Wiederanlauf nach Cyberattacke: Retten, was zu retten ist?

Die Auswirkungen digitaler Attacken können gravierend und vielfältig sein. Es drohen Reputationsverluste bei Kunden, Partner und Behörden, Datenschutz- und Rechtsverstöße sowie erhebliche finanzielle Schäden. Dies können temporäre Umsatzausfälle sein, aber auch der Verlust einer Geschäftsbeziehung. Die Folgen bei von außen verschlüsselten Festplatten und ähnlichen Cyberangriffen werden schnell klar: Daten und Informationen sind nicht mehr verfügbar. Handelt es sich aber um Wirtschaftsspionage oder aktive Datenmanipulation, so können die Folgen einer Cyberattacke auch erst schleichend eintreten. Insofern ist die Bedrohung jetzt da, aber Auswirkungen sind erst später spürbar.

Angriffe abwehren oder verhindern, bevor sie gelingen: Lange Zeit war Prävention die zentrale Strategie zum Schutz vor Cyberangriffen. Durch die zunehmende Raffinesse von Cyberkriminellen wird es immer schwieriger, Sicherheitsvorfälle und Datenpannen vorherzusehen und zu verhindern. Zwischen Angreifenden und einzelnen Opfern von Angriffen bestehen damit zwei Ungleichgewichte:  Zum einen die zeitliche Asymmetrie (Erkennung des Angriffs, ggf. erst verzögert spürbare Auswirkungen) und die Ressourcen-Asymmetrie: Massive Angriffskampagnen von z.B. staatlichen Stellen oder „auf Bestellung“ im Darknet stehen den Ressourcen zur Cybersicherheit bei jedem einzelnen Opfer gegenüber. Es ist also mit Angriffen und Auswirkungen zu rechnen – Art, Zeit und Auswirkungen sind aber nicht planbar.

Daraus folgt: „Im Falle des Falles“ ist es wichtig zu wissen, was im zu tun ist – einen Plan zu haben, um die negativen Auswirkungen des Angriffs abzumildern. Reaktionspläne müssen dann vorhanden und durchdacht sein – nach Eintritt des Notfalls ist keine Zeit, dies ad hoc nachzuholen.

Allerdings ist das nur ein Teil der Lösung, denn um umfassend auf Krisen reagieren zu können, ist eine ganzheitliche Strategie nötig, die eine zielgerichtete Resilienz des Unternehmens gewährleistet. Wie kann also eine ganzheitliche Strategie aussehen?

Die ganzheitliche Antwort lautet: Business Continuity Management (BCM). Unter BCM werden alle technischen wie organisatorischen Maßnahmen und Prozesse in ein Managementsystem (BCMS) zusammengefasst, die auch im Krisenfall den Geschäftsbetrieb des Unternehmens sichern und darüber hinaus die vollständige Wiederherstellung in einem sicheren Zustand erlauben.

Ziel des BCM ist also die Existenzsicherung mittels zweier Komponenten: die Präventivmaßnahmen, um Auswirkungen aus einem Schadensereignis zu minimieren, also, die Ausfallsicherheit der Geschäftsprozesse zu erhöhen, sowie die konkrete Vorbereitung von Maßnahmen nach Eintritt eines Ereignisses. Werden mehr Maßnahmen zur Notfallbewältigung „im Standard“ bereits bedacht, können diese vom reaktiven zum präventiven Teil werden. Zum Beispiel eine Multi-Vendor-Strategie beim Ausfall eines Dienstleisters oder eines Rechenzentrums.

Ein „Schwenk“ ist dann möglich. Ist die Resilienz bereits im Regelbetrieb weit genug entwickelt, ist die Minimierung oder sogar Vermeidung von Auswirkungen möglich. Aber: dann müssen alle Maßnahmen mutig ergriffen und „nach Plan“ erfolgen, d.h. ineinandergreifen.

