Hacked – so what?
Ein böses Erwachen: Sie erhalten frühmorgens als Geschäftsführerin eine E-Mail «Infrastruktur gehacked» und ein Erpresserschreiben. Wie verständigen Sie an einem solchen Tag den Krisenstab und involvieren weitere Beteiligte?
Ein ungewöhnlicher Tag als Geschäftsführerin: Auf dem Weg zu Ihrer Firma möchten Sie die Geschäftsmails abrufen und erhalten eine Fehlermeldung. Um 8.15 Uhr, im Büro angekommen, steht auf dem Bildschirm das Erpresserschreiben der Hackerin. Sie will zehn Bitcoins innerhalb der nächsten 24 Stunden erhalten und verspricht Ihnen, dass Sie nach Eingang der Bitcoins Ihre Geschäftsinfrastruktur zurückerhalten.
Kein Problem – Sie sind vorbereitet. Der Hackerin Bitcoins zu überweisen kommt für Sie nicht infrage. Zunächst ziehen Sie eine Art Visitenkarte aus dem Portemonnaie. Hier sind sämtliche Kontaktangaben des Krisenstabs aufgeführt. Auch bestehen zwei Möglichkeiten, ein Treffen einzuberufen. Da die Geschäfts-E-Mail gestört ist, nutzen Sie nicht die Mailgruppe, sondern die Krisenstab-Threema-Gruppe. Um 8.20 Uhr erhalten alle Mitglieder des Krisenstabs Ihre Nachricht: «Infrastruktur gehacked – Treffen um 8.30 Uhr im Sitzungsraum oder über Konferenznummer 058xxxxxx mit Code 529xxx. Sie nehmen nun Ihr Krisendok aus der Schublade und gehen in den Krisenstabsitzungsraum und stellen die Konferenzverbindung her.
Bis sich alle eingewählt haben, werfen Sie einen Blick auf Ihr Krisendok. Zunächst sehen Sie die Liste der I. Verantwortlichen des Krisenstabs mit den Angaben zu Verantwortlichkeit, Mailadresse und Telefonnummer und Stellvertretung. Für die Wahl der Mitglieder im Krisenstab haben Sie eine Risikoevaluation gemacht und die geschäftskritischen Netzwerke definiert. In Ihrem Fall ist ein Mitarbeiter eines externen IT-Unternehmens als IT-Sicherheitsverantwortlicher definiert. In seiner Rolle kümmert er sich primär darum, dass kein Hacker durchdringt. Wenn ein Hacker trotzdem durchdringen konnte, kümmert er sich um die Bereinigung der Netzwerke und stellt die Geschäftsinfrastruktur wieder her.
Der Verwaltungsrat wollte in Ihrem Fall nur informiert sein und keine Mitwirkung im Krisenstab übernehmen. Deshalb sind Sie als Entscheidungsträgerin aufgeführt. Bei jedem Angriff auf Daten ist die Datensicherheit betroffen und entsprechend ist die Datensicherheitsbeauftragte aufgeführt. Sie wird sich um allfällige Meldepflichten und das zu erwartende datenschutzrechtliche Strafverfahren kümmern. Bei der Grösse Ihrer Firma tragen Sie auch den Hut der Kommunikationsverantwortlichen.
Auf Ihrem Krisendok II. Treffen befinden sich die Angaben dazu, wie Sie ein Treffen einberufen wollen. Die Übertragung dieser Angabe auf die Grösse einer Visitenkarte sowie die Aufbewahrung im Portemonnaie aller Krisenstabmitglieder hat sich heute bewährt. Die Einberufung hätte genau so gut von einem anderen Mitglied des Krisenstabs lanciert werden können. Es ist 8.28 Uhr und es fehlt nur noch ein Mitglied, bis Sie die Sitzung beginnen können.
Im Krisendok III. Stakeholder haben Sie diejenigen Kontakte aufgeführt, von denen Sie nicht wollen, dass diese aus der Zeitung erfahren, dass Ihr Unternehmen gehacked wurde. Sie haben hier sämtliche Kontaktangaben Ihrer Mitarbeitenden, den Verwaltungsrat, die Kunden, die Geschäftspartner aufgeführt. Da Sie Mitglied sind von einem Verband und einer Aufsicht unterstehen, haben Sie die Kontaktangaben ebenfalls aufgeführt. Für den Kontakt der zuständigen Polizei haben Sie Abklärungen zum Standort Ihrer Server getroffen und nun ebenfalls vollständige Kontaktangaben in Ihrem Krisendok. Beim Bund machen Sie eine Meldung bei der Meldestelle Melani/NCSC. Da Ihr Unternehmen ohne Zugriff auf die Infrastruktur lediglich sieben Arbeitstage überleben könnte, haben Sie vor einem Monat eine Cyber-Versicherung abgeschlossen. Kontaktangabe und Nummer der Police sind aufgeführt. 8.30 Uhr: Die Mitglieder des Krisenstabs sind vollständig und die Sitzung kann pünktlich beginnen. Das Gespräch eröffnet, wer den Krisenstab einberufen hat. Nachdem jedes Mitglied das Wort erhalten und über Aktualitäten informiert hat, werden Entscheidungen getroffen. Um Meldungen bei Melani/NCSC kümmert sich der IT-Verantwortliche, die zuständigen Datenschutzbehörden werden von der Datenschutzbeauftragten informiert. Die Kommunikation mit Stakeholder übernehmen Sie. Der Krisenstab trifft sich nun erstmal alle zwei Stunden, um über Aktualitäten zu informieren.
Die Vorgabe IV. Kommunikation aus Ihrem Krisendok unterstützt Sie dabei, Ihre Stakeholder um 9.00 Uhr mit diesem Schreiben zu informieren:
«Wir bedauern, Ihnen mitteilen zu müssen, dass unsere Firma heute um 8.15 Uhr einen unbefugten Zugriff auf die Infrastruktur festgestellt hat. Der Hackerin war es möglich, eine Erpressernachricht zu platzieren. Der für einen solchen Fall vorgesehene Krisenstab hat sich um 8.30 Uhr erstmals getroffen. Bisher wurden alle unsere Systeme vom Internet getrennt. Neben der Recherche, wie auf unsere Infrastruktur Zugriff erlangt werden konnte, arbeiten wir daran, unsere Offline-Backups chronologisch auf Infektionen zu untersuchen. Ein sauberes Backup wird auf eine Reserveinfrastruktur hochgeladen werden. Weitere Angaben erhalten Sie heute um 17.00 Uhr.»
Um 9.15 Uhr atmen Sie kurz durch. Alle Ihre Stakeholder haben Sie informiert und Sie können sich vollkommen der Situation widmen. Sie sind dankbar, dass Sie derartige Szenarien in gleicher Regelmässigkeit wie Feuerwehrübungen geübt haben. Bei den Übungen haben Sie Schwachstellen erkannt und behoben. Mit dem Team, das Sie nun haben, sind Sie zuversichtlich, dass Ihre Infrastruktur bis 16.00 Uhr wieder funktionstüchtig sein wird. Vermutlich haben Sie einige Daten der letzten Stunden verloren. Ob Sie wohl um 17.00 Uhr ankünden können, dass Sie die Attacke erfolgreich abwehren konnten? Wie hoch wird eine Busse für die Verletzung der Datensicherheit ausfallen?
