Worst-Case durch Cyberangriffe vorbereiten

Cyberkriminelle verursachen jedes Jahr mit ihren Cyberangriffen Schäden in Milliardenhöhe; oft genug sind Unternehmen aber nicht auf den Worst-Case vorbereitet. Dabei ist allein der deutschen Wirtschaft 2022 durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage ein Schaden von etwa 203 Mrd. € entstanden. Laut einer Umfrage des Digitalverbands Bitkom waren 84% der befragten Unternehmen Opfer von Cyberangriffen, weitere 9% mutmaßen dies. Corona hat die Dimension dahingehend noch erweitert, dass 2020 Mitarbeiter im Homeoffice im Fokus von täglich über 7 Millionen Cyberangriffen standen. Und schließlich hat auch der Ukraine-Krieg zu einer Zunahme von Angriffen, auch auf Kritische Infrastrukturen in Deutschland, geführt.

Die Bedrohungslage zu kennen und richtig einzuschätzen, ist eine Seite der Medaille, die andere ist, sich richtig auf den Worst-Case vorzubereiten. Und hier gilt nicht die Frage, „ob“, sondern „wann“ ein solches Ereignis eintritt. Regulierte Unternehmen, also solche, die unter die Kritis-Verordnungen fallen oder der Bafin beziehungsweise der EZB unterstellt sind, haben in den letzten Jahren einiges getan, um sich gegen Cyber- (und andere) Bedrohungen zu wappnen. Krisen- und Business Continuity Management (BCM) sind bei nicht-regulierten Unternehmen neben der Bedrohung durch Cyberattacken vor allem durch die Pandemie in den Vordergrund gerückt, denn diese sorgt nach wie vor bei den weltweiten engmaschigen Lieferketten für erhebliche Probleme, die zu Lieferverzögerungen und -ausfällen führen. Zulieferer großer internationaler Unternehmen geraten unter Druck, Vorkehrungen für Ausfälle und Verzögerungen zu treffen und diese auch nachzuweisen – im besten Falle ergänzend durch die Zertifizierung des Managementsystems als Nachweis für die Implementierung.

Das klassische BCM hat sich in der Regel auf den Verlust singulärer Produktionsmittel wie IT-Anwendungen, Gebäude, Anlagen oder Personal konzentriert. Schäden hieran lassen sich in ihrem Ausmaß meistens eingrenzen und möglicherweise durch andere Mittel kompensieren. Ein erfolgreicher Cyberangriff hingegen führt zu einer völlig anderen Schadendimension, da die Schadenswirkungen alle kritischen Ressourcen des Unternehmens gleichzeitig betreffen. Durch die Vernetzung von Geräten (IOT), Systemen und Nutzern muss man bei erfolgreichen Cyberangriffen daher von ganz anderen Umfängen und Zeiten zur Behebung des Schadens sprechen. Während lokal begrenzte Ereignisse wie ein normaler Ausfall der IT unter Umständen zu Ausfällen im Bereich von Stunden oder Tagen führen kann, sind die Einschränkungen des Betriebs durch einen Cyberangriff in der Regel noch wochenlang zu spüren, wie viele Beispiele der jüngeren Vergangenheit gezeigt haben. Das Hauptproblem ist, dass je nach Angriff unter Umständen alle digitalen Systeme betroffen sind, von der IT für die Produktion bis hin zur gesamten Kommunikation per PC oder Telefon (Stichwort Voice-over-IP). Viele Unternehmen machen sich nur ein ungenügendes Bild der Prozesse, die an einem Ausfall aller Systeme dranhängen. Wie etwa kommunizieren, wenn noch nicht einmal mehr das Telefon und die E-Mail funktionieren? Unternehmen müssen lernen, hier umzudenken und Prozesse und Strukturen zu etablieren, die auch im Worst-Case-Szenario noch ein Mindestmaß an Organisation und Kommunikation aufrechterhalten. Denn in der Krise ist es wichtig, rasch den richtigen Ansprechpartner zu finden, vor allem, wenn die Kommunikation vielleicht nur eingeschränkt möglich ist. Einen Krisenstab auch unter widrigen Bedingungen schnell einzurichten und zu führen, kann für ein Unternehmen überlebenswichtig sein.

Dazu müssen alle Beteiligten über das richtige Handwerkszeug in fachlicher und technischer Hinsicht verfügen – etwa Geräte, die analog funktionieren. Hier bedarf es auch den Blick auf die Generationen, denn viele jüngere Menschen sind „digital Natives“, kennen also viele Prozesse nur noch digital. Da kann das Aufbereiten von Informationen auf einer Flipchart durchaus zur Herausforderung werden. Daher ist es wichtig, alle relevanten Personen im Rahmen des BCM Szenarien üben zu lassen, und zwar auch unter Einbeziehung externer Organisationen wie der Polizei, Aufsichtsbehörden und andere. Denn Krisenstäbe in Cyberlagen können bedingt durch die Reichweite des Ereignisses durchaus umfangreicher ausfallen als bei anderen Schadenslagen. Zudem können mögliche Beteiligte wie Versicherer eigene Anforderungen an die zu treffenden Maßnahmen im Rahmen der Krisenbewältigung stellen. Daher sollten im Vorfeld Szenarien geprobt und mit den zuständigen externen Stellen wie LKA oder Versicherern besprochen werden, um im Ernstfall möglichst wenig Zeit zu verlieren und die „Chaosphase“ schnell hinter sich zu lassen. Denn eine Vertrauensbasis zwischen den Akteuren bildet die Grundlage für ein schnelles und abgestimmtes Handeln in der Krise.