Wird ein Unternehmen Opfer eines Cyberangriffs, ist die richtige Reaktion entscheidend. Ein Cyberangriff, beispielsweise mit Ransomware, ist nicht nur Angelegenheit der IT, sondern ein weitaus komplexeres Unterfangen, das ein funktionierendes Zusammenspiel verschiedenster Experten erfordert.
Es ist später Freitagnachmittag, der Grossteil der IT-Abteilung ist bereits auf dem Weg ins Wochenende. Nur die Minimalbesetzung des Teams ist noch anwesend, als der Anruf von Herr Müller eingeht. Er kann nicht mehr auf seine Dateien zugreifen. Wahrscheinlich braucht es bloss einen Neustart und die Sache ist behoben. Nach dem Anruf bleibt es zunächst ruhig. Dann gehen in kurzer Folge weitere Meldungen ein. Auch Herr Müller meldet sich erneut. Etwas stimmt hier nicht. Sie alle können nicht mehr auf ihre Dateien zugreifen. Mittlerweile ist es halb sechs am Freitagabend.
An dieser Stelle wird die IT-Abteilung aktiv, geht den Meldungen auf den Grund und eskaliert schliesslich um neunzehn Uhr an die IT-Leitung. Das fiktive Unternehmen ist Opfer eines Ransomware-Angriffs geworden: Alle Dateien auf dem Netzlaufwerk, alle Server und die Hypervisoren sind verschlüsselt.
Technische Bewältigung
Zuallererst bieten Unternehmen in dieser Situation all ihre IT-Kräfte auf und versuchen selbstständig, der Situation Herr zu werden: Dabei ignorieren IT-Mitarbeitende oftmals Schutzmassnahmen und nutzen beispielsweise nur noch ihre Domänenadministrator-Konten bei der Arbeit. Falls diese nicht bereits unter Kontrolle der Angreifer sind, ist das durch dieses Verhalten nun besonders einfach. Die Belegschaft nutzt in der Zwischenzeit die Microsoft-356-Umgebung von ihren möglicherweise kompromittierten Geräten. Der Kompromittierung der Microsoft-365-Nutzerkonten, die für einen späteren erneuten Angriff von Nutzen sind, steht nicht viel im Weg. Dies geht einige Tage weiter, bis die IT-Leitung keinen sinnvollen Fortschritt in der Sache feststellt. An diesem Punkt – es ist bereits eine Woche vergangen und es ist der nächste Freitagabend – wird externe Hilfe aufgeboten. In der Zwischenzeit stand das Unternehmen still, die Angreifer hatten weiterhin Zugriff und konnten diesen potenziell weiter ausbauen.
In solch einer Situation müssen ab der ersten Minute Incident-Response-Spezialisten aufgeboten werden. Diese verfügen über vordefinierte Abläufe (Playbooks) und das Fachwissen zur schnellen Eindämmung des Schadens, zum richtigen Umgang mit betroffenen Systemen und zur möglichst sicheren Wiederherstellung der Infrastruktur. Unternehmen sollten deshalb bereits vorab mit Spezialisten für Incident Response und Digitale Forensik Kontakt aufnehmen. Sie sollten sich über die Reaktionszeiten, die Möglichkeiten zur Unterstützung und die Kontaktdaten informieren, unter der die Experten im Ernstfall erreichbar sind. Diese Nummer sollte jederzeit bereitgehalten werden, damit im Notfall sofort die richtigen Expertinnen und Experten zur Seite stehen. Je länger Sie warten, desto weiter kann sich der Schaden ausbreiten. Gleichzeitig wird die zwingend notwendige Untersuchung des Vorfalls durch den fortlaufenden Verlust wertvoller Spuren immer mehr erschwert. All dies führt dazu, dass sich der Vorfall überproportional in die Länge zieht.
Die Incident-Response-Spezialisten stellen ausserdem sicher, dass die richtigen Rollen und Funktionen von Anfang an am Tisch sitzen. Ransomware-Vorfälle werden auch im Jahr 2022 immer noch zu häufig als Problem der IT angesehen. Dabei handelt es sich um eine Krise für das gesamte Unternehmen, die einer entsprechend breiten Teilnahme von Verantwortlichen und Entscheidungsträgern sowie der Bildung eines Krisenstabs bedarf.
