Vor einem Cyberangriff ist kein Unternehmen jemals ganz sicher. So wichtig es auch ist, durchdachte Sicherheitsmaßnahmen zu ergreifen, Sicherheitsverantwortliche zu ernennen und entsprechende Software einzusetzen: Selbst das ausgeklügeltste Sicherheitssystem könnte irgendwann umgangen werden, genau wie auch die stärkste Haustür nicht vor besonders gewieften Einbrechern schützt.
Wenn es wirklich einmal passiert, zeigt sich sehr schnell, ob man auf diesen Fall vorbereitet war – und es macht einen großen Unterschied, ob man in Panik und Schockstarre verfällt oder ob man sofort weiß, was jetzt zu tun ist.
Gehackte Websites, Eindringlinge in Netzwerken, Ransomware und Denial-of-Service-Angriffe: Cyberangriffe sind fast schon ein alltägliches Ereignis geworden und die Cybersicherheit betrifft nicht mehr nur einzelne Teams, sondern wird zur Herausforderung für das ganze Unternehmen.
Unternehmen können sich zwar nicht vollständig gegen Cyberangriffe abschirmen, doch sie können einen Notfallplan erstellen, um im Ernstfall gleich richtig zu reagieren.
Ein Krisenmanagementplan für die Cybersicherheit hilft, rechtzeitig Maßnahmen zu ergreifen, für eine einheitliche und kohärente interne und externe Kommunikation zu sorgen und die Schäden durch einen Cyberangriff nach Möglichkeit zu begrenzen.
Allerdings haben nur 37 % der Unternehmen einen Vorfallreaktionsplan für die Cybersicherheit, wie der Report „ Prepare for and Respond to a Business Disruption After an Aggressive Cyberattack“ von Gartner ergab (für Gartner-Kunden verfügbar).
Häufig scheuen sich Unternehmen, Zeit und Ressourcen für das Aufstellen eines Krisenmanagementplans zu investieren, denn sie gehen davon aus, dass sie selbst nie zum Angriffsziel werden. Dabei vergessen sie allerdings die Tatsache, dass automatisierte Botnet-Angriffe nicht gezielt vorgehen, sondern Systeme zufällig angreifen – und selbst ein nur teilweise ausgearbeiteter Krisenmanagementplan ist besser als gar keiner.
Anstatt den ganzen Plan in einem Durchgang zu entwerfen, können Unternehmen auch stückweise vorgehen und den Plan immer weiter ergänzen, bis er vollständig ist.
Einen Krisenmanagementplan für Cyberangriffe richtig vorbereiten
Es kann mehrere Wochen oder Monate in Anspruch nehmen, einen robusten Krisenmanagementplan vorzubereiten, und ohne die Unterstützung und Zustimmung der Geschäftsführung geht es nicht.
Fünf Schritte sind nötig, um den Plan zu erstellen:
1. Ein Vorfallreaktionsteam für Cybersicherheits-Notfälle zusammenstellen
Es muss klar festgelegt werden, wer die Verantwortung übernimmt und erste Maßnahmen einleitet, wenn ein Cyberangriff erfolgt ist. Dieses Team leitet nicht nur das Unternehmen an, wenn es an der Zeit ist, den festgelegten Notfallplan zu befolgen, sondern ist auch an seiner Erstellung und Aktualisierung beteiligt.
In der nachstehenden Tabelle sind die Rollen aufgelistet, die Mitglieder eines Vorfallreaktionsteams übernehmen müssen. Die genaue Zusammensetzung des Teams hängt von den verfügbaren Personen und der Art der zu erwartenden Sicherheitsvorfälle ab.
Beispiel für ein Vorfallreaktionsteam:
Welche Rollen gibt es und wer übernimmt sie?
- Informationseigentum: Die Informationseigentümer großer Unternehmen sind üblicherweise die CEOs oder CIOs/CISOs, bei kleineren Firmen kann es auch der Geschäftsinhaber oder die Geschäftsinhaberin sein
- Vorfallreaktionsmanagement: Üblicherweise führt die Leitung von Geschäftseinheiten oder die Betriebsleitung die Vorfallreaktion an. Auch die Personal- oder Rechtsabteilung kann Verantwortung für diese Rolle übernehmen und Angestellte und betroffene Aufsichtsbehörden informieren.
- Sicherheits-/IT-Personal: Dies kann das für IT-Belange vorantwortliche interne Personal oder auch ein Managed Security Service Provider (MSSP) sein.
- Freiwillige: Einige Angestellte sollten im jährlichen oder zweijährlichen Wechsel an der Koordination und Schulungen zur Cybersicherheitsvorfallreaktion beteiligt sein.
2. Definieren, wann im Unternehmen eine Cybersicherheitskrise vorliegt
Nicht jeder Cyberangriff ist gleich eine ernsthafte Krise. Daher muss genau festgelegt werden, wann ein Sicherheitsvorfall als Krisensituation für das Unternehmen gilt. Kriterien dafür sind beispielsweise der Verlust vertraulicher Daten, finanzielle Konsequenzen oder Rufschädigung für das Unternehmen, Partner oder Kunden sowie der Verstoß gegen Gesetze und Vorschriften.
3. Ablaufdiagramme für die Eskalation in Krisensituationen erstellen
Visuelle Darstellungen wie Ablaufdiagramme helfen Angestellten, schnell zu überblicken, welche Schritte sie bei einem Vorfall zu befolgen haben. Das nachstehende Ablaufdiagramm zeigt beispielhaft, welche Maßnahmen nötig sein können, wenn ein Cyberangriff oder anderer Sicherheitsvorfall gemeldet wurde.
