Notfallpläne bei Cyberattacken

Das Volumen der verschiedenen Bedrohungen durch Cyberattacken hat in den letzten Jahren stetig zugenommen; so gibt es etwa eine Milliarde identifizierter Malware-Familien, zu denen laut dem IT-Sicherheitsdienstleister AV-Test täglich etwa 312.000 neue Varianten täglich kommen und die in Notfallplänen berücksichtigt werden müssen. 

Die potenziellen Ziele sind dabei ebenso vielfältig wie die Art der Angriffe selbst. Gerade Unternehmen sind häufig Opfer von Cyberattacken, die von Spionage bis Erpressung (Ransomware) und Sabotage reichen können. Und die Unternehmen reagieren. Hatten laut einer Studie „IT-Sicherheit 2019“ des Eco-Verbands der Internetwirtschaft e.V. 2018 nur 32 Prozent der Befragten einen Notfallplan, waren es 2019 schon 57 Prozent. Ein solcher Plan sollte unbedingt das Business Continuity Management (BCM) und ein IT-Notfallmanagement als Bestandteile einer ganzheitlichen Cyber-Security mit beinhalten. Das BCM hat die Fortführung kritischer Geschäftsprozesse auch bei Eintritt schädigender Ereignisse zum Ziel, das IT-Notfallmanagement soll die effektive Meldung sowie Bewältigung von IT-Notfällen durch eine einheitliche Systematik und verstetigte Übungen gewährleisten.

Unternehmen und Behörden sollten nach Möglichkeit Cybervorfälle auch üben, denn häufig ist der Faktor Zeit kritisch bei der Bewältigung, und eingespielte Prozesse sind damit sehr wichtig. Ein effektives Cyberkrisenmanagement ermöglicht eine angemessene Reaktion auf Cyberrisiken und muss laufen optimiert werden, um sich der Bedrohungslage anzupassen. Vorfälle müssen analysiert und auf „Lessons Learned“ überprüft werden. Die Erfahrungen aus Übungen und/oder Vorfällen erstrecken sich in der Regel auf vier Bereiche: Menschen, Kommunikation, Prozesse und Technik. Der menschliche Faktor ist sicherlich immer noch mit einer der anfälligsten im Bereich Cyber-Security. Es sollten ausreichend Kenntnisse zu den IT-Systemen vorhanden sein und im Ernstfall zügig externe Experten hinzugezogen werden. Das Krisenteam und der Krisenstab müssen personell qualifiziert besetzt sein, damit Abläufe funktionieren, Belastungen entsprechend verteilt sein. Bei der Kommunikation ist eine Meldung an das BSI immer zu beachten, ebenso frühzeitig zu Stakeholdern und Kunden. Außerdem sollte über eine offene Kommunikation nach draußen nachgedacht werden, da diese Transparenz (Vertrauen als Kapital) und Awareness schafft. Der Aufwand für eine effektive Krisenkommunikation ist im Übrigen sehr hoch, alle Beteiligten sollten über einen „Dauerdraht” immer auf Stand gehalten werden. Im Bereich Prozesse sind die erwähnten Komponenten Notfallpläne, BCM und IT-Management zu nennen, die überhaupt erst einmal vorhanden sein müssen. Ebenso ist es wichtig, Szenarien auszuarbeiten, Netzwerke für die Kommunikation zu erstellen und Verteiler- und Kontaktlisten vorzuhalten. Checklisten für den Ernstfall, wer wann unter welchen Umständen zu benachrichtigen ist, leisten hier gute Dienste. Etablierte IT-Notfall- und Krisenprozesse sind für die notwendige, systematische und transparente Zusammenarbeit zwischen IT-Sicherheitsexperten in den einzelnen Geschäftsfeldern unabdingbar. Im technischen Bereich hat es sich gezeigt, dass Trennung von Netzwerken (Produktion, Verwaltung) ein erster, wichtiger Schritt in Sachen Sicherheit ist. Log-Dateien von Vorfällen sind für spätere Analysen wichtig und dürfen nicht gelöscht werden. Das bedingt, dass ein Logging stattfindet – fehlen ein zentrales Logging und die Auswertung sicherheitsrelevanter Daten, behindert dies die übergreifende und vollständige Ursachen- und Verbreitungsweganalyse. Für die Kommunikation ist es empfehlenswert, redundante Kommunikationswege (zum Beispiel andere Mobilfunk-Provider) bereitzustellen.

Dies sind nur einige Beispiele für Maßnahmen, wie sie sich aus Vorfällen und deren Analyse ergeben können. Auch wenn es einige übergreifende Rahmenempfehlungen wie etwa vom BSI gibt, so muss jedes Unternehmen selbst dezidiert eine Risiko- und Gefährdungsanalyse durchführen und daraufhin seine Maßnahmen passgenau abstimmen und implementieren. Die gestiegene Bereitschaft, Notfallpläne zu entwickeln zeigt, dass die Bedrohung auch unterhalb von Konzernen angekommen ist und potenzielle Schäden als ernstzunehmende Gefahr wahrgenommen werden.