Krisenführung
Das Krisenmanagement im Falle eines Cyberangriffs ist vielschichtig und erfordert einen interdisziplinären Ansatz und oft auch externen Support. Die hohe Komplexität bedingt ein enges Zusammenspiel zwischen Spezialisten der IT-Sicherheit, der Klärung rechtlicher Fragen und erfolgreicher Kommunikation mit internen und externen Anspruchsgruppen. Oft ist weder spezialisiertes Wissen zum Datenschutzrecht in der eigenen Firma vorhanden, noch gibt es Erfahrung in der Verhandlungsführung mit den Erpressern und es fehlen ausreichend Kommunikationsexperten, um in kurzer Zeit Sprachregelungen, Listen von Anspruchsgruppen, Medienanfragen und andere Kommunikationsaufgaben zeitgerecht zu erfüllen.
Nur eine klare Struktur hilft, zeitnah ein Lagebild zu erarbeiten und die richtigen Gegenmassnahmen zeitgerecht einzuleiten. Ein vordefinierter Krisenstab erlaubt, im richtigen Moment Lage, Zuständigkeiten und Vorgehensanweisungen an die relevanten Akteure zu kommunizieren. Fehlt ein vordefiniertes Notfallvorsorgemanagement oder ist dieses unzureichend kommuniziert oder nicht ausreichend erprobt, ergibt dies eine unstrukturierte Vorgehensweise. Durch die fehlende Koordination entstehen unnötige zusätzliche Stolpersteine, die den effektiven Umgang mit dem Angriff und mit seinen Auswirkungen verzögern. Folglich vergrössert sich der resultierende Schaden weiter.
Erfolgreiche Führung in der Krise fusst auf einer im Vorfeld definierten und effektiv erprobten Vorgehensweise. Dabei muss jeder Beteiligte seine Rolle und seine Pflichten kennen und der Krisenstab muss einwandfrei funktionieren, um seine Koordinationsaufgaben umzusetzen. Wie ein System müssen die Zahnräder von Herrn Müller über die IT-Mitarbeitenden bis hin zum Management gezielt ineinandergreifen.
Damit die eigenen Vorbereitungen auch wirklich krisensicher sind, kann ein Audit durch Experten im Vorfeld Gewissheit und Abhilfe bei Mängeln verschaffen.
Juristische Dimension
Wenn eine Krisensituation eintritt, ist es naheliegend, den Kreis der Eingeweihten so klein wie möglich zu halten. Es können jedoch gesetzliche Meldepflichten bestehen – zur Benachrichtigung der Datenschutz- und ggf. Aufsichtsbehörden sowie der betroffenen Personen und gewisser Vertragspartner. Die Meldepflichten gegenüber den Datenschutzbehörden finden sich in der EU-Datenschutzgrundverordnung (DSGVO) und ab September 2023 auch im revidierten Schweizer Datenschutzgesetz (revDSG). Beide Regelungen sehen sehr kurze Fristen für die Meldung vor – in der EU nur 72 Stunden nach Bekanntwerden der Datenschutzverletzung, in der Schweiz so rasch wie möglich, was in den meisten Fällen wohl 72 Stunden bedeuten wird. Das heisst, dass die Beurteilung, welche Behörden informiert werden müssen, und die Sammlung von Informationen darüber, welche Daten und wie viele Datensätze betroffen sind, welche Konsequenzen zu erwarten sind, und welche Massnahmen ergriffen wurden oder werden können, um die Situation in Griff zu bekommen, in dem oben dargestellten Szenario über das Wochenende erfolgen muss. Die Bussgelder für eine unterlassene Meldung können in der EU bis zu 4 % des weltweiten Umsatzes, in der Schweiz bis zu CHF 250’000 sein, die allerdings von der verantwortlichen Person innerhalb des Konzerns und nicht vom Unternehmen selbst zu zahlen sind.
