Cybersecurity Notfallplan Kommunikation

Cybersecurity und die Rolle der Kommunikation

Beatrix Ta

Beatrix Ta

Dr. Beatrix Ta ist Projektmanagerin in der Konzernkommunikation von news aktuell sowie Expertin für Content-Konzeption und -Produktion, die besonders gerne Schachtelsätze verschwinden lässt.

Zum Profil

Datendiebstahl, Industriespionage, Ransomware- und Deep-Fake-Angriffe: Die Bandbreite von Cyberkriminalität wird immer größer. 82 Prozent der Unternehmen waren laut einer Bitkom-Studie im vergangenen Jahr von Cyberangriffen betroffen. Inzwischen nutzen Kriminelle auch verstärkt KI für ihre Zwecke. Es ist keine Frage mehr, ob, sondern wann ein Unternehmen von Hackern angegriffen wird. Sie müssen Cybersecurity ernst nehmen und sich für den Krisenfall vorbereiten. Eine Schlüsselrolle kommt dabei der Kommunikation zu. 

Inhalt

1. Warum ist Cybersecurity wichtig?

Während technologische Innovationen einerseits großes Potenzial für die Zukunftsfähigkeit unserer Wirtschaft bieten, eröffnet die fortschreitende Digitalisierung andererseits immer neue Türen für Missbrauch. Mehr Vernetzung und Technologisierung bedeutet mehr Anfälligkeit für Cyberangriffe. Sind wir ausreichend gewappnet gegen Cyberkriminalität? Welchen Stellenwert hat Cybersecurity inzwischen in den Unternehmen? 

Nach Einschätzung von Rüdiger Trost, Cybersecurity-Experte von WithSecure, sollte mittlerweile auch jedes kleinere und mittlere Unternehmen von einem Angriff bzw. Angriffsversuch betroffen sein, oder hat zumindest im Zulieferer-Umfeld davon gehört. Zudem, so Trost, fordern viele Unternehmen inzwischen ausreichend Schutzmaßnahmen als Voraussetzung für eine Kooperation ein, was dazu führt, dass sich immer mehr KMU mit dem Thema Cybersecurity beschäftigten müssen. 

Allerdings fehlt es nach wie vor an genügend Expertise in den Unternehmen. Umso wichtiger ist es, sich mit möglichen Bedrohungsszenarien konkret auseinanderzusetzen und sich Expertise von außen zu holen. Denn da die meisten Cyberangriffe oftmals zufällig und automatisiert ausgeführt werden, trifft es früher oder später jedes Unternehmen. 

2. Von Ransomware bis KI-gestütztes Pishing: Arten von Cyberangriffen

Zu den häufigsten Arten von Cyberangriffen gehört die sogenannte Malware, also eine Schadsoftware, die entwickelt wird, um Computer, Netzwerke oder Geräte zu schädigen, zu stören oder unbefugt darauf zuzugreifen. Dazu gehören unter anderem Viren, Würmer, Trojaner, Spyware und Ransomware. Letztere ist eine besonders hochentwickelte Malware, deren Ziel darin besteht, Daten auf einem System zu verschlüsseln oder den Zugriff zu blockieren, um dann z.B. Lösegeld für eine Entschlüsselung einzufordern. Ransomware verursacht oft massive Störungen, da sie wichtige Unternehmensdaten oder -systeme unzugänglich macht. Der Schaden kann immens sein, weil es zu Ausfallzeiten, Datenverlust, aber auch rechtlichen Konsequenzen kommen kann, wenn etwa sensible Informationen gestohlen wurden.

Eine andere Variante von Cyberkriminalität ist der sogenannte CEO-Betrug oder CEO-Fraud. Dabei wird versucht, mit der geklauten Identität von Vorgesetzten Gelder zu erschleichen oder an vertrauliche Informationen zu gelangen. Die Betrüger geben sich hier als hochrangige Führungskraft eines Unternehmens aus, um ihr „Opfer”, den Mitarbeiter oder die Mitarbeiterin, dazu zu bringen, finanzielle Transaktionen durchzuführen oder Daten preiszugeben. Dazu senden sie gefälschte E-Mails oder nutzen gehackte Konten und täuschen so die Identität einer vertrauten und höher gestellten Person vor.  

Häufige Bedrohungsszenarien für Cybersecurity:

  • Malware wie Viren, Würmer, Trojaner, Spyware, Ransomware 
  • Pishing-Mails
  • CEO-Fraud

Cyberkriminelle machen sich inzwischen auch Künstliche Intelligenz zu Nutzen. Zwar gibt es bisher nach Einschätzung von Rüdiger Trost keine merkliche Zunahme von Angriffen durch KI: „Wenn Angreifer KI nutzen, dann eher zum Entwickeln von Malware im Hintergrund. Die Vorteile beim Development, die alle haben, haben natürlich auch Malware-Entwickler. Das führt aber nicht zu mehr Angriffen, sondern die, die stattfinden, sind eben besser.”

Insbesondere im Bereich Pishing-Mails wird KI immer häufiger eingesetzt, um Texte zu generieren, die keine sprachlichen oder formalen Fehler mehr aufweisen. Rüdiger Trost: „Pishing-Mails können mit etwas Training eben perfekt auf ein Unternehmen angepasst werden. Heißt, wenn ich E-Mails eines Unternehmens habe, dann kann ich damit eine KI trainieren und nahezu perfekte Phishing-Mails erstellen – sowohl von der Tonalität als auch vom Design.”
 
Beim CEO-Fraud, so Trost, gibt es zwar theoretisch die Möglichkeit durch Deepfakes Stimmen von Mitarbeitern zu erzeugen, um dann am Telefon einen CEO-Fraud durchzuführen. Aber dazu sind aktuell noch keine tatsächlichen Fälle bekannt.

Neben den kriminell motivierten nehmen aber auch politisch motivierte Angriffe zu, bei denen es den Angreifern darum geht, möglichst großen Schaden anzurichten – etwa, wenn kritische Infrastruktur wie Krankenhäuser, Unternehmen aus Logistik, Rüstung oder Luft- und Raumfahrt, oder Behörden und Parteien angegriffen werden. 

Je nach Schweregrad richten Cyberdelikte auf Unternehmen immensen finanziellen Schaden an – im schlimmsten Fall muss die komplette Produktion aus Sicherheitsgründen heruntergefahren werden. Und auch die Auswirkungen auf die Unternehmensreputation dürfen nicht unterschätzt werden. Stehlen die Cyberkriminellen etwa sensible Kundendaten, ist der Imageschaden nur schwer wieder gut zu machen. 

3. Cyberangriffe ins Risikomanagement integrieren

Cyberangriffe sollten daher zwingend als Krisenszenario in das Risikomanagement aufgenommen und Cybersecurity zu einer Top-Priorität des Managements gemacht werden. Konkret bedeutet das:
 

  • Unternehmen müssen im ersten Schritt eine individuelle Risikoanalyse durchführen und einen konkreten Maßnahmenplan für die Prävention und für den Krisenfall ableiten. 
  • Sie sollten entsprechende Budgets für Cybersecurity-Fachkräfte zur Verfügung stellen.
  • Alle Mitarbeiterinnen und Mitarbeiter müssen ausreichend für die Thematik sensibilisiert werden und regelmäßige Schulungen zur IT-Sicherheit erhalten.
  • Falls die Krise eintrifft, muss ein klarer Notfallplan vorliegen. Dieser legt fest, wer Teil des Krisenstabs ist und definiert Prozesse, Verantwortlichkeiten und Kommunikationsmaßnahmen. 
  • Im Krisenfall sind interne und je nach Szenario auch externe Stakeholder schnellstmöglich zu informieren. Die Kommunikation ist jetzt das A und O. 

4. Vorbereitung ist die halbe Miete: Notfallplan für Cybersecurity

Gemeinsam mit Geschäftsleitung, IT-Sicherheitsbeauftragten und Rechtsabteilung sollten die Kommunikationsverantwortlichen mögliche Cyberangriffsszenarien durchspielen und als potenzielle Krisenauslöser in den Notfallplan integrieren. Was muss zum Beispiel passieren, wenn wichtige Kundendaten abgegriffen oder was, wenn die Webservices des Unternehmens lahmgelegt werden oder im schlimmsten Fall gar kein Zugriff mehr auf die internen Systeme möglich ist? 

Gutes Krisenmanagement im Rahmen von Cybersecurity definiert für den konkreten Fall eines Angriffs feste Prozedere und Verantwortlichkeiten:
 

  • Wer ist im Krisenteam?
  • Über welche Kanäle kommt das Krisenteam zusammen? Tipp: Am besten definiert und priorisiert man mehrere Kanäle, falls es zu Ausfällen kommt.
  • Wie wird die Lage beurteilt? Hier ist es hilfreich, sich im Vorfeld ein Fragengerüst zurecht zu legen, um im Ernstfall eine schnelle und umfassende Erstanalyse des Sachverhalts machen zu können, z.B.:
    • Was ist passiert?
    •  Welche Bereiche/Produkte/Systeme/Daten sind betroffen?
    • Muss der Angriff gestoppt werden? Wenn ja, wie?
    • Wer muss in die Durchführung der Maßnahmen involviert werden?
    • Ist ein Schaden entstanden?
    • Was sind die Optionen und welche Mittel sind notwendig, um den Schaden zu beheben?
  • Welche Kommunikations- und Handlungsmaßnahmen sollen eingeleitet werden? Auch hier ist es hilfreich, sich im Vorfeld ein Fragengerüst zurecht zu legen, z.B.:
    • Müssen situativ noch weitere Mitglieder ins Krisenteam?
    • Wer fungiert als Sprecher nach außen und nach innen?
    • Sind bereits Infos nach außen gelangt bzw. gibt es bereits externe Nachfragen?
    • Welche Stakeholder müssen informiert werden?
    • Welche Kanäle sollen für die Kommunikation genutzt werden?
    • Wer ist zuständig für die Kommunikationsmaßnahmen?
    • Wie soll die Sprachregelung für intern und – falls nötig – extern aussehen?
    • Gibt es eventuell rechtliche Implikationen?

Je detaillierter Unternehmen ihre Prozesse, Verantwortlichkeiten und Maßnahmen auf einen potenziellen Cyberangriff vorbereiten, desto souveräner können sie mit ihm umgehen. Optimalerweise testet der Krisenstab bereits „im Normalbetrieb“ das aufgesetzte Prozedere sowie die Kommunikationskanäle, um mögliche Schwachstellen ohne Stress auszumachen. 

Leitfaden für Krisenkommunikation

Ob Unternehmen durch eine Krise nachhaltiger Schaden zugefügt wird oder nicht hängt wesentlich vom Krisenmanagement und der Krisenkommunikation ab. In diesem Leitfaden zeigen wir, wie Sie sich kommunikativ optimal auf Krisen vorbereiten, welche Inhalte in ein professionelles Krisenkommunikationshandbuch gehören und was die Faktoren für eine erfolgreiche Krisenkommunikation sind. 

Zum Leitfaden Krisenkommunikation

5. Transparent und frühzeitig: Kommunikation bei Cyberangriffen

Im Notfallplan fest verankert sollte die Kommunikation an alle relevanten Stakeholder sein. Um diese im Fall eines Cyberangriffs und eines möglichen Komplettausfalls der Systeme überhaupt noch erreichen zu können, sollte man über ein geeignetes Backup-System verfügen. 

Als erstes müssen die eigenen Mitarbeiterinnen und Mitarbeiter über die Situation informiert werden – also über die aktuelle Sachlage, ggf. die bereits eingeleiteten Maßnahmen sowie die nächsten Schritte. Und es sollte ihnen eine Guideline für die Kommunikation nach außen an die Hand gegeben werden. Dann sind, je nach Schweregrad, möglichst zeitnah andere Stakeholder, etwa Kunden, Lieferanten, bei kritischen Infrastrukturen die Behörden und letztlich die Medienöffentlichkeit in Kenntnis zu setzen. 

Wenn es um Geschwindigkeit und Gleichzeitigkeit geht, können Kommunikationsdienstleister wie news aktuell unterstützen. In kürzester Zeit erreichen Unternehmensmeldungen über das ots-Netzwerk 100 Prozent der relevanten und tagesaktuellen Medien – deutschlandweit und international. news aktuell verbreitet Unternehmensnachrichten exklusiv über den nationalen Nachrichtenticker der Deutschen Presse-Agentur dpa und pusht die Meldungen somit direkt in die Redaktionssysteme der Medien. Zusätzlich erscheinen die Meldungen auf dem Presseportal, einem der führenden Portale für Pressemitteilungen in Deutschland. So können Unternehmen im Falle eines Cyberangriffs mit nur einem Tool ohne großen Aufwand und Zeitverlust die breite Öffentlichkeit erreichen. 

Aber Vorsicht: Trotz gebotener Eile und Transparenz sind vage und möglicherweise falsche Botschaften jedoch unbedingt zu verhindern. Sie erhöhen nur die Verunsicherung und führen in der Folge zu einem noch stärkeren Reputationsverlust. Besser ist es, den Prozess der Problembehebung und der Aufarbeitung bis zum Schluss kommunikativ zu begleiten und zu gegebener Zeit neue relevante Informationen mit allen Stakeholdern zu teilen. 

Auch kann es in manchen Fällen sinnvoll sein, mit der externen Kommunikation noch zu warten, etwa aus ermittlungstaktischen Gründen, wenn die Cyberkriminellen nicht vorgewarnt werden sollen. 

6. Was tun bei einer Erpressung? 

Auf keinen Fall sollten sich betroffene Firmen erpressen lassen, indem sie auf die oftmals geforderten Lösegeldbeträge der kriminellen Akteure eingehen – etwa, um gestohlene Daten zurückzuerhalten oder um lahmgelegte IT-Systeme wieder aktivieren zu können. In der Regel liefern Cyberkriminelle auch nach Bezahlung des Lösegeldes die versprochenen Entschlüsselungscodes nicht aus. 

Last but noch least: Je nach Sicherheitsvorfall haben Unternehmen eine Meldepflicht. Insbesondere, wenn Unternehmen der kritischen Infrastruktur angehören. Bei Störungen im Geschäftsablauf muss das Bundesamt für Sicherheit in der Informationstechnologie (BSI) benachrichtigt werden. Aber auch, wenn personenbezogene Daten von Kunden oder der Belegschaft betroffen sind, gibt es eine Meldepflicht: In diesem Fall muss die für Cyberangriffe zuständige Datenschutzbehörde innerhalb von 72 Stunden informiert werden. Grundsätzlich empfiehlt sich darüber hinaus immer, eine Anzeige bei der Polizei aufzugeben. Denn nur so kann Cyberkriminalität nachverfolgt und eingedämmt werden.  

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Reihe von Checklisten und Maßnahmenpaketen im Fall eines IT-Sicherheitsvorfalls.  

Öffentlichkeit bei Cyberangriff informieren

Im Fall eines Cyberangriffs müssen Sie schnell und zuverlässig alle relevanten Zielgruppen erreichen. Mit unserem Verbreitungsnetzwerk ots bringen wir Ihre Informationen zu sämtlichen tagesaktuellen und fachspezifischen Medien.

Mehr zu ots erfahren