erhalten umfangreiche Checklisten und Verfahren, die praktisch alle Eventualitäten abdecken, vom Auslaufen des Kraftstoffs über den Motorausfall bis hin zu Strukturschäden. Und diese Verfahren werden sowohl in Simulatoren als auch unter Flugbedingungen immer wieder geübt, so dass ihre Reaktion in einer Notfallsituation in Echtzeit zu einer automatischen Reflexaktion wird. Das Ergebnis ist, dass der Pilot und Co-Pilot bei einem Vorfall als Erstes den Warnalarm ausschalten, damit sie klar denken und die entsprechende Checkliste durchlaufen können.
Für Unternehmen ist eine vielzahl von Checklisten und Pläne für jeder Art von Eventualiäten eher hinderlich. Wichtiger ist es ein schlagkräftiges Team aufzustellen, um schnell und präzise auf Verletzungen oder Angriffe reagieren zu können. Dazu gehören neben einem Incident Response Team, das alle relevanten internen Stakeholder – wie IT- und Sicherheitsspezialisten, HR- und PR-Teams sowie in einigen Fällen spezialisierte externe Ressourcen. Auch die Vorbereitung allein reicht nicht aus: Die Arbeitsaufnahme des Teams muss durch realistische Trainingsübungen geübt werden.
Fünf wichtige Schritte
Um Unternehmen bei der Entwicklung schnellerer und effektiverer Reaktionen zu unterstützen, sind hier fünf wichtige Schritte aufgeführt, die sie befolgen sollten, sei es in einer Trainingsübung oder nach einem echten Vorfall.
1. Relevanz des Vorfalls erkennen.
Der entscheidende erste Schritt ist, dass die Mitarbeiter den Angriff ernst nehmen und schnell, aber ohne Panik handeln. Denken Sie an die ideale Reaktion auf einen Feueralarm in einem Bürogebäude: Jeder sollte sofort aufhören, was er tut, und sich auf den Weg zu den Ausgängen machen, ohne innezuhalten, um persönlichen Sachen zusammenzusuchen oder seinen Schreibtische zu leeren. Einem Cyber-Ereignis sollte die gleiche sofortige Aufmerksamkeit und Konzentration zuteil werden. Sobald es identifiziert ist, müssen alle Mitarbeiter alarmiert werden, reibungslos und effizient, und es müssen klare, ruhige Anweisungen gegeben werden, was als nächstes zu tun ist, sei es, dass sie sich einfach von ihren Arbeitsplätzen entfernen oder ihre PCs oder Geräte herunterfahren.
2. Sammeln Sie die Ressourcen, die Sie benötigen.
Dies bedeutet, dass die Sicherheitswerkzeuge und -technologien sowie das geschulte Personal, aus denen sich die Sicherheitsinfrastruktur Ihres Unternehmens zusammensetzt, mobilisiert werden müssen, damit sie sich auf die Minimierung des Vorfalls konzentrieren können. Es ist klar, dass nicht alle Mitarbeiter in diese Phase einbezogen werden müssen. Deshalb geht es darum, die richtige Erfahrung und das richtige Fachwissen zusammenzubringen – schnell. In Ihrem Incident Response Plan sollte festgelegt werden, welches Personal beteiligt sein muss und ob externe Sicherheitsressourcen eingesetzt werden sollen.
Natürlich ist es nicht billig, die Kombination aus Werkzeugen und Talent zusammenzustellen. Aber die Investitionen und die Zeit, die für den Aufbau effektiver Abwehrmaßnahmen benötigt werden, werden durch die realen Kosten von Cyberangriffen in Bezug auf die Behebung unmittelbarer Schäden und die daraus resultierenden Folgen in den Schatten gestellt. Bei Unternehmen, die durchschnittlich zwei Cyberangriffe pro Woche erleben, die ihre Abwehrmaßnahmen verletzen, ist es klar, dass es viel besser ist, in die Prävention von Angriffen zu investieren, als die weitaus höheren Kosten für eine spätere Reparatur zu bezahlen.
3. Ausführung Ihres Incident Response Plans.
Dies ist die aktive Phase, in der Sie Ihren Incident Response Plan Schritt für Schritt durcharbeiten sollten, um festzustellen, was die Art des Angriffs ist, wie er Ihre Verteidigung durchbrochen hat, wie er isoliert werden kann und wie der Schaden behoben werden kann. Für Unternehmen, die keinen Vorfallsreaktionsplan zur Hand haben, kann es sinnvoll sein, in dieser Phase externe Fachkräfte hinzuzuziehen.
4. Kommunizieren.
Zu oft stoppen Unternehmen in Stufe drei. Aber die Kommunikation über den Angriff ist wichtig – nicht nur für alle Ihre internen Stakeholder und Mitarbeiter, sondern auch für externe Stakeholder wie Partner, Kunden und Investoren. Dies wird zu einer regulatorischen Anforderung: So verlangt beispielsweise die EU-Datenschutzverordnung (DSGVO), dass Cyber-Angriffe innerhalb von 72 Stunden nach Feststellung eines Datenschutzverletzung nach außen kommuniziert werden. Alle Beteiligten, sowohl innerhalb als auch außerhalb Ihres Unternehmens, müssen verstehen, was passiert ist und was die Auswirkungen für sie sind – in einer Sprache, die auf ihrem Niveau des technischen Verständnisses angepasst ist.
Dies ist eine spezielle Phase, die in den Händen geschulter Kommunikationsmitarbeiter liegen sollte. Die Enthüllungen über z.B. Ubers Cyberbreach 2016 und die anschließende Vertuschung sind eine Lektion in Bezug auf die Frage, wie man nicht kommunizieren sollte – und die Folgen, die sich daraus ergeben können.
5. Lernen.
Wieder einmal ist dies ein wirklich entscheidendes Element der Vorfallsreaktion, das allzu oft vernachlässigt wird. Jeder Cyber-Angriff sollte für das betreffende Unternehmen ernsthafte Lerneffekte hervorbringen. Nach einem Angriff sollten aktive Maßnahmen ergriffen werden, um die Schwachstelle zu beheben, den ausgebeuteten Prozess zu modifizieren und zu verbessern, eventuell fehlerhaftes Personal umzuschulen und einzurichten oder den bestehenden ncident Response Plan zu optimieren. Die Unfähigkeit, aus dem Cyberschutz zu lernen und Maßnahmen zur Verbesserung des Cyberschutzes nach einem Angriff zu ergreifen, macht das Unternehmen anfällig für einen ähnlichen Angriff, der erneut auftritt.
Fazit
Bei der effektiven Reaktion auf Vorfälle geht es um Training und Praxis. Die Entwicklung und Aktualisierung eines Incident Response Plans erfordert Arbeit und Investitionen – aber während eines Cyberangriffs zahlen sich diese Investitionen aus. Unabhängig davon, ob Sie sich entscheiden, Ihre Vorfallsreaktion intern abzuwickeln oder auf externes Fachwissen zurückzugreifen, ist es wichtig, jetzt einen Plan zu erstellen und ihn mit möglichen Angriffsszenarien zu testen. Dies wird dazu beitragen, Panik während eines Angriffs zu vermeiden, den Schaden und die Folgen des Vorfalls zu begrenzen und Ihr Unternehmen so schnell wie möglich wieder in den Normalzustand zu versetzen.
