Datendiebstahl, Industriespionage, Ransomware- und Deep-Fake-Angriffe: Die Bandbreite von Cyberkriminalität wird immer größer. 82 Prozent der Unternehmen waren laut einer Bitkom-Studie im vergangenen Jahr von Cyberangriffen betroffen. Inzwischen nutzen Kriminelle auch verstärkt KI für ihre Zwecke. Es ist keine Frage mehr, ob, sondern wann ein Unternehmen von Hackern angegriffen wird. Sie müssen Cybersecurity ernst nehmen und sich für den Krisenfall vorbereiten. Eine Schlüsselrolle kommt dabei der Kommunikation zu.
Während technologische Innovationen einerseits großes Potenzial für die Zukunftsfähigkeit unserer Wirtschaft bieten, eröffnet die fortschreitende Digitalisierung andererseits immer neue Türen für Missbrauch. Mehr Vernetzung und Technologisierung bedeutet mehr Anfälligkeit für Cyberangriffe. Sind wir ausreichend gewappnet gegen Cyberkriminalität? Welchen Stellenwert hat Cybersecurity inzwischen in den Unternehmen?
Nach Einschätzung von Rüdiger Trost, Cybersecurity-Experte von WithSecure, sollte mittlerweile auch jedes kleinere und mittlere Unternehmen von einem Angriff bzw. Angriffsversuch betroffen sein, oder hat zumindest im Zulieferer-Umfeld davon gehört. Zudem, so Trost, fordern viele Unternehmen inzwischen ausreichend Schutzmaßnahmen als Voraussetzung für eine Kooperation ein, was dazu führt, dass sich immer mehr KMU mit dem Thema Cybersecurity beschäftigten müssen.
Allerdings fehlt es nach wie vor an genügend Expertise in den Unternehmen. Umso wichtiger ist es, sich mit möglichen Bedrohungsszenarien konkret auseinanderzusetzen und sich Expertise von außen zu holen. Denn da die meisten Cyberangriffe oftmals zufällig und automatisiert ausgeführt werden, trifft es früher oder später jedes Unternehmen.
Zu den häufigsten Arten von Cyberangriffen gehört die sogenannte Malware, also eine Schadsoftware, die entwickelt wird, um Computer, Netzwerke oder Geräte zu schädigen, zu stören oder unbefugt darauf zuzugreifen. Dazu gehören unter anderem Viren, Würmer, Trojaner, Spyware und Ransomware. Letztere ist eine besonders hochentwickelte Malware, deren Ziel darin besteht, Daten auf einem System zu verschlüsseln oder den Zugriff zu blockieren, um dann z.B. Lösegeld für eine Entschlüsselung einzufordern. Ransomware verursacht oft massive Störungen, da sie wichtige Unternehmensdaten oder -systeme unzugänglich macht. Der Schaden kann immens sein, weil es zu Ausfallzeiten, Datenverlust, aber auch rechtlichen Konsequenzen kommen kann, wenn etwa sensible Informationen gestohlen wurden.
Eine andere Variante von Cyberkriminalität ist der sogenannte CEO-Betrug oder CEO-Fraud. Dabei wird versucht, mit der geklauten Identität von Vorgesetzten Gelder zu erschleichen oder an vertrauliche Informationen zu gelangen. Die Betrüger geben sich hier als hochrangige Führungskraft eines Unternehmens aus, um ihr „Opfer”, den Mitarbeiter oder die Mitarbeiterin, dazu zu bringen, finanzielle Transaktionen durchzuführen oder Daten preiszugeben. Dazu senden sie gefälschte E-Mails oder nutzen gehackte Konten und täuschen so die Identität einer vertrauten und höher gestellten Person vor.
Cyberkriminelle machen sich inzwischen auch Künstliche Intelligenz zu Nutzen. Zwar gibt es bisher nach Einschätzung von Rüdiger Trost keine merkliche Zunahme von Angriffen durch KI: „Wenn Angreifer KI nutzen, dann eher zum Entwickeln von Malware im Hintergrund. Die Vorteile beim Development, die alle haben, haben natürlich auch Malware-Entwickler. Das führt aber nicht zu mehr Angriffen, sondern die, die stattfinden, sind eben besser.”
Insbesondere im Bereich Pishing-Mails wird KI immer häufiger eingesetzt, um Texte zu generieren, die keine sprachlichen oder formalen Fehler mehr aufweisen. Rüdiger Trost: „Pishing-Mails können mit etwas Training eben perfekt auf ein Unternehmen angepasst werden. Heißt, wenn ich E-Mails eines Unternehmens habe, dann kann ich damit eine KI trainieren und nahezu perfekte Phishing-Mails erstellen – sowohl von der Tonalität als auch vom Design.”
Beim CEO-Fraud, so Trost, gibt es zwar theoretisch die Möglichkeit durch Deepfakes Stimmen von Mitarbeitern zu erzeugen, um dann am Telefon einen CEO-Fraud durchzuführen. Aber dazu sind aktuell noch keine tatsächlichen Fälle bekannt.
Neben den kriminell motivierten nehmen aber auch politisch motivierte Angriffe zu, bei denen es den Angreifern darum geht, möglichst großen Schaden anzurichten – etwa, wenn kritische Infrastruktur wie Krankenhäuser, Unternehmen aus Logistik, Rüstung oder Luft- und Raumfahrt, oder Behörden und Parteien angegriffen werden.
Je nach Schweregrad richten Cyberdelikte auf Unternehmen immensen finanziellen Schaden an – im schlimmsten Fall muss die komplette Produktion aus Sicherheitsgründen heruntergefahren werden. Und auch die Auswirkungen auf die Unternehmensreputation dürfen nicht unterschätzt werden. Stehlen die Cyberkriminellen etwa sensible Kundendaten, ist der Imageschaden nur schwer wieder gut zu machen.
Cyberangriffe sollten daher zwingend als Krisenszenario in das Risikomanagement aufgenommen und Cybersecurity zu einer Top-Priorität des Managements gemacht werden. Konkret bedeutet das:
Gemeinsam mit Geschäftsleitung, IT-Sicherheitsbeauftragten und Rechtsabteilung sollten die Kommunikationsverantwortlichen mögliche Cyberangriffsszenarien durchspielen und als potenzielle Krisenauslöser in den Notfallplan integrieren. Was muss zum Beispiel passieren, wenn wichtige Kundendaten abgegriffen oder was, wenn die Webservices des Unternehmens lahmgelegt werden oder im schlimmsten Fall gar kein Zugriff mehr auf die internen Systeme möglich ist?
Gutes Krisenmanagement im Rahmen von Cybersecurity definiert für den konkreten Fall eines Angriffs feste Prozedere und Verantwortlichkeiten:
Je detaillierter Unternehmen ihre Prozesse, Verantwortlichkeiten und Maßnahmen auf einen potenziellen Cyberangriff vorbereiten, desto souveräner können sie mit ihm umgehen. Optimalerweise testet der Krisenstab bereits „im Normalbetrieb“ das aufgesetzte Prozedere sowie die Kommunikationskanäle, um mögliche Schwachstellen ohne Stress auszumachen.
Leitfaden für Krisenkommunikation
Ob Unternehmen durch eine Krise nachhaltiger Schaden zugefügt wird oder nicht hängt wesentlich vom Krisenmanagement und der Krisenkommunikation ab. In diesem Leitfaden zeigen wir, wie Sie sich kommunikativ optimal auf Krisen vorbereiten, welche Inhalte in ein professionelles Krisenkommunikationshandbuch gehören und was die Faktoren für eine erfolgreiche Krisenkommunikation sind.
Zum Leitfaden KrisenkommunikationIm Notfallplan fest verankert sollte die Kommunikation an alle relevanten Stakeholder sein. Um diese im Fall eines Cyberangriffs und eines möglichen Komplettausfalls der Systeme überhaupt noch erreichen zu können, sollte man über ein geeignetes Backup-System verfügen.
Als erstes müssen die eigenen Mitarbeiterinnen und Mitarbeiter über die Situation informiert werden – also über die aktuelle Sachlage, ggf. die bereits eingeleiteten Maßnahmen sowie die nächsten Schritte. Und es sollte ihnen eine Guideline für die Kommunikation nach außen an die Hand gegeben werden. Dann sind, je nach Schweregrad, möglichst zeitnah andere Stakeholder, etwa Kunden, Lieferanten, bei kritischen Infrastrukturen die Behörden und letztlich die Medienöffentlichkeit in Kenntnis zu setzen.
Wenn es um Geschwindigkeit und Gleichzeitigkeit geht, können Kommunikationsdienstleister wie news aktuell unterstützen. In kürzester Zeit erreichen Unternehmensmeldungen über das ots-Netzwerk 100 Prozent der relevanten und tagesaktuellen Medien – deutschlandweit und international. news aktuell verbreitet Unternehmensnachrichten exklusiv über den nationalen Nachrichtenticker der Deutschen Presse-Agentur dpa und pusht die Meldungen somit direkt in die Redaktionssysteme der Medien. Zusätzlich erscheinen die Meldungen auf dem Presseportal, einem der führenden Portale für Pressemitteilungen in Deutschland. So können Unternehmen im Falle eines Cyberangriffs mit nur einem Tool ohne großen Aufwand und Zeitverlust die breite Öffentlichkeit erreichen.
Aber Vorsicht: Trotz gebotener Eile und Transparenz sind vage und möglicherweise falsche Botschaften jedoch unbedingt zu verhindern. Sie erhöhen nur die Verunsicherung und führen in der Folge zu einem noch stärkeren Reputationsverlust. Besser ist es, den Prozess der Problembehebung und der Aufarbeitung bis zum Schluss kommunikativ zu begleiten und zu gegebener Zeit neue relevante Informationen mit allen Stakeholdern zu teilen.
Auch kann es in manchen Fällen sinnvoll sein, mit der externen Kommunikation noch zu warten, etwa aus ermittlungstaktischen Gründen, wenn die Cyberkriminellen nicht vorgewarnt werden sollen.
Auf keinen Fall sollten sich betroffene Firmen erpressen lassen, indem sie auf die oftmals geforderten Lösegeldbeträge der kriminellen Akteure eingehen – etwa, um gestohlene Daten zurückzuerhalten oder um lahmgelegte IT-Systeme wieder aktivieren zu können. In der Regel liefern Cyberkriminelle auch nach Bezahlung des Lösegeldes die versprochenen Entschlüsselungscodes nicht aus.
Last but noch least: Je nach Sicherheitsvorfall haben Unternehmen eine Meldepflicht. Insbesondere, wenn Unternehmen der kritischen Infrastruktur angehören. Bei Störungen im Geschäftsablauf muss das Bundesamt für Sicherheit in der Informationstechnologie (BSI) benachrichtigt werden. Aber auch, wenn personenbezogene Daten von Kunden oder der Belegschaft betroffen sind, gibt es eine Meldepflicht: In diesem Fall muss die für Cyberangriffe zuständige Datenschutzbehörde innerhalb von 72 Stunden informiert werden. Grundsätzlich empfiehlt sich darüber hinaus immer, eine Anzeige bei der Polizei aufzugeben. Denn nur so kann Cyberkriminalität nachverfolgt und eingedämmt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Reihe von Checklisten und Maßnahmenpaketen im Fall eines IT-Sicherheitsvorfalls.
Öffentlichkeit bei Cyberangriff informieren
Im Fall eines Cyberangriffs müssen Sie schnell und zuverlässig alle relevanten Zielgruppen erreichen. Mit unserem Verbreitungsnetzwerk ots bringen wir Ihre Informationen zu sämtlichen tagesaktuellen und fachspezifischen Medien.
Mehr zu ots erfahren