Vorbereitung auf einen Cyberangriff

Allgemein

Das aktuelle Bundeslagebild Cybercrime des Bundeskriminalamts (BKA) macht deutlich, dass alle Unternehmen, Organisation und Einrichtungen Ziel eines Cyberangriff werden können – egal ob KMU, KRITIS oder öffentliche Einrichtungen.
 
Ransomware kann ganze Lieferketten und Geschäftsprozesse lahmlegen. Cyberangriffe sind somit eine ständige Bedrohung für Unternehmen jeder Größe und Branche. Besonders kleine und mittlere Unternehmen (KMU) sind oft unzureichend geschützt und geraten daher leicht ins Visier von Hackern, die es auf sensible Daten, Betriebsgeheimnisse oder Lösegeld abgesehen haben.
 
Kommt es zu einem erfolgreichen Cyberangriff, so zwingt dieser den Krisenstab im Unternehmen zu einem "Arbeiten im Ausnahmezustand", weil
  • sehr wenig Zeit für die Bewältigung der Krise bleibt
  • zunächst sehr wenige Informationen zur Verfügung stehen
  • gewohnte Arbeitsmittel nicht mehr zur Verfügung stehen
  • oftmals Zuständigkeiten und Kompetenzen nicht ausreichend geklärt sind

Empfehlungen zur Bildung eines Krisenstabs

Experten empfehlen die Bildung eines Krisenstabs. Soweit dies im Unternehmen noch nicht geschehen ist, sollten schnellstens Schritte unternommen werden, um einen Krisenstab zu bilden.
 
Dabei sind folgende Punkte abzuklären:
  • Wer sind die Mitglieder und welche Kompetenzen müssen diese haben? Hierbei ist zu berücksichtigen, dass alle für das Unternehmen relevanten Bereiche vertreten sind (wie z. B. Geschäftsleitung, technische Leitung, IT-Abteilung)
  • Wie werden die Mitglieder erreicht (technische Aspekte)? Im Falle eines umfassenden Angriffs funktionieren Kommunikationskanäle wie Telefon, E-Mail, Kalenderdienste, Groupware- und Video­konferenz-Dienste nicht mehr. Deshalb müssen im Krisenfall Alternativen zur Verfügung stehen (z. B. Nutzung von E-Mail-Konten, welche bei einem anderen Provider gehostet werden).
  • In welchem zeitlichen Intervall tagt der Krisenstab? Menschen sind in einer derartigen Ausnahmesituation nach Erfahrung von Experten sehr bald erschöpft, werden müde und bekommen trotz Krisenmodus Hunger und Durst. Es ist daher sehr wichtig, sich im Vorfeld auch Gedanken zur Lösung der logistischen Probleme zu machen.
  • Welcher Raum kann genutzt werden? Hierbei geht es sowohl um den Raum für die Arbeit des Krisenstabes als auch um erforderliche Räume, in welche sich Mitglieder des Krisenstabes zur Erholung zurückziehen können (Stichwort Feldbetten).
  • Welches Equipment/Arbeitsmaterial wird benötigt? Hierzu berichten Experten aus ihren Praxiserfahrungen, dass in den meisten Fällen eines Cyberangriffs erst einmal eine Ersatz-Verbindung zum Internet nebst WLAN für den Krisenstab eingerichtet werden musste (und jemand dazu zunächst erst einmal die erforderliche Technik bei einem Elektronikhändler beschaffen musste).

Hauptaufgaben des Krisenstabs

Als Hauptaufgaben des Krisenstabs nennen Experten die folgenden Punkte. Bei der nachfolgenden Aufzählung ist zu beachten, dass die jeweiligen konkreten Rahmenbedingungen des betroffenen Unternehmens weitere Aufgaben für den Krisenstab erforderlich machen können (z. B haben Betreiber Kritischer Infrastrukturen (KRITIS) in Deutschland bei einem Cyberangriff spezifische Meldepflichten).
  • Informationsbeschaffung, -auswertung und -aufbereitung
  • Erfassung und Bewertung der aktuellen Lage
  • Entwicklung von Handlungsoptionen und Bewertung von Erfolgsaussichten/Folgerisiken
  • Treffen von operativen und kommunikativen Entscheidungen
  • Festlegung, Beauftragung, Durchführung, Kontrolle und Evaluierung von Maßnahmen

Der Cyber-Notfallplan

Neben dem Aufbau des Krisenstabes ist es zudem sehr wichtig, einen Cyber-Notfallplan aufzustellen. Dieser Plan sollte detaillierte Anweisungen enthalten, wie im Falle eines Cyberangriffs vorzugehen ist. Dazu gehören die vorgenannten Punkte wie die Identifizierung und Bewertung von Bedrohungen, die Festlegung von Verantwortlichkeiten, die Kommunikation mit betroffenen Parteien und die Wiederherstellung der Systeme.
 
Ein gut durchdachter Cyber-Notfallplan kann dazu beitragen, die Auswirkungen eines Angriffs zu minimieren und die Betriebsfähigkeit schnell wiederherzustellen.
 
Es ist auch ratsam, regelmäßige Schulungen und Übungen durchzuführen, um sicherzustellen, dass alle Beteiligten auf dem neuesten Stand sind und im Ernstfall effektiv handeln können.

Auch die DS-GVO fordert entsprechende Vorkehrungen

Die Datenschutz-Grundverordnung fordert gemäß Art. 24 Abs. (1) DS-GVO vom Verantwortlichen, entsprechende technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DS-GVO erfolgt.
 
Im Art. 32 Abs. (1) DS-GVO ist zudem bestimmt, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
 
Dies gilt gemäß Art. 32 Abs. (1) lit. c) DS-GVO auch für Cyberangriffe wo es auszugsweise heißt: ".. diese Maßnahmen schließen Folgendes ein .. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen".