Nach der Cyber-Attacke
Cyber-Ernstfall: Warum Unternehmen auf externe Krisenprofis setzen sollten
Patrick Ulrich– Die Zahl der Cyberangriffe auf IT-Systeme von Unternehmen nimmt zu, mit teilweise drastischen Konsequenzen für die Firmen. Im Krisenfall entsteht schnell Hektik. Doch gerade in diesen Situationen ist ein Vorgehen mit Augenmaß gefragt – externe Krisenprofis bieten wertvolle Unterstützung.
Wie gehen Unternehmen heute mit Cyber Risiken um?
Der finanzielle Schaden durch digitale Angriffe beläuft sich bei deutschen Unternehmen jährlich auf über 50 Milliarden Euro – diese Zahl veröffentlichte vor kurzem der IT-Branchenverband Bitkom. Jedes zweite Unternehmen wurde laut der repräsentativen Studie des Verbands in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Datendiebstahl oder Sabotage. Besonders betroffen sind die Branchen Automobilindustrie (68%), Chemie/Pharma (66%) und Finanzdienstleistungen (60%). Die Unternehmen sind sich der Gefahr bewusst – doch sie sind offensichtlich der Meinung, alles im Griff zu haben: Nur 30% nehmen nach einem Angriff externe Unterstützung in Anspruch, lediglich 20% wandten sich an Behörden. Noch weniger Unternehmen schützen sich mit einer Versicherung gegen die finanziellen Folgen von digitalen Angriffen: Lediglich 3,6% der Unternehmen verfügen über eine entsprechende Deckung, wie die IT Sicherheitsberatung Corporate Trust in einer Studie herausfand. Viele Unternehmen trauen sich offenbar zu, die Folgen eines Einbruchs in die IT-Systeme beherrschen zu können.
Schutz durch technische Vorkehrungen
Der Schutz von Daten und IT-Systemen wird allzu oft als reines Technik-Problem verstanden: Wenn Sicherungssysteme, Anti-Viren-Software und Firewalls installiert sind, sollten die Daten ausreichend geschützt sein. Die Kluft zwischen dieser Vorstellung und der Realität ist leider oft so breit wie das Grinsen im Gesicht eines erfolgreichen Hackers, denn die Zugangswege für Angreifer sind vielfältig: Viren, Trojaner und Social Engineering, also das Ausnutzen des Faktors „Mensch“, sind nur die bekanntesten Beispiele.
Die zunehmende Mobilität, Cloud-Services und der Einsatz privater Endgeräte gefährden die Sicherheit zusätzlich. Während Unternehmen permanent die Deckung hochhalten müssen, genügt einem Hacker mit etwas Ausdauer und krimineller Energie ein einziger glücklicher Schlag. Dies belegt ein Blick in die Tagespresse: In den vergangenen Monaten wurden einige der sichersten und technologisch fortschrittlichsten Unternehmen und Organisationen der Welt erfolgreich angegriffen.
An präventiven technischen Maßnahmen führt selbstverständlich kein Weg vorbei – aber Unternehmen sollten sich nicht allein darauf verlassen. Die richtige Auswahl externer Partner entscheidet oft darüber, ob sich die Auswirkungen eines Angriffs eindämmen lassen.
IT-Profis mit Krisenroutine
Für den Ernstfall sollten Unternehmen über einen Kontakt zu Spezialisten für Cyberforensik verfügen. Auch wenn die internen IT-Experten über großes Know-how verfügen, sollten Unternehmen stets auf die Unterstützung von externen Beratern setzen.
Professionelle Distanz und große Erfahrung im Umgang mit immer neuen und technisch immer anspruchsvolleren Angriffen bietet die interne IT selten. Es ist sinnvoll, den Einsatz externer Berater grundsätzlich in entsprechenden Richtlinien festzulegen, damit Diskussionen über Zuständigkeiten im Ernstfall gar nicht erst aufkommen. Viele IT Beratungsunternehmen unterstützen darüber hinaus präventiv, etwa durch Sicherheitszertifizierungen oder Sicherheitsschulungen für Mitarbeiterinnen und Mitarbeiter.
Schneller als die Rechtsabteilung
Die Rechtabteilungen in Unternehmen verfügen über eine große Expertise im Vertrags- und Unternehmensrecht, sie kennen Compliance-Bestimmungen und verfolgen branchenspezifische Entwicklungen in der Rechtsprechung. Doch die nationalen und europäischen Gesetze, etwa bezogen auf die Informationspflichten beim Verlust von Kundendaten, sind nicht ihr routinemäßiger Arbeitsschwerpunkt.
Unternehmen sollten für den Fall eines Sicherheitsvorfalls über den Kontakt zu spezialisierten Kanzleien verfügen, die umgehend und fristgerecht alle nötigen Maßnahmen einleiten können.
Schutz gegen finanzielle Schäden
Verwandte Versicherungslösungen bieten nur scheinbar ausreichend Sicherheit gegen Cyber Risiken: IT-/Tech-Haftpflichtdeckungen etwa bieten lediglich Versicherungsschutz gegen Schäden, die direkt durch IT- und Telekommunikationsdienstleister verursacht wurden. Die Vertrauensschadenversicherung schützt gegen Eigen- und Drittschäden, die durch vorsätzliche, kriminelle Handlungen von Angestellten des eigenen Unternehmens entstehen. Bei Angriffen von außen ist der Schutz auf Schäden durch Angreifer mit einer zielgerichteten Bereicherungsabsicht begrenzt (Hacker-Klausel).
Nur spezielle Cyber Policen schützen bei Eigen- und Drittschäden unabhängig davon, wer den Schaden mit welcher Motivation verursacht. Dies schließt auch zum Beispiel finanzielle Schäden durch Zahlungen an Erpresser oder Kosten für den externen Rechtsbeistand ein.
Maßnahmen zum Schutz der Reputation
Erfolgreiche Angriffe auf die IT-Systeme von Unternehmen, wie etwa der Diebstahl von Mitarbeiter- oder Kundendaten, lassen sich nur schwer geheim halten. Oft fällt etwa ein Diebstahl von Daten erst dadurch auf, dass Kunden falsche Abbuchungen entdecken oder Ermittlungsbehörden eingeschaltet werden. Es ist daher besser, die Kommunikation schnell, offensiv und planvoll zu organisieren; Unternehmen sollten dazu die Hilfe von spezialisierten Beratern in Anspruch nehmen.
Gefragt ist eine professionelle Krisenkommunikation, die dabei unterstützt, die Position des Unternehmens in der Öffentlichkeit glaubwürdig zu vertreten und so den Imageschaden zu begrenzen.
Fazit
Bei einem digitalen Angriff auf ein Unternehmen ist externe Expertise in vier Bereichen der Schlüssel für eine schnelle und angemessene Reaktion:
- IT Sicherheitsexperten
- Spezialisierte Rechtsexperten
- Absicherungs-Know-how durch Versicherungsexperten
- Experten für Krisenkommunikation