Die Benachrichtigung betroffener Personen und – wenn der Vertrag eine Benachrichtigungspflicht vorsieht – die Benachrichtigung von Vertragspartnern bedürfen einer sorgfältigen Vorbereitung und Koordination. Auch hier kann ein Fehler zu Bussgeldern oder Vertragsstrafen führen. Die Unterlassung einer Meldepflicht kann auch zu einer strengeren Untersuchung durch die Behörden führen, die nach Lücken in der Einhaltung des Datenschutzes suchen, von denen die Angreifer profitiert haben könnten. Nicht selten werden die Opfer von Cyberangriffen härter bestraft als die Täter, weil bei den post-facto Untersuchungen ans Licht kommt, dass Datensicherheit und Datenschutz vernachlässigt wurden. Es zahlt sich aus, im Rahmen einer angemessenen Vorbereitung auf einen Angriff im Vorfeld in die Einhaltung von Datenschutzbestimmungen zu investieren.
Wenn Cyberkriminelle Lösegeldforderungen gegen Datenfreigabe stellen oder um von der Veröffentlichung von Daten abzusehen, steigt der Druck auf den Krisenstab. Das Einfordern von sogenannten Ransom-Geldern ist eine Straftat. Die Zahlung von Ransom-Geld ist hingegen nicht per se kriminell, obwohl Sanktionsvorschriften und Gesetze zur Bekämpfung der Geldwäscherei beachtet werden müssen. Die Entscheidung, ob man zahlt oder nicht, ist allerdings nicht auf die leichte Schulter zu nehmen. Die Strafverfolgungsbehörden werden immer davon abraten, zumindest offiziell. Eine Zahlung kann jedoch im Interesse des Unternehmens sein, wenn sie die Rückgabe von Daten garantiert, die ansonsten verloren wären, oder als Teil der Sorgfaltspflicht gegenüber Kunden oder anderen, deren Daten von einer Offenlegung bedroht sind. Es ist auf jeden Fall empfehlenswert, im Vorfeld zu überlegen, in welchen Szenarien eine Zahlung überhaupt in Betracht gezogen werden könnte.
Kommunikation
Zur Planung und Umsetzung der Krisenkommunikation nach innen bedarf es für eine umfassende Krisenführung auch eine strukturierte Kommunikation mit externen Anspruchsgruppen. So ist beispielsweise nicht nur der Kommunikationsprozess zur Geschäftsleitung und dem Verwaltungsrat zu definieren, sondern auch die Zuständigkeiten, um die bei einer Verletzung der Datensicherheit bestehenden Meldepflichten gegenüber den Behörden oder Kunden einzuhalten.
Sicherheitslücken bei einem Zulieferer oder einem Kunden sind nicht selten der Ursprung einer Cyberattacke auf das eigene Unternehmen. Damit gilt es, auch diejenigen Akteure in die Krisenplanung und Präventionsbemühungen einzubinden, welche sich unmittelbar an der Schnittstelle vom Unternehmen zur Aussenwelt befinden. Auch das ist primär eine Frage der rechtzeitigen Kommunikation.
Umfassende Krisenkommunikationsmassnahmen beinhalten zahlreiche Vorbereitungshandlungen:
- Listen: aktuelle Medienlisten, priorisierte Anspruchsgruppen etc.
- Issue Monitoring: Was passiert im Bereich Cybercrime und -security?
- Präventionskampagnen: Was müssen die Mitarbeiter wissen, um keine Fehler zu machen?
- Management in der Krise: Wer gehört in den Krisenstab, welche Prozesse müssen eingeübt sein?
Gute Vorkehrungen erhöhen die Chance einer strukturierten und zeitnahen Reaktion. Dies wiederum vermag im Ernstfall die monetären, rechtlichen und reputationsmässigen Folgen möglichst zu minimieren.
Eine professionelle und strukturierte Krisenkommunikation ist nicht nur ein wirksames Mittel, um den eingetretenen Schaden möglichst kleinzuhalten, sie lässt unter Umständen sogar die Krise zu einer Chance werden. Klug kommuniziert kann die erhöhte Aufmerksamkeit gepaart mit einer erfolgreich bewältigten Cyberattacke Bekanntheit und Image einer Unternehmung im positiven Sinne beeinflussen. Dies eröffnet zudem das Potenzial, Integrität und Vertrauen von internen und externen Anspruchsgruppen zu stärken.
