07.10.2021 / Kategorie: CISO, Governance, Risk & Compliance
Es ist ein ganz normaler Arbeitstag, wie jeder andere auch im Büro. Doch um 10.11 Uhr zeigen sämtliche Clientgeräte nur noch einen schwarzen Bildschirm mit einer horrenden Lösegeldforderung. Für die Decryption der Geräte und eine Nicht-Veröffentlichung der Daten wird eine die Zahlung eines Betrages im sechsstelligen Bereich gefordert. Nun ist der Krisenstab gefragt. Doch gibt es diesen überhaupt? Was ist in so einem Fall zu machen? Wer trägt die Verantwortung?
Sicherlich kommt ein Szenario wie oben beschrieben nicht jeden Monat vor. Dennoch kann eine solche Situation plötzlich ohne Vorwarnung eintreffen. Eine grosse Sorge vieler CEOs ist, dass die Maschinen in der Fabrik stillstehen oder die Mitarbeitenden nicht mehr arbeiten können. Eine sehr begründete Sorge, denn ein Stillstand kann bei ungenügenden Liquiditätsreserven zum grossen Problem werden. Auch Just-in-Time Logistik kann so plötzlich ins Stocken geraten, wenn man nicht mehr genügend Kapazitäten für die Anlieferung respektive für die Lagerung hat. Auch in der Kundenarbeit kann es dadurch schnell zu Problemen kommen. Ein Versicherungsmakler, der unterwegs keinen Zugriff auf seinen Kalender und seine Kundendaten hat, ist nicht mehr in der Lage seinen Job zu erledigen.
Ein Mitarbeitender erhält eine E-Mail mit einem verseuchten Anhang und öffnet diese. Dadurch öffnet er dem Anhang, einer sogenannten Ransomware, Tür und Tor zu den IT-Systemen des Unternehmens. Diese Malware hat den Zweck, Daten aus dem Unternehmen zu stehlen und anschliessend die Daten auf den Servern des Unternehmens zu verschlüsseln. Ausserdem können die einzelnen Clients befallen und ebenfalls verschlüsselt werden. Was also ist in so einem Fall schiefgelaufen? Vieles, denn ein bisschen mehr Awareness für den richtigen Umgang mit E-Mails hätte den Fall verhindern können. Ebenso hätten ein Spamfilter oder ein Antivirenprogramm (Stichwort Endpoint Security) reagieren können. Dies von der präventiven Seite hergesehen. Auch bei der aktiven Seite der Cyber Defense hätte man ansetzen können: Zum Beispiel könnte Software den entsprechenden Abfluss der Daten bemerken. Auch Detection Systeme hätten bemerkt, dass der Trojaner auf den verschiedenen Clients und Servern umherirrt und Schaden anrichtet. Geschulte Security Analysten hätten mit verschiedensten Tools, die den IT-Verkehr überwachen, versucht, die Ransomware zu isolieren, sodass sich diese nicht weiter ausgebreitet hätte.
BCM wird als letzte Massnahme angesehen und soll Unternehmen helfen, schnell wieder operativ zu werden. Hierbei soll die Krise so schnell wie möglich abgearbeitet werden. Um Reputationsschäden zu vermeiden, sollte schnell und wenn möglich transparent informiert werden. Ausserdem ist es wichtig, mit Mitarbeitenden, Kunden, Lieferanten, Medien zusammenzuarbeiten. Nur ein kleiner Fehler und plötzlich gibt es Negativ-Berichterstattung, welche dem Unternehmen und dessen Reputation langfristig schaden.
Mit Geschwindigkeit kann sehr viel erreicht werden, dies erfordert jedoch Vorsorge. So macht es Sinn, Gefahren wie Ransomware schon im Voraus durchzuspielen. Dies hilft allen Akteuren, sich auf einen entsprechenden Fall vorzubereiten. In der Bankenbranche ist das gang und gäbe. So wird regelmässig der klassische Banküberfall mit den Mitarbeitenden durchgespielt. Meist werden wichtige Punkte in hektischen Situationen vergessen. Je mehr Routine jeder in seiner Funktion in der Krise erlangt, desto weniger wird vergessen. Je schneller die Verantwortlichen Herr über die Situation und die Krise werden, desto schneller sind sie auch wieder produktiv und können zum normalen Alltag des Unternehmens zurückkehren.
BCM wird als letztes Mittel gesehen, um aus einer Krise wieder herauszukommen. Der Krisenmodus schadet grundsätzlich dem ganzen operativen Teil des Unternehmens, da viele Ressourcen gebunden werden. Jedoch ist BCM bei einer Krise unerlässlich. Gut eingespielte Krisenteams und saubere Dokumentationen und Manuals helfen dem Krisenteam, die Krise zu bewältigen.
Ich war Projektleiter für ein Kinder- und Jugendlager mit ca. 800 Personen auf dem Lagerplatz, das rund zwei Wochen dauerte. Mir unterlag es, sämtliche Dokumente im Zusammenhang mit der Krisenbewältigung zu erstellen und die notwendigen Tools zur Verfügung zu stellen. Ich kann mich nicht mehr genau erinnern, aber es waren um die acht Fälle (sieben davon wegen erheblichem Sturm und Gewitter), zu denen wir den Krisenstab einberufen mussten. Einmal trat sogar der Fall von zwei parallel-laufenden Krisen ein, was mich selbst sehr überraschte. Am Anfang, als ich sechs Monate vor dem Lager die Dokumentationen aufbereitet und mit allen externen Stakeholdern durchgesprochen und Feedback eingeholt habe, kam immer der Nebensatz «wenn wir das denn brauchen». Im Nachhinein war ich froh für sämtliche Informationen und Schnittstellenkontakte, die ich hatte. Es machte die Kommunikation immens einfacher und die Leute der verschiedenen Organisationen wussten, da draussen ist ein Lager mit 800 Personen. In diesem Sinne kann ich sagen, Vorbereitung ist schon die halbe Miete. Bei uns war das Hauptziel der Schutz der Personen. In einem Unternehmen ist es genauso wichtig, sich der BCM-Thematik anzunehmen. Sei es wegen eines Cyber-Security Vorfalls oder wegen anderer Gefahren (wie zum Beispiel Feuer, Einbruch, Datendiebstahl, etc.). Das Lager ging nur zwei Wochen, Unternehmen sollen über Jahre hinweg bestehe. Desto, wichtiger ist es, die entsprechenden Notfallpläne griffbereit zu haben.
Ganz einfach, wer möchte als Unternehmen die ganze Zeit im Krisenmodus arbeiten? Niemand. Es ist wichtig, dass genügend Ressourcen für die Prävention und eine aktive Cyber Defense aufgebaut wird. Um Ressourcen zu schonen, sollten Sie sich bewusst sein, welche Massnahmen am effizientesten sind. Ein gutes und seriöses Risikomanagement hilft, einen effizienten Grundschutz aufzubauen und zu betreiben. Nicht in jedem Fall macht es Sinn, auf nur einen Parameter zu setzen. Oft ist es besser, eine sinnvolle Verteilung zu haben. BCM soll nur das letzte ultimative Element in der Kette sein und nur im äussersten Notfall zur Anwendung kommen.
Das Grundkonzept ist klar: So schnell wie möglich wieder operativ werden und die Krise bewältigen. Einfacher gesagt als getan, denn ohne Handbücher, Notfalltools, entsprechende Verantwortung und ein eingespieltes Krisenteam wird das schwierig. Daher muss klar zu definiert werden, wer den Krisenfall ausrufen kann und wer die Leitung und Zusammenkunft des Krisenstabs übernimmt. Hierzu müssen Personen definiert und geschult werden. Auch sollten wiederkehrend Krisenübungen durchgespielt werden. Der Krisenstab sollte grundsätzlich als Einheit funktionieren, jedoch sollte auch Platz für Inputs im Raum sein.
Ob Sie nun vorsorgen möchten und unsere Services für Security Incident Handling, SOC as a Service, BCM Unterstützung, Awareness-Kampagnen oder CISO as a Service benötigen - treten Sie mit uns in Verbindung. Gerne erarbeiten wir, mit Ihnen zusammen, die passende Lösung für Ihr Unternehmen.
Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications