Drooms
Menü

Wie man sich von einem Cyberangriff erholt

18. Juli 2018 | Drooms Global

Cybersicherheitsprobleme sind für moderne Unternehmen allzu geläufig. Gehackte Geräte, Verletzungen der Netzwerksicherheit, Datendiebstahl und ähnliche Angriffe können jederzeit eintreten – im letzten Jahr waren 159.700 Unternehmen Ziel von Cyberangriffen. Ausschlaggebend für das Überleben in dieser tückischen Landschaft jedoch ist, dass man sich richtig verhält, wenn es zu einem Cyberangriff kommt.


Kein Unternehmen will sich in einer Statistik wiederfinden. Doch obwohl der „Online Trust Alliance“ Bericht davon ausgeht, dass sich die Zahl der Cyberangriffe auf Unternehmen von 2016 bis 2017 mehr als verdoppelt hat, könnten die offiziellen Zahlen nur die Spitze des Eisbergs sein. Der Bericht kam zu dem Schluss, dass 2017 wahrscheinlich über 350.000 Cyberangriffe stattgefunden haben – viele davon unerkannt oder nicht gemeldet. Insgesamt ist es also mehr als wahrscheinlich, dass Ihr Unternehmen irgendwann einem gewissen Maß an Cyberkriminalität ausgesetzt sein wird, und daher ist es von größter Wichtigkeit, für alle Eventualitäten gerüstet zu sein.

Die Kosten eines Cyberangriffs können verheerend sein, wie im Fall des britischen Mobilfunkanbieters TalkTalk. Die langsame Reaktion auf die Datenschutzverletzung im Jahr 2015 führte dazu, dass der Anbieter als direkte Folge 101.000 Kunden verlor. Obwohl jüngste Vorfälle, wie die im März dieses Jahres bekannt gegebene Datenschutzverletzung bei MyFitnessPal, verdeutlichen, dass Unternehmen nicht immer voll auf Cyberangriffe vorbereitet sind, sollten Sie sich beim Absichern Ihres Unternehmens nicht nur auf Verhütung von Angriffen zu konzentrieren, sondern auch darauf, wie man sich von einem solchen Angriff wieder erholt.

Cyberangriffe müssen nicht zwangsläufig in eine Krise ausarten. Mit dem richtigen Krisenmanagement kann der Schaden begrenzt und damit Normalität wiederhergestellt werden. Welche Schritte muss man also ausführen, um sich von einem Cyberangriff zu erholen?

Schritt 1: Das Problem identifizieren und den Schaden begrenzen

Die Identifizierung eines Cyberangriffs kann schwieriger sein als man denkt. Laut der Ponemon-Studie von 2017 „Cost of a Data Breach“ kann es im Durchschnitt bis zu 200 Tage dauern, bis Unternehmen merken, dass eine Datenschutzverletzung oder ein Angriff stattgefunden hat. Der Grund hierfür ist unzureichende Überwachung, und deshalb ist es so wichtig, das Management der Cybersicherheit zu intensivieren – ungeachtet davon, ob eine Datenschutzverletzung eingetreten ist oder nicht.

Sobald Ihr Unternehmen feststellt, dass es von einem Cyberangriff betroffen war, muss die Sicherheitsverletzung schnell identifiziert werden.

Bei der Identifizierung einer Datenschutzverletzung geht es darum, eine Antwort auf die folgenden Fragen zu finden:

  • Wann hat der Cyberangriff (Datenschutzverletzung, Datenverlust, Versuch) stattgefunden?
  • Um welche Art von Angriff handelt es sich?
  • Welche Auswirkungen auf Kunden hat der Cyberangriff?
  • Welche Vermögenswerte waren vom Angriff betroffen?
  • Wer sind die Opfer des Angriffs?

Eine solche Identifizierung macht es einfacher und effektiver, auf das Problem einzugehen. Der Vorfall muss dokumentiert werden, da dies nicht nur die Reaktion auf den Vorfall erleichtert, sondern auch zur Stärkung des aktuell angewendeten Cybersicherheitsansatzes beiträgt. Das interne oder externe Response Team muss mit größter Sorgfalt Beweise sammeln und detailliert analysieren. Die Ergebnisse nutzen Sie dann, um die kurz- und langfristigen Gegenmaßnahmen zu steuern.

Nach der Identifizierung muss sich der Fokus der Schadensbegrenzung zuwenden. Schadensbegrenzung ist eine Aufgabe für die IT-Abteilung oder einen externen Cybersicherheitsexperten.

In der Schadensbegrenzungsphase sollten sensible Daten von betroffenen Netzwerken abgetrennt werden, und alle Login- und Genehmigungssysteme müssen zurückgesetzt werden. Betroffene Dateien sollten deinstalliert und neu installiert werden, um ein mögliches Ausbreiten der Infektion zu vermeiden. Alle möglicherweise in das System eingeschleusten Dateien sollten entfernt und vom IT-Experten Ihres Unternehmens untersucht werden.

Die Schadensbegrenzungsphase wird von vielen der Maßnahmen profitieren, die wir in unserem virtuellen Datenraum bei Drooms angesetzt haben. Nämlich:

  • Multi-Faktor-Authentifizierung
  • Verschlüsselung sämtlicher Daten
  • Aufrechterhaltung der jüngsten Patches durch bedarfsgerechtes Aktualisieren von Software und Hardware
  • Verfügbarkeit eines umfassenden Backup-Systems mit regelmäßigen und separaten Daten-Uploads

Diese Vorbeugemaßnahmen schränken die Schadensbegrenzungsmaßnahmen ein und beschleunigen häufig den Wiederherstellungsprozess. Die Schadensbegrenzungsphase muss schnellstmöglich beginnen, da sie die größte Auswirkung auf die Erfolgsquote der Wiederherstellung hat. Während der Schadensbegrenzung kann die Kommunikation zwischen unterschiedlichen Stakeholdern ausschlaggebend sein.

Schritt 2: Meldung an die einschlägiegn Stakeholder

Im Zuge der neuen Meldepflichten der DSGVO hat das Melden des Vorfalls an Bedeutung gewonnen. Das Gesetz besagt, dass Unternehmen den Vorfall nicht nur den zuständigen Behörden, sondern auch den eventuell vom Cyberangriff betroffenen Kunden melden müssen.

Ihr Unternehmen muss einen ordnungsgemäßen Notfallplan bereit haben. Der Prozess sollte Input von PR- und Marketing-Abteilungen umfassen, um die Auswirkungen negativer Schlagzeilen einzuschränken. Die Behörden sollten Informationen über die Art des Angriffs erhalten, wogegen die Kunden über die Auswirkungen, die ergriffenen Gegenmaßnahmen und mögliche Entschädigungen, auf die sie Anspruch haben könnten, informiert werden müssen. Außerdem müssen unbedingt auch Informationen über die Sicherheitsmaßnahmen beinhaltet werden, die das Unternehmen ergriffen hat, um künftige Angriffe zu verhindern.

Die Reaktion auf Cyberangriffe muss jedoch über die Meldepflicht hinausgehen. Die Bereitstellung von Informationen ist von größter Wichtigkeit und umfasst die folgenden Stakeholder:

  • Kunden – mit Schwerpunkt auf künftiger Verhütung und Transparenz über das, was vom Angriff betroffen war
  • Geschäftspartner und Investoren – Umreißen der langfristigen Strategie zur Verhinderung zukünftiger Angriffe, zum Kontern negativer Schlagzeilen und zur Begrenzung der Auswirkungen des Angriffs
  • Arbeitgeber – Steigerung der Mitarbeiterunterstützung und Sensibilisierung für das Verhindern zukünftiger Angriffe
  • Aufsichtsbehörden – Bereitstellen aktueller Informationen über die Auswirkungen des Angriffs und Informationen über die Schadensbegrenzungsstrategie

Im Mittelpunkt der Berichterstattung und Kommunikation mit Stakeholdern steht die Bereitschaft und Fähigkeit Ihres Unternehmens, sich mit den Geschehnissen auseinanderzusetzen. Konzentrieren Sie sich nicht nur auf das, was geschehen ist, sondern auch darauf, wie es künftig weitergehen soll. Stakeholder sind nicht nur an der unmittelbaren, kurzfristigen Reaktion interessiert.

Schritt 3: Auf kurz und langfristige Folgen eingehen

Im gesamten Prozess sollte die Reaktion sich auf die anfänglichen Folgen sowie die langfristigen Auswirkungen eines Cyberangriffs konzentrieren. Die kurzfristige Reaktion ist hauptsächlich der in den ersten beiden Schritten beschriebene Ansatz – Sie untersuchen den Angriff, ergreifen Schadensbegrenzungsmaßnahmen und informieren die entsprechenden Stakeholder. Hierzu gehören häufig auch Gespräche mit den Mitarbeitern der Rechtsabteilung. Je nach Schwere des Angriffs könnten auch Kunden zusammen mit anderen, möglicherweise betroffenen Stakeholdern Maßnahmen ergreifen. Die kurzfristige Reaktion sollte stets darauf ausgerichtet sein, rechtlich korrekt vorzugehen und angemessene  Korrekturmaßnahmen durchzuführen.

