Cybersicherheit ist für alle Unternehmen wichtig, wie die Zunahme der Angriffe zeigt. Inzwischen haben die meisten Betriebe Cybersicherheitsmassnahmen eingeführt, auch wenn einige KMU noch hinterherhinken. Vielfach wiegen sich Unternehmen aber in falscher Sicherheit. Sie glauben, dass sie für Angreifer:innen nicht interessant sind oder legen den Schwerpunkt ihrer Sicherheitsmassnahmen zu sehr auf den IT-Aspekt. Dabei vernachlässigen sie die Rolle der Verantwortung und der Bereitschaft der Unternehmensleitung.
Egal wie gross oder klein ein Unternehmen ist, egal ob es für Hacker:innen interessant ist oder nicht, egal wie gut die technischen Cybersicherheitsmassnahmen sind, irgendwann wird ein Angriff erfolgen und die eingesetzte Technologie wird nicht ausreichen, um dies zu verhindern. Die Sensibilisierung und Vorbereitung eines Unternehmens auf einen möglichen Cyberangriff und dessen Folgen ist daher ein wichtiger Aspekt. Es gibt eine Reihe von Themen, mit denen sich das Management im Vorfeld eines Angriffs auseinandersetzen muss. Dazu gehören ein Geschäftskontinuitätsplan, ein Krisenmanagementplan, Risikobewertungen, Unternehmensprozesse, die Auswahl von Dienstleistern und vieles mehr. Es reicht nicht aus, diese Themen erst während eines Angriffs anzugehen. Dadurch geht wertvolle Zeit verloren und der Schaden – sei er finanzieller, rechtlicher oder rufschädigender Natur – wird noch grösser. Sobald ein Angriff stattfindet, muss sofort und effektiv reagiert werden.
Effektive Business-Continuity-Strategie
Unternehmen benötigen einen Plan, um im Falle eines Angriffs den Geschäftsbetrieb aufrechtzuerhalten. Dies hilft, finanzielle Verluste zu minimieren, den Ruf des Unternehmens zu schützen und schneller zur Normalität zurückzukehren.
Ein guter Business-Continuity-Plan beginnt mit einer Risikobewertung und einer Analyse der möglichen und wahrscheinlichsten Bedrohungen. Durch die Identifizierung der wahrscheinlichsten Gefahren, mit denen ein Unternehmen konfrontiert werden kann, ist es möglich, deren potenzielle Auswirkungen auf die Organisation im Voraus abzuschätzen. Darüber hinaus ist es wichtig, eine interne Analyse der zentralen Geschäftsprozesse durchzuführen, um Prioritäten zu setzen und Back-up-Lösungen zu entwickeln.
Basierend auf diesen Erkenntnissen sollte ein klarer Krisenkommunikationsplan entwickelt werden, wie im Falle eines Angriffs reagiert und kommuniziert werden soll. In dieser Phase sollten alle Mitarbeitenden einbezogen und darüber aufgeklärt werden, was zu tun ist. Ausserdem sollten gute Back-up- und Wiederherstellungsmechanismen eingerichtet werden, um den Schaden zu begrenzen und eine effiziente Wiederherstellung der Systeme nach einem Angriff zu ermöglichen. Schliesslich sollte der Plan regelmässig getestet und überarbeitet werden, um neuen Bedrohungen Rechnung zu tragen.
Schadensbegrenzung durch Krisenmanagement
Teil des Business-Continuity-Plans ist ein Krisenmanagementplan. Diesem Aspekt ist besondere Aufmerksamkeit zu widmen, da er das Ausmass eines Cyberangriffs und dessen Folgen für das Unternehmen massiv beeinflussen kann. Wie der Business-Continuity-Plan setzt auch der Krisenmanagementplan idealerweise bereits vor einem Angriff an. Er definiert vor allem Schlüsselpersonen und Schlüsselprozesse, welche im Fall eines Angriffs zum Einsatz kommen. Zudem sollten Systeme zur Überwachung verdächtiger Aktivitäten und zur Früherkennung von Angriffen und deren möglichen Folgen vorhanden sein. Je früher eine Attacke erkannt wird, desto schneller kann der Krisenmanagementplan umgesetzt werden und umso geringer ist der Schaden.
Jeder gute Krisenmanagementplan wird von einem Incident-Response-Team geleitet. Dieses Team besteht aus Personen aus allen relevanten Abteilungen. In der Regel gehört mindestens eine Person aus der Marketing- oder PR-Abteilung dazu, jemand aus der IT-Abteilung und vielleicht auch jemand aus der Rechtsabteilung. Ihre Aufgabe ist es, sofort die notwendigen Massnahmen einzuleiten, um den Schaden zu begrenzen.
Der erste Schritt besteht natürlich darin, die betroffenen Systeme zu isolieren oder den Zugang zu beschränken, damit sich der Angriff nicht ausbreiten kann. Danach ist jedoch die Kommunikation über das Problem sowohl intern als auch extern von entscheidender Bedeutung. Eine schnelle und klare Kommunikation mit allen Betroffenen ist bei einem solchen Vorfall entscheidend, um das Vertrauen aller Beteiligten zu erhalten und die Verbreitung von Fehlinformationen zu verhindern. Transparenz ist ein wesentlicher Faktor in der Krisenkommunikation, denn sie hilft nicht nur, Reputationsschäden zu begrenzen, sondern auch mögliche rechtliche Konsequenzen zu minimieren.
Im Nachhinein ist es wichtig, nicht ausschliesslich die Sicherheitsmassnahmen, sondern auch den Krisenkommunikationsplan zu evaluieren und auf dieser Basis Anpassungen vorzunehmen. Es ist notwendig, Aufzeichnungen über Vorfälle und die Reaktion der Organisation zu führen, nicht nur für das Unternehmen, sondern ebenfalls für alle rechtlichen Anforderungen, die sich aus einem Angriff ergeben können.
Datensicherheit und rechtliche Konsequenzen
Viele Organisationen sind sich der rechtlichen Konsequenzen eines Cyberangriffs nicht ausreichend bewusst, insbesondere, seit das revidierte Datenschutzgesetz in Kraft getreten ist. Das neue Gesetz verlangt von Unternehmen mehr Verantwortung für den Schutz personenbezogener Daten und sieht Sanktionen vor, wenn diese Massnahmen nicht eingehalten werden. Die Bussgelder wurden erhöht, wenn festgestellt wurde, dass Datenschutzverpflichtungen vorsätzlich missachtet wurden. Darüber hinaus können Sanktionen gegen Unternehmen verhängt werden, wenn Datensicherheitsmassnahmen als unzureichend erachtet werden oder Sicherheitsvorfälle nicht ordnungsgemäss gemeldet werden.
Aus rechtlicher Sicht empfiehlt es sich daher, die Polizei zu informieren und das weitere Vorgehen mit ihr abzustimmen. Es ist wichtig, Beweise über die Angriffe zu sichern, damit sie in einem Gerichtsverfahren weiter untersucht werden können. Darüber hinaus sollten alle Angriffe, unabhängig davon, ob sie einen Schaden verursacht haben oder nicht, dem Bundesamt für Cybersicherheit (BCS) gemeldet werden.
Schreibe einen Kommentar