Zahlungsverfolgung
Wurde eine Zahlung aufgrund einer Lösegeldforderung vorgenommen, so stellt sich die Frage, ob dieses Geld im Nachgang aufgespürt werden kann. In der Strafverfolgung nennt man dies „Follow the Money„, was einerseits (leider sehr selten) in der Identifikation der Täter resultieren oder (auch selten, aber nicht ausgeschlossen) immerhin dazu führen kann, dass verlangte Gelder in Form von Kryptowährungen zu Gunsten des Opfers blockiert und rückerstattet werden können.
Bei Scams bzw. Online-Betrug (siehe dazu den früheren Artikel zum Thema), welche heute mit Abstand am meisten Opfer-Verluste verursachen, sollte grundsätzlich immer und möglichst schnell reagiert werden in der Hoffnung, Gelder blockieren zu können. Im Gegensatz dazu ist bei Ransomware sorgfältig abzuwägen, ob der Versuch bezahlte Kryptogelder zu blockieren überhaupt gestartet werden sollte und zu welchem Zeitpunkt dies geschieht.
Sinnvoll sein kann dies allenfalls wenn, a) eine Lösegeldzahlung erfolgt ist und die Kriminellen ihr Versprechen trotzdem nicht eingehalten haben bzw. keine oder nur wenige Daten wieder vorhanden sind oder aber b) falls sämtliche oder genügend Daten wieder verfügbar sind und kein Vernichten oder Ähnliches mehr zu befürchten ist. Das Risiko, dass Kriminelle – mit Reaktion, um Gelder zu sichern oder nicht – dennoch beispielsweise Daten weiterverkaufen, publizieren oder erneut zur Erpressung verwenden, ist ohnehin nicht vollständig zu eliminieren.
Falls die Entscheidung getroffen wurde, dass versucht werden soll, Gelder zu blockieren, so ist schnell und global zu reagieren. Es bedarf der Erstattung einer Strafanzeige bei sämtlichen relevanten Strafverfolgungsbehörden und Finanzintermediären, das heisst allenfalls involvierte Banken und vor allem Crypto Exchanges, wobei zum Identifizieren dieser Spezialisten erforderlich sind – „Follow the Money“. Das Start-up CYBERA hat eine führende und industrieweit bisher einzigartige Plattform entwickelt, um in diesem Sinne global Strafanzeige zu erstatten.
Cyber Incident Hub: 360° Angebot als vielversprechende Lösung
Es wird deutlich, dass die Prävention und Reaktion auf Cybervorfälle zwingend bereichsübergreifende Zusammenarbeit erfordert. Nur wenn die verschiedenen Disziplinen ineinandergreifen und koordiniert zusammenwirken, haben Unternehmen die Chance, einen solchen Vorfall – wie einen Ransomware-Angriff – zu bewältigen, die Auswirkungen möglichst gering zu halten und die Erkenntnisse aus dem Vorfall für die Verbesserung der Präventionsmassnahmen zu verwerten.
Genau hier setzt der Cyber Incident Hub an – ein interdisziplinärer Zusammenschluss von vier Unternehmen aus unterschiedlichen Bereichen: Farner Consulting, MLL Meyerlustenberger Lachenal Foriep, Oneconsult und CYBERA. Der rund um die Uhr verfügbare Service reicht von der Erstellung eines Cybersecurity-Response-Plans und der Prüfung der Cyber-Risikobereitschaft bis hin zum juristisch korrekten Umgang mit Sicherheitsverletzungen, Datenverlusten und der Untersuchung von Cyber-Vorfällen. Gute Kommunikation im Falle der Attacke trägt zur raschen Erholung des eingefahrenen Reputationsschadens bei. Schliesslich gehört die jederzeitige Gewährleistung der Cyber- und Datensicherheit heute zu den rechtlichen Grundanforderungen an die Compliance und Good Governance.