Beim Abwägen der langfristigen Reaktion sollte der Fokus darauf ausgerichtet sein, aus dem Vorfall zu lernen und ihn zu nutzen, um den Cybersicherheitsansatz des Unternehmens zu stärken. Dies ist der perfekte Zeitpunkt, um sicherzustellen, dass Ihre Überwachungsprozesse funktionieren, dass Ihre Richtlinien effektiv sind, und dass die von Ihnen ergriffenen Gegenmaßnahmen wie geplant greifen. Auch das Investieren in Sicherheitslösungen und Sicherheitsexperten kann sich auszahlen und sollte als langfristige Lösung in Betracht gezogen werden. Hauptschwerpunkte hierbei könnten Dinge wie Verschlüsselungstechnologie, die Nutzung hochsicherer cloud-basierter Lösungen und fortschrittliche Firewall- und Malware-Software sein.

Schritt 4: Stärkung der Cybersicherheitsmaßnahmen

Was die Reaktion auf einen tatsächlichen Cyberangriff betrifft, steht die Stärkung Ihres Cybersicherheitsmanagements im Falle zukünftiger Datenschutzverletzungen im Mittelpunkt der Wiederherstellung. Das Unternehmen muss die richtigen Richtlinien und Vorbeugemaßnahmen haben und mit den richtigen Sicherheitsfachleuten zusammenarbeiten, um sicherzustellen, dass kein erneuter Cyberangriff eintritt, oder dass im Wiederholungsfall schnell und effektiv auf einen Angriff reagiert wird.

Ihr Unternehmen muss sich auf die Verhütung künftiger Angriffe konzentrieren, indem es über Folgendes verfügt:

  • die richtige Führungsstruktur – es muss eine Kerngruppe geben, die für die Überwachung, Entwicklung und Implementierung von Cybersicherheitsprogrammen und -richtlinien verantwortlich ist, die vor zukünftigen Bedrohungen schützen;
  • angemessene Strategien zur Verwaltung von Cyberangriffen – der Plan muss regelmäßig aktualisiert werden und sich auf die Effektivität der Kommunikation zwischen unterschiedlichen Stakeholdern konzentrieren;
  • die effektive Nutzung von Schulungsprogrammen – das Unternehmen muss starke Schulungsprogramme einführen, die dafür sorgen, dass Teammitglieder sich über die Risiken des Unternehmens und dessen Cybersicherheitsrichtlinien im Klaren sind. Schulungen sollten nicht nur für die IT-Abteilung eine Voraussetzung sein.

Wenn die Reaktion auf die Bedrohung bestenfalls angemessen war, sollten unbedingt die aktuellen Verfahren und Richtlinien unter die Lupe genommen und ausgebaut werden. In vielen Fällen besteht die richtige Reaktion darin, einen Cybersicherheitsexperten zu engagieren, um zu gewährleisten, dass das Unternehmen eine ordnungsgemäße Risikobewertung ausgeführt hat.

Von einem Cyberangriff erholen

Cyberangriffe können jedes Unternehmen betreffen, ungeachtet von Größe, Standort oder Branche. Laut einer Umfrage der IT-Gesellschaft Alvarez Technology Group nennen 39 % aller Unternehmen Ausfälle der operativen Kapazitäten als Hauptauswirkung eines Cyberangriffs. Für 37 % der Unternehmen waren Ausfälle beim Unternehmensreporting das Hauptproblem. Eine Analyse der Herjavec Group aus dem Jahr 2017 zeigt, dass Cyberkriminalität die Welt bis 2021 6 Billionen USD kosten wird, was sie zur am schnellsten wachsenden Kriminalitätsform in den USA macht.

Vorbeugung ist ausschlaggebend für die Begrenzung der Auswirkungen von Cyberkriminalität auf das Geschäft, genauso wichtig jedoch ist eine angemessene Wiederherstellungsstrategie. Wenn Unternehmen sich an die richtigen Verfahren halten und nach einem Angriff die richtigen Maßnahmen ergreifen, können die Auswirkungen effizient verwaltet werden und die Wiederherstellung kann sofort beginnen.

Cybersecurity Whitepaper herunterladen