Cyberattacke: Reaktionszeit verkürzen
Im Katastrophenfall ist schnelles Handeln sehr wichtig. Das gilt auch im Falle einer Cyberattacke. Critical-Event-Management-Systeme unterstützen die Notfall- und Rettungs-Teams dabei.
Katastrophen wie Unwetter, Schneelawinen, Sabotageakte oder Cyberattacken haben eins gemeinsam. Sie treten mit sehr kurzer Vorwarnzeit oder sogar völlig überraschend ein. Dann ist entschlossenes, kooperatives Handeln angesagt, damit der Ernstfall nicht eskaliert, mit Verletzten, möglicherweise Toten und hohen Schäden. Effiziente Kommunikation zwischen den Teams ist der Schlüssel zum Erfolg im schwierigen Geschäft des Krisenmanagements. Einsatzleiter, die Notfall-Teams und Krisen-Workflows erst dann aufstellen, wenn der Ernstfall bereits eingetreten ist, verlieren zu viel Zeit. Stunden oder sogar Tage, die besser genutzt werden könnten. Denn es gilt die Daumenregel: Je mehr Zeit verstreicht, bis die richtigen Notfall-Massnahmen aufgesetzt sind, desto grösser fällt am Ende der Schaden aus.
Datenklau und Ransomware-Attacken verursachen bei Schweizer Unternehmen jährlich hohe Schäden. Seit Anfang 2019 greifen Verschlüsselungstrojaner vermehrt KMUs und Grossunternehmen in der Schweiz und im Ausland an, berichtet die Melde-und Analysestelle Informationssicherheit Melani. Bei diesen Angriffen würden teilweise auch die Backups verschlüsselt und unlesbar gemacht. Dadurch werde die Wiederherstellung der Geschäftstätigkeit der betroffenen Unternehmen unmöglich. Melani rät generell davon ab, ein Lösegeld zu bezahlen, weil es keine Garantie gäbe, die Schlüssel für die Entschlüsselung zu bekommen.
Nicht nur Industrieunternehmen, sondern auch öffentliche Einrichtungen und Krankenhäuser bleiben nicht von Cyber-Attacken und Software-Fehlern verschont. Ein Beispiel: In zahlreichen Schweizer Kliniken, Alters- und Pflegeheimen habe nach dem Jahreswechsel 2018/19 wegen einer Software-Panne der Notruf an den Betten nicht mehr funktioniert. Das Universitätsspital Zürich (USZ) bestätigte auf Anfrage der NZZ, dass es um Mitternacht zu einem Ausfall der Monitore der Patientenruf-Anlage gekommen sei. Die Versorgung der Patienten sei jedoch zu jedem Zeitpunkt gewährleistet gewesen, Zwischenfälle seien keine bekannt, hält das USZ fest.
Hundertprozentige Sicherheit gibt es nicht. Unter Sicherheitsexperten macht ein geflügeltes Wort die Runde: Es gebe zwei Arten von Unternehmen. Die einen wüssten, dass sie gehackt wurden, die anderen seien ahnungslos und wiegten sich noch in falscher Sicherheit. Der erste Schritt besteht infolgedessen darin, einen Angriff zu erkennen und zu kategorisieren. Dabei helfen zum Beispiel klassische Firewalls und Intrusion-Detection-Systeme. Im zweiten Schritt kommt es darauf an, möglichst schnell ein Notfall-Team mit dem passenden Know-how zusammenzustellen, das in der Lage ist, die Attacke wirksam zu bekämpfen und Schaden vom Unternehmen abzuwenden. Eine Schlüsselrolle spielt dabei Kommunikation und Kooperation. Nur wenn Unternehmen im Fall der Fälle effizient kommunizieren, können sie eine Cyberattacke schnell entschärfen, ihr Ausmass begrenzen, den Geschäftsbetrieb so gut wie möglich aufrechterhalten und einen Reputationsverlust verhindern.
Automatisiertes System beugt Schäden vor
IT-Fachkräfte schätzen, dass sich durch den Einsatz eines CEM-Systems (Critical Event Management) die Reaktionszeit auf eine Cyberattacke um mindestens 20 Prozent verkürzen lässt. Ein CEM ermöglicht die automatisierte Zusammenstellung eines Notfall-Teams und die automatische Kontaktaufnahme mit Teammitgliedern gemäss vorab festgelegter Workflows via SMS, Telefon, Mail oder Messenger-App. Die Kommunikation erfolgt bidirektional. Ist ein Teammitglied nicht erreichbar, spielt das CEM alle verfügbaren Kommunikationskanäle durch und sucht bei Misserfolg nach personellen Alternativen.
Entscheidend für ein erfolgreiches Krisenmanagement ist, nicht nur die IT-Verantwortlichen und Notfallteams, sondern sämtliche Mitarbeiter ins CEM-Kommunikationssystem einzubinden. Nur dann lässt sich die komplette Belegschaft über die Situation und die nächsten Schritte informieren. Im Fall des Klinikums Fürstenfeldbruck hiesse das, auch Rettungsdienste darüber zu unterrichten, dass die Aufnahmekapazität infolge eines IT-Komplettausfalls zurzeit stark eingeschränkt ist.
Kommunikation über alle Kanäle
Der Schlüssel, um für die Abwehr des Cyberangriffs relevante Personen schnell zu informieren, liegt im multimodalen Messaging. Je mehr Kommunikationskanäle offenstehen, desto wahrscheinlicher ist es, dass die relevanten Personen unabhängig von Tageszeit oder Aufenthaltsort auch wirklich erreicht werden können. Deshalb sollten sie immer über mehrere Kanäle und Geräte kontaktiert werden können: via SMS, Push-Nachricht, E-Mail oder Sprachnachricht auf ihren privaten und beruflichen Festnetz- und Mobiltelefonen. Pro Person sollte auch vermerkt sein, welchen Kommunikationskanal sie in der Regel bevorzugt oder ob sie sich zurzeit im Ausland aufhält und den Notfall gar nicht zeitnah übernehmen kann.
Vorab in Notfallplänen definierte Workflows helfen dabei, Krisen effizient zu bekämpfen und Schäden durch Cyberattacken zu minimieren. Um im Ernstfall möglichst effizient und fehlerfrei zu kommunizieren, sollten Unternehmen ausserdem Templates für die Workflows und die Benachrichtigungen vorbereiten. Dabei kommt es entscheidend darauf an, die Nachrichten gezielt für die verschiedenen Empfängerkreise und ihre unterschiedlichen Aufgaben im Krisenfall auszulegen. Das IT-Response-Team benötigt ganz andere Informationen als das Management oder die Personalabteilung.
Partner und Kunden nicht vergessen
Neben der internen darf auch die externe Kommunikation nicht vernachlässigt werden. Dazu gehört, rechtzeitig beispielsweise Partner oder Kunden zu informieren, wenn die Gefahr besteht, dass sie durch die Cyberattacke beeinträchtigt werden. Auch für sie sollten entsprechende Abläufe und Templates vorbereitet werden. So lässt sich Transparenz schaffen, Vertrauen aufbauen und verhindern, dass sich Falschinformationen verbreiten oder Gerüchte ins Kraut schiessen. Sehr wichtig ist auch, sämtliche Regularien und Compliance-Vorschriften im Blick zu behalten. So kann eine gesetzliche Meldepflicht gegenüber Behörden bestehen, wenn ein Unternehmen als Betreiber einer kritischen Infrastruktur eingestuft ist.
Vorbereitete Workflow- und Nachrichten-Templates ermöglichen es, die aufgesetzten Abläufe ohne den Druck des Ernstfalls einzuüben, zu erproben und gegebenenfalls zu optimieren. Probeläufe helfen dabei, die Antwort- und Reaktionsraten zu messen, dadurch etwaige Schwachstellen aufzudecken und sie dann gezielt zu beseitigen.
Kommt es zu einem IT-Sicherheitsvorfall, sind interne und externe Kommunikation gleichermassen wichtig. Mit einem automatisierten, Template-getriebenen System stellen Unternehmen sicher, die richtigen Personen zur richtigen Zeit zu erreichen. Die IT kann das Problem dann schneller beseitigen und interne sowie externe Stakeholder haben die Möglichkeit, auf Basis exakter und aktueller Informationen ihre Entscheidungen zu treffen.
Risiken werden unterschätzt
Jedes Unternehmen hat ein vitales Interesse daran, mithilfe eines CEM sein Notfall-Management kontinuierlich zu verbessern. Aber nicht jedes Unternehmen macht das auch – und geht dadurch ein hohes Risiko ein. Das Analystenhaus Forrester hat 2018 eine Umfrage unter 214 Unternehmen durchgeführt: Jedes hatte in den letzten 24 Monaten mindestens einen kritischen Notfall zu beklagen. 24 Prozent wurden von Cyberkriminellen angegriffen, bei 25 Prozent der Firmen fiel ein geschäftskritisches System aus, 28 Prozent wurden wichtige Dokumente gestohlen. Den betroffenen Unternehmen ist durchaus bewusst, dass dadurch ihre Reputation als Geschäftspartner und Anbieter leiden könnte und sie in Folge Umsatzeinbussen riskieren. Lediglich ein knappes Drittel misst die Wiederherstellungszeit, die es braucht, um ausgefallene oder stark verlangsamte Systeme wieder zum Laufen zu bringen.
Forrester-Umfrage: Integriertes CEM bringt Vorteile
Diejenigen unter den befragten Firmen, die ein CEM-System einsetzen, konnten mit kritischen Vorfällen besser, schneller und kostengünstiger umgehen. Bei 49 Prozent (ohne CEM: 29 Prozent) hatten sich die Kosten für die Planung und Durchführung von Notfallmassnahmen reduziert; ohne den Einsatz eines CEM waren es nur 29 Prozent. 50 Prozent waren in der Lage, mit einem CEM ihre Mitarbeiter leichter zu lokalisieren und mit ihnen Kontakt aufzunehmen, versus 36 Prozent ohne CEM. 39 Prozent (ohne CEM: 21 Prozent) fiel es leichter, Compliance-Vorschriften und Regularien einzuhalten. Ein aufschlussreiches Ergebnis der Forrester-Umfrage: Unternehmen, die kein integriertes (unified) CEM-System einsetzen, sondern stattdessen Insellösungen bevorzugen, sind sich der Nachteile ihrer Entscheidung gar nicht bewusst.
*Andreas Junck ist Director of Sales DACH bei Everbridge in München.