Auch die rechtlichen und regulatorischen Aspekte verschiedener Sicherheitsvorfälle müssen dabei abgedeckt sein. Artikel 33 der DSGVO verlangt beispielsweise, dass Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden.
Es empfiehlt sich, unterschiedliche Ablaufdiagramme für die Reaktion auf unterschiedliche Vorfälle zu erstellen, beispielsweise für Phishing, DDoS-Angriffe, Malware oder IoT-Angriffe. So kann im Ernstfall schneller und gezielter reagiert werden.
4. Vorlagen für die Kommunikation in Cybersicherheitskrisen erstellen
Bei Cyberangriffen müssen offizielle Mitteilungen an interne und externe Akteure erfolgen (je nach Schwere der Krise beispielsweise Medien, Kunden und Partner).
Einsatzbereite Vorlagen für die Krisenkommunikation in unterschiedlichen Szenarien – schwerwiegende Datensicherheitsverletzungen, kleinere Vorfälle usw. – sparen dabei Zeit und helfen, eine uneinheitliche Kommunikation zu vermeiden. Wichtig ist auch das Ernennen von Sprecher*innen, die befugt sind, im Namen des Unternehmens über den Vorfall zu reden.
Vorlagen für die Krisenkommunikation können beispielsweise so aussehen:
Unserem Unternehmen [Unternehmensname] wurde eine mögliche Sicherheitsverletzung in unseren Systemen und Netzwerken bekannt. Zu diesem Zeitpunkt können wir das Ausmaß der Sicherheitsverletzung noch nicht einschätzen und es ist nicht möglich zu sagen, ob sensible Daten betroffen sind. Wir arbeiten eng mit den Behörden und mit Cybersicherheitsexperten zusammen, um das Ausmaß des Vorfalls zu ermitteln und mögliche Folgen einzudämmen. Wir sind bestrebt, diese Untersuchungen schnellstmöglich abzuschließen, und nehmen alle Sorgen und Anliegen unserer Kunden und Partner sehr ernst.
Auf unserer Website www.unternehmensname.de veröffentlichen wir regelmäßig aktuelle Informationen. Bei Bedarf wird eine Pressekonferenz stattfinden.
5. RACI-Diagramme erstellen und Notfallkontaktinformationen zur schnellen Kommunikation und Zusammenarbeit bereitstellen.
Interne und externe Stakeholder müssen in einer Notfallsituation schnell darüber informiert werden, wie mit der Krise umgegangen wird. Mit RACI-Diagrammen lässt sich schnell bestimmen, wer in einer Situation kontaktiert werden muss oder wessen Zustimmung für einen Schritt im Krisenmanagementplan erforderlich ist. Dabei werden vier Kategorien für Verantwortlichkeiten und Zuständigkeiten genutzt:
Responsible (verantwortlich): Die Person, die für die Durchführung einer Aktivität verantwortlich ist.
Accountable (rechenschaftspflichtig): Die Person, die Aktivitäten genehmigt oder billigt und für die finale Entscheidung verantwortlich ist.
Consulted (konsultiert): Eine Person, die weitere Informationen oder Feedback zur Umsetzung einer Aktivität geben kann.
Informed (zu informieren): Eine Person, die über den Verlauf oder das Ergebnis einer Tätigkeit informiert werden muss.
Hier ein Beispiel für ein RACI Diagramm mit Kontaktinformationen der jeweiligen Verantwortlichen. Es soll helfen, die Kommunikation schneller und einfacher zu gestalten.
Best Practices für den Cybersicherheits-Krisenmanagementplan
Ein Krisenmanagementplan ist ein Dokument, das man unter großem Druck und vermutlich in Panik verwenden wird. Dementsprechend sollte es möglichst wenig kompliziert sein, sodass man nichts mehrfach lesen muss, bevor man versteht, was zu tun ist. Die folgenden Best Practices tragen dazu bei, dass der Plan im Notfall auch gut nutzbar ist:
- Einfach und kurz halten: Formuliere unkomplizierte und handlungsrelevante Anweisungen, die den Angestellten genug Informationen geben, um die richtigen Maßnahmen zu ergreifen.
- Sicherstellen, dass der Plan sowohl altbekannte als auch neue Arten von Sicherheitsvorfällen berücksichtigt: Füge spezifische Ablaufdiagramme für den Umgang mit häufigen Vorfällen wie Malware oder DDoS-Angriffe bei, aber auch allgemeine Vorgehensweisen für den Fall neuartiger Cyberangriffe.
- Kopien des Plans an einem sicheren, aber leicht zugänglichen Ort aufbewahren: Bewahre sowohl physische als auch elektronische Kopien des Krisenmanagementplans bei der Unternehmensführung, Abteilungsleitungen und in Cloud-Speichertools
- Den Plan regelmäßig testen: Führe Probeläufe durch, um zu testen, wie gut dein Team vorbereitet ist und ob dein Krisenmanagementplan sicher funktioniert. So üben alle Beteiligten außerdem, schnell zu handeln und sofort zu reagieren.
Weitere Ressourcen:
Neue Technologien für IoT-Sicherheit und Endpoint Protection in kleinen Unternehmen
Das können Managed Service Provider zur IT-Sicherheit kleiner Unternehmen beitragen