«Sie wurden gehackt und wir sind im Besitz sensibler Daten Ihres Unternehmens. Bei ausbleibender Lösegeldzahlung werden wir die Daten im Darknet zum Verkauf anbieten!»
Solche Nachrichten werden für Unternehmen immer häufiger zum Schreckensszenario – auch in der Schweiz. Neben der richtigen Prävention gegen Attacken gehört vor allem deren adäquate Bewältigung zum erfolgreichen Risk Management einer verantwortungsvollen Unternehmensführung.
Noch ist die zweite Jahreshälfte nicht angebrochen, und schon umfasst die Liste der gehackten Unternehmen eine Reihe prominenter Namen: Beispiele dafür sind der Autohändler Emil Frey, die CPH-Gruppe als einzige Zeitungspapierfabrik der Schweiz oder die weltweit aktive Flughafen-Servicegesellschaft Swissport. Die grosse Bandbreite von Hacker-Angriffen auf zahlreiche ukrainische und weitere europäische Regierungswebseiten verdeutlicht weiter: Cyberkriminalität und Cyberwar betreffen heute alle Arten und Grössen von Institutionen.
Die Ausgestaltung von Cyberattacken ist vielschichtig. Versagt die Prävention, bergen sie schwerwiegende Auswirkungen auf die Handlungsfähigkeit des betroffenen Unternehmens und erfordern rasches Handeln. Ihre Bewältigung ist interdisziplinär, die hohe Komplexität erfordert ein enges Zusammenspiel zwischen IT-Sicherheit, Klärung rechtlicher Fragen und erfolgreicher Kommunikation mit internen und externen Anspruchsgruppen.
Steigende Relevanz von Cyberangriffen
In einer Studie befragte der Britischen Security Anbieter Sophos 5’600 Unternehmen aus 31 Länder. Dabei zeigte sich, dass 60 Prozent der Schweizer Unternehmen 2021 Opfer eines Ransomware-Angriffs wurden. Erpresste Firmen zahlten durchschnittlich ein Lösegeld von 84’052 Franken, um ihre Daten zurückzuerhalten. Der Wert der betroffenen Schweizer Unternehmen liegt zwar unter dem Durchschnitt der gesamten Befragung (66 Prozent) und den Werten der Nachbarländer Deutschland (67%) und Österreich (84%); dennoch widerspiegelt die Befragung die Tatsache, dass Ransomware-Angriffe auch in der Schweiz zu einer bedeutenden Herausforderung für Unternehmen geworden sind. Zudem zeigt die Befragung auch, dass der Anteil an betroffenen Unternehmen zwischen 2020 und 2021 in der Schweiz von 46 Prozent auf 60 Prozent und weltweit sogar von 37 Prozent auf 66 Prozent gestiegen ist. Somit sind Ransomware-Angriffe nicht nur eine relevante, sondern auch eine wachsende Gefahr.
Quelle: Der entsprechende Bericht kann hier heruntergeladen werden.
Professionelle Kommunikation hilft Krisen erfolgreich zu meistern
Kommunikation ist in zweierlei Hinsichten ein Schlüsselelement für die erfolgreiche Bewältigung einer Krise inklusive Minimierung ihrer Folgen.
Einerseits gilt es nach eindeutiger Feststellung der Fakten durch eine umfassende interne Kommunikation sicherzustellen, dass die Mitarbeitenden über die vorherrschende Lage korrekt und im richtigen Zeitpunkt informiert sind. Zu regeln ist, wer wann über den Vorfall zu informieren ist und welche Inhalte die Information umfasst. Inhaltlich ist nicht nur über die entstandene Situation zu informieren (Was ist geschehen?), sondern auch über das Vorgehen und die Verantwortlichkeiten für die entsprechende Reaktion (Was wird wann von wem unternommen?).
Andererseits ist eine zeitnahe Kommunikation an unternehmensexterne Anspruchsgruppen wichtig, aber gleichzeitig auch heikel. In Zeiten von Hyper-Transparenz und exponentieller Informationsverbreitung ist es essenziell, die Kommunikationshoheit und die Handlungsfähigkeit beizubehalten. Das ist oft leichter gesagt als getan. Eine sachliche und entdramatisierte Darstellung der Ereignisse stützt die rasche operative Bewältigung der Krise. Oft weiss die Führung aber im Moment des Ereignisses zu wenig über die exakten Ausmasse des Datenlecks, um faktenbasiert orientieren zu können. Juristische Fallstricke verhindern ein allzu forsches Vorgehen, da Haftungsfragen und anderes zu beachten sind. Oft sind behördliche Meldepflichten in regulierten Bereichen (Finanzdaten, Patientendaten etc.) zu beachten.
Eine gut abgestimmte Krisen-Kommunikation, mitunter unter Beizug professioneller Kommunikationsberatung, bildet die Grundlage für ein effektives Krisen-Management. Sie erhöht die Chance, Folgeschäden im Bereich der Reputation zu minimieren. Kommuniziert eine Kommune im Mai eine Attacke auf ihre Server, behauptet gleichzeitig, der Datenverlust sei minim und stellt sich dann aber zwei Monate später heraus, dass Steuerdaten, Schulzeugnisse und Daten zu Beschwerdeverfahren im Netz auffindbar sind, ist das Debakel komplett. Hat die Governance dieser Gemeinde schon die Prävention verschlafen, so ist ihr Krisenmanagement unakzeptabel.
Erfolgreiche Prävention bedingt Massnahmen wie Risk Assessments und Issue Monitorings bereits im Vorfeld. Effektiv wirksame Vorbereitungen bedingen ein Denken in Szenarien und Disziplin, daraus die richtigen vorbeugenden Massnahmen auch wirklich umzusetzen. Ein Krisenplan oder -manual mit Zuständigkeiten an die entsprechenden Ansprechpartner (intern und extern) sollte beispielsweise nicht erst im Ereignisfall und unter Druck erarbeitet werden. Derartige Hilfsmittel erleichtern im Ernstfall die effektive Handhabung der Krise und vereinfachen die Aufarbeitung der Geschehnisse im Nachgang eines Ereignisses ungemein.
Professionelle und strukturierte Krisenkommunikation ist nicht nur wirksamer Reputationsschutz, sie lässt unter Umständen sogar die Krise zu einer Chance werden. Die erhöhte Aufmerksamkeit gepaart mit einer erfolgreich bewältigten Cyberattacke kann klug kommuniziert Bekanntheit und Image einer Unternehmung im positiven Sinne beeinflussen. Zudem besteht die Chance, Integrität und Vertrauen von internen und externen Anspruchsgruppen zu stärken.
Herausforderungen der Krisenkommunikation am Beispiel Cyberangriff
Opfer von Cyberangriffen haben oft Mühe, schnell eine zutreffende Lageübersicht zu gewinnen und neben der normalen Führung einen Krisenstab zu bilden. Ohne Lagebild und ohne Krisenstab wird es schwierig bis unmöglich im richtigen Moment Lage, Zuständigkeiten und Vorgehensanweisungen an die relevanten Akteure zu kommunizieren. Fehlt ein Notfallvorsorgemanagement oder ist dieses unzureichend kommuniziert oder nicht ausreichend erprobt, führt dies zu einer unstrukturierten Verhaltensweise; jeder macht, was er gerade als «am wichtigsten» erachtet. Damit entstehen zusätzliche unnötige Stolpersteine, die den effektiven Umgang mit dem Angriff und mit seinen Auswirkungen verzögern. Als Folge wächst der resultierende Schaden weiter an.
Zur Gewährleistung einer stringenten Führungs-Kommunikation sind auch die Schnittstellen des Unternehmens zu Partnern, Kunden und Lieferanten zu berücksichtigen. Heute sind beispielsweise Lieferantenketten ein lukratives Angriffsziel für Cyberkriminelle. Ist einmal ein Element der Kette geknackt, sind Angriffe auf weitere Teilnehmer ein Leichtes. Regelmässige Kommunikation an unterschiedliche Partner zu Aspekten der Cyber-Sicherheit im Vorfeld und zeitnahe Kommunikationsabläufe im Ernstfall, mindern Risiko und Schadensausmass eines Angriffs.
Einblick in einen konkreten Fall
Felix Wyss, Inhaber und Geschäftsleiter der Aarauer Carrosseriewerke AG offenbarte am 17. Wirtschaftssymposium Aargau wie umfangreich die Folgen eines Cyberangriffs über Lieferketten-Verbindungen für Ihn und sein Unternehmen waren. Neben der relativ tiefen Lösegeld-Summe von 55’000 Dollar, wurden 400 Arbeitsstunden aufgewendet und externe Hilfeleistungen bezogen. Relevant zu den monetären Kosten sind zudem auch die emotionalen Folgen für Herrn Wyss und seine Mitarbeitenden. Dieses Beispiel zeigt, dass Cyberangriffe hinsichtlich des Ausmasses ihrer Folgen weiterhin unterschätzt werden.
«Gouverner c’est prévoir»: Allfällige Kommunikationspflichten gegenüber der Geschäftsleitung, dem Verwaltungsrat oder den Behörden sollten bereits im Vorfeld abgeklärt werden. So kann bei der Verletzung der Datensicherheit eine Meldepflicht bei der Datenaufsichtsbehörde und den betroffenen Personen entstehen. Das überarbeitete Schweizer Bundesgesetz über den Datenschutz (revDSG) verlangt in Artikel 24 bei einer «Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt» «so rasch als möglich» eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Wenn es «zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt» müssen weiter auch die von der Verletzung der Datensicherheit betroffenen Personen informiert werden.
Die Formulierung bezüglich des ob und wenn ja in welcher Frist eine Kommunikation ausgeführt werden muss, lässt einen gewissen Interpretationsspielraum zu. Darum ist es relevant bereits im Vorfeld die Zuständigkeiten und Handlungsrichtlinien dazu in Varianten festzulegen. Ein Orientierungspunkt ist die Bestimmung der DSGVO (Art. 33) zu den Fristen: Sie gibt einen Zeitraum von 72 Stunden vor. Die Kenntnis dieser Kommunikationspflichten verhindert weitere (rechtliche und monetäre) Folgen und kann bei erfolgreicher Umsetzung die Wahrnehmung als vorbildliches Unternehmen weiter stärken.
Empfehlungen zu besserem Schutz und umfassender Prävention
Die obigen Elemente zeigen: Professionelle Kommunikation ist ein tragendes Element sowohl einer guten Prävention als auch einer erfolgreichen Krisenbewältigung – dies gilt gerade auch für Cyberangriffe. Angesichts der Häufung von Attacken ist eine proaktive Herangehensweise unabdingbar. Fehlende oder schlechte Vorbereitung und eine rein reaktive Vorgehensweise erhöhen nicht nur das Risiko, tatsächlich Opfer eines Cyberangriffs zu werden, sondern führen auch zu horrenden Kosten. Ein Teil davon wäre vermeidbar. Je länger es dauert, bis erfolgreiche Gegenmassnahmen greifen, desto mehr Schaden kann angerichtet werden (siehe Abb. 2).
Nur wenn die relevanten Akteure bereits im Vorfeld über die Risiken, Verhaltensweisen und Abläufe informiert werden, können Cyber-Angriffe verhindert bzw. im Eintretensfall strukturiert gehandhabt werden. Eine adäquate Vorbereitung bildet die Grundlage für eine stringente Kommunikation mit Aussenstehenden; diese mindert nicht nur Gefahren für die Reputation des Unternehmens, sondern allenfalls auch (teure) rechtliche Folgen.
Informationen zu den aktuellen Gefahren und entsprechenden Gegenmassnahmen lassen sich beispielsweise aus den regelmässig erscheinenden Berichten, Blogs und Best Practices von spezialisierten Firmen wie Microsoft entnehmen. Zudem lohnt es sich frühzeitig die eigene Krisenkommunikation oder Schutzmechanismen gegen Cyberrisiken durch Experten prüfen zu lassen. Gerade bei Cyberrisiken ist eine eingespielte Koordination der relevanten Abteilungen – Recht, IT, Kommunikation – essenziell. Ihr Zusammenwirken ermöglicht erst eine stringente und transparente Kommunikation.
Die frühzeitige Investition in adäquate Vorbereitungen verursacht interne Aufwände und mag einen gewissen Kostenfaktor darstellen. Diese Kosten sind jedoch angesichts des potenziellen Schadens (materiell und immateriell) eines unvorbereiteten Krisenmanagements als äusserst sinnvolle Investition zu erachten.
Ein Audit verschafft Klarheit
Mit Blick auf zunehmende Cyberrisiken scheint die Auffassung «hope for the best but prepare for the worst» bei den Unternehmen heute vermehrt Anklang zu finden. Auch wenn das Bewusstsein und die effektiven Massnahmen bezüglich Cyber-Attacken noch ausbaufähig sind, ist das steigende Interesse an der Thematik offensichtlich. Als Indiz dafür hat eines der führenden Medienhäuser der Schweiz das Risiko von Cyber-Attacken ernst genommen und das Team des Cyber Incident Hubs damit beauftragt, ihre Vorbereitungen und Sicherheitsstrukturen bezüglich Sicherheit, offene Rechtsfragen und Strukturen der internen und externen Kommunikation in der Krise zu durchleuchten. Zusammen mit den Experten des Unternehmens wurden anhand eines reellen Szenarios fundierte Vorgehensweisen definiert, welche im Ernstfall eine strukturierte und zielführende Reaktion ermöglichen.
Dabei wurden primär folgende Elemente sichtbar:
- Eine formalisierte und übergeordnete Krisenorganisation mit Krisenstab und klaren Führungsprozessen muss für diesen Fall geschaffen werden.
- Mitglieder, Rollen, Verantwortlichkeiten und Stellvertretungen in einer Krisenorganisation sind bezüglich Cyberattacken klarer zu regeln.
- Es sollten systematische und regelmässige Übungen zur Krisen- und Vorfallbewältigung stattfinden.