Nahezu jedes Unternehmen ist zumindest gefährdet, Opfer einer Cyberattacke zu werden. Da es einen hundertprozentigen Schutz nicht gibt, sind präventive Maßnahmen unabdingbar, um auf entsprechende Angriffe wenigstens so gut wie möglich reagieren zu können.
In dem Beitrag Angriffe überstehen wurde bereits ausführlich erläutert, dass der Umgang mit Cyberattacken mittlerweile fester Bestandteil der notwendigen Managementdisziplinen in jedem Unternehmen sein sollte. Bezugnehmend auf diesen Artikel gilt es, durch entsprechende Vorbereitung, Überwachung und technische Maßnahmen sowie eine permanente Übung einen bestmöglichen Schutz für den eigenen Betrieb sicherzustellen. Dabei ist der Einsatz von standardisierten Checklisten äußerst hilfreich.
Prüfung, ob ein Mindestmaß an Schutzmechanismen gegeben ist.
| Handlungsbedarf? | |
| Aufbau- und Ablauforganisation in Sachen Informationssicherheit durch (analoge) Einführung eines Informationssicherheitsmanagementsystems stärken | |
| Einsatz beziehungsweise Nutzung vorhandener IT-Systeme zur Erkennung von Unregelmäßigkeiten im Unternehmensnetzwerk | |
| Einsatz von Instrumenten zur Erkennung von Schwachstellen sowie Umsetzung regelmäßiger Penetrationstests | |
| Einsatz von Cybersecurity-Rating-Systemen zur Beurteilung der eigenen Resilienz und der von wesentlichen Partnern | |
| Aufbau von eigenen Kapazitäten zur Überwachung von verdächtigen Aktivitäten im eigenen Unternehmensnetzwerk oder Einkauf einer Managed Security |
In der Datenschutz-Grundverordnung (DS-GVO) ist eine 72-Stunden-Frist vorgegeben, in der die Verantwortlichen eine Meldung an die Aufsichtsbehörden abzugeben haben. Durch die zwingende Einbindung der staatlichen Aufsicht kommt es unweigerlich zu unangenehmen Fragen, ob im Unternehmen die notwendigen technischen und organisatorischen Maßnahmen vorgehalten werden beziehungsweise implementiert sind. Hinsichtlich der entsprechenden Meldung steckt das Problem naturgemäß im Detail. Die Verantwortlichen, also die Unternehmensleitung, muss sich mit dem aus dem Angriff erwachsenden Risiko für die Rechte und Freiheiten natürlicher Personen auseinandersetzen, entsprechend handeln und das Ergebnis dokumentieren. Und das nicht nur aus Sicht, dem Gesetzgeber Genüge zu tun, sondern aus eigenem Schutzbedarf heraus.
Prüfung, ob das Ergebnis korrekt dokumentiert wird.
| Handlungsbedarf? | |
| Einsatz von Instrumenten zur Beurteilung, ob ein Angriff vorliegt (IoC – Indicators of Compromise) | |
| Entwickeltes Business Continuity Managementsystem sowie ein entsprechendes Notfallkonzept | |
| Umsetzung einer Business Impact Analyse (BIA) im Rahmen des BCM, um feststellen zu können, welche Prozesse und hierbei welche IT-Systeme von besonderer Bedeutung sind | |
| Regelmäßige Übung entsprechender Notfallszenarien sowie Nachweis über die Umsetzung nebst Verbesserung | |
| Festlegung eines Prozesses zur datenschutzrechtlichen Beurteilung von Datenpannen | |
| Vorliegen einer Risiko-Kontrollmatrix, in der zum Beispiel Fristen, interne wie externe Ansprechpartner und Verantwortliche und rechtliche Implikationen klar aufgeführt sind |
War die Cyberattacke zum Leidwesen des betroffenen Unternehmens erfolgreich, steckt der Betrieb in einer echten, zunächst unkontrollierten Krise. Neben einer forensischen Aufbereitung, die zwingend einzuleiten ist, gilt es auch, eine 360-Grad-Betrachtung durchzuführen. Alle Prozesse (Produktionsausfall oder Lieferketten) und rechtlichen Aspekte (Vertragsstrafen) müssen beleuchtet werden. Mit anderen Worten: Es bedarf einer adäquaten Risiko-Kontrollmatrix.
Prüfung einer adäquaten Risiko-Kontrollmatrix.
| Handlungsbedarf? | |
| Einsatz von Instrumenten zur Beurteilung, ob Schadsoftware Befehle von außen erhält (sogenanntes Command & Control Botnetz) | |
| Vorhandensein von Kapazität und Know-how für die konzeptionelle Auseinandersetzung zur Definition eines effektiven Informationsschutzes | |
| Segmentierung der IT-Systeme, um Schaden zu minimieren | |
| Notfallkongruente Datensicherungskonzeption | |
| Übung von Rücksicherung und Wiederherstellung | |
| Besetzung einer Task Force mit Entscheidungsbefugnis | |
| Organisation von forensischem Know-how, um digitale Spuren und Beweise zu sichern | |
| Herstellung der Fähigkeit, auf Lösegeldforderungen eingehen zu können |
Die voranstehenden Ausführungen sollen die Entscheider in den dafür Unternehmen sensibilisieren, dass die Verantwortung im Hinblick auf Cybersicherheit, aber auch Informationssicherheit und Datenschutz, inzwischen massiv an Bedeutung gewonnen hat. Sollten bei den oben angeführten Checklisten mehrere Haken gesetzt werden müssen oder herrscht hierzu Unklarheit, bietet sich eine umfassende Analyse an. Zu klären wäre dann, ob
- ein entsprechendes Informationssicherheitsmanagementsystem einzurichten ist,
- alle technischen Instrumente effektiv arbeiten,
- ein Business Continutity Management installiert wurde,
- ein wirksames Notfallkonzept vorhanden ist,
- eine Task Force verlässlich gebildet werden kann (Risiko-Kontrollmatrix) und
- entsprechendes Know-how vorhanden ist.
