Unternehmen sind nicht oder nur unzureichend darauf vorbereitet, im Falle eines Cyberangriffs angemessen zu reagieren. Vor allem die Geschäftsführerebene ist sich ihrer Verantwortung nicht immer beswusst und schiebt das Problem gerne in die IT-Abteilung ab. [...]

Baroness Dido Harding, ehemalige CEO des britischen Telekommunikationsunternehmen TalkTalk, eröffnete die Fachmesse Infosecurity Europe 2018 mit einer Warnung an Führungskräfte, sich der Verantwortung bewusst zu sein, die die Geschäftsführung hat, wenn es um Cybersecurity geht. Harding weiß wovon sie spricht. TalkTalk wurde 2015 Opfer eines Hackerangriffs, bei dem Daten von über 150.000 Kunden und über 15.500 Kontonummern gehackt wurden. Das Unternehmen entschied sich dafür, die Kunden noch am selben Tag über den Angriff zu informieren, konnte aber keine konkreten Auskünfte sowohl über die Art des Angriffes noch darüber, welche Daten betroffen gewesen und ob diese verschlüsselt gewesen sind, geben. Nach Aussagen wie »Die Wahrheit ist, ich habe keine Ahnung«, geriet Harding in die Schusslinie der Kunden und der Öffentlichkeit. Harding wurde persönlich verantwortlich gemacht, obwohl sie die Konzernvorgaben erfüllte. Der Vorfall kostete das Unternehmen schließlich 42 Millionen Pfund, der Aktienkurs fiel massiv und über 100.000 Kunden kündigten ihre Verträge. Zudem verhängte die britische Datenschutzbehörde eine Strafe von 400.000 Pfund für Fahrlässigkeit beim Schutz der Kundendaten.

Mangelnde interne Kommunikation

»Das ist die Art Szenario, die auch im Boardroom wahrgenommen wird«, sagt Andrew Beckett, Managing Director and EMEA Leader Cyber Risk des Beratungsunternehmens Kroll, im Gespräch mit der COMPUTERWELT. Aber so weit sollte es erst gar nicht kommen. Das grundlegende Problem ist laut Beckett, dass die Führungsebenen meist nur wenig Ahnung von Security haben und diese als ein Problem der IT-Abteilung abtun. »Ein Cyber-Vorfall hat aber fast unmittelbar Auswirkungen auf den Aktienkurs und die Reputation eines Unternehmens«, so der Experte, »und das betrifft auch den Vorstand.« Hier gebe es noch massive Kommunikationsprobleme zwischen dem Board und der IT-Abteilung. Das bestätigt auch eine IBM-Ponemon Studie zur Resilienz gegen Cyberangriffe. Der Report »The 2019 Cyber Resilient Organization« zeigt dass eine große Mehrheit der Unternehmen noch immer nicht darauf vorbereitet ist, angemessen auf Cyberangriffe zu reagieren. 77 Prozent der Unternehmen haben demnach keinen einheitlichen, unternehmensweiten Notfallplan. Die anhaltenden Schwierigkeiten bei der Umsetzung des Notfallplans wirken sich auch auf die Einhaltung der Datenschutz-Grundverordnung (DSGVO) aus. Obwohl die DSGVO bereits über ein Jahr in Kraft ist, geben fast die Hälfte (46 Prozent) der weltweit Befragten Manager an, dass ihr Unternehmen die Datenschutz-Grundverordnung noch nicht vollständig einhält.

»Wenn es darum geht, auf einen Cyberangriff zu reagieren, ist fehlende Vorbereitung der erste Schritt zum Misserfolg«, sagt Ronald Schranz, Partner der global tätigen strategischen Kommunikationsberatung Brunswick und Head von Austria & CEE. »Das Krisenmanagementsystem muss daher regelmäßig geprüft werden. Und damit ein solches Programm eingeführt und betrieben werden kann, bedarf es der vollen Unterstützung des Vorstands, um in die notwendigen Mitarbeiter, Prozesse und Technologien zu investieren.«

Krisenmanagement als Teamwork

Krisen stellen sich laut Schranz heutzutage angesichts der geänderten Rahmenbedingunen, vielfältigen Risiken und Bedrohungen, völlig anders dar. Die Bedrohungen verändern sich laufend so schnell, dass man sicher sein kann, dass trainierte Szenarien im Ernstfall nicht aktuell sind. »Aus Pseudovorbereitung entsteht falsche Sicherheit, die zu einem zusätzlichen Risiko wird«, so Schranz. »Unser Ansatz ist es, mit komplexen Situationen auch komplex umzugehen, indem man den Fokus auf das Krisenmanagement-Team legt und auf die üblichen Handbücher mit bestimmten Krisenfällen verzichtet.« So ein Team könne etwas getrennt vom Vorstand agieren, deshalb mit dem Thema freier umgehen und eine optimale Verfahrensweise herausarbeiten sowie erst prüfen, ob es sich überhaupt um eine Krise handelt oder nur ein Zwischenfall vorliegt.

»Das Team sollte nicht mehr als zehn Personen umfassen, muss eingeübt sein und auch die Möglichkeit haben, sich die nötigen Kompetenzen dazuzuholen. Was man in dem Team braucht ist jemand, der Rechtsverständnis hat, jemand, der die Operations kennt, jemand, der Zugriff auf die Kommunikation hat und vor allem jemand, der einen Überblick über die Stakeholderlandschaft hat«, erklärt Schranz. Wichtig sei, rasch mit den Mitarbeiten zu kommunizieren, damit sie wissen, was los ist und welche Rolle sie in dieser Situation haben. Das System brauche es eine präzise Vorbereitung mit Guidelines und klaren Regeln und Verantwortlichkeiten.

Eine Cyberkrise ist ein Sonderfall, der sich von anderen Krisen deutlich unterscheidet – inhaltlich, vom Ablauf her und nicht zuletzt vom Verständnis der Führungsspitze her, die dazu neigt, einen derartigen Vorfall als ein rein technisches Thema zu sehen. »Man hat keine Sympathien als gehacktes Unternehmen. Du bist zwar nicht der Böse, aber der Blöde, weil du es nicht geschafft hast, dein Unternehmen und die Daten zu schützen. Und wenn das Datenleck einmal entdeckt ist, weiß man noch lange nicht, seit wann es bestand und ob Daten etwa manipuliert, gelöscht oder abgegriffen wurden. Während dieser Phase ist die Kommunikation ein kritischer Faktor, um eine Cyberkrise zu bewältigen«, so Alexander Kleedorfer, Director bei Brunswick Austria & CEE. Wenn das Unternehmen nicht vorbereitet ist, könne ein öffentlich bekannt gewordenen Cybervorfall unangenehme Konsequenzen nach sich ziehen: »Es geht um die Resilienz des Gesamtunternehmens und nicht alleine um technisches Fixing, und es geht um mögliche Reputationsschäden, die man durch eine angemessene Kommunikation möglichst gering halten muss. Man sollte genau wissen, was man wann kommuniziert. Zum Beispiel muss man sich überlegen, was man öffentlich machen kann, ohne sich für später Probleme zu schaffen. Voreilig gesagte Dinge, die sich später als falsch herausstellen, sind gefährlich, denn man verliert schnell und dafür dauerhaft seine Glaubwürdigkeit.“

Neben den angesprochenen Unklarheiten ist das Bewusstsein der obersten Unternehmensebene und deren Liability ein wichtiger Aspekt bei Cyberzwischenfällen. „Wenn der IT-Abteilungsleiter auf ein Problem aufmerksam macht und die Geschäftsführung reagiert nicht, dann betreffen die Konsequenzen im Fall des Falles eher das Topmanagement als den IT-Verantwortlichen«, so Kleedorfer. »Das ist ein Teil der Problematik, warum sich viele Unternehmen in einer riskanten Situation befinden. Ein breiteres Verständnis für Cyberrisken der obersten Ebene wäre hilfreich – nicht zuletzt aus Eigeninteresse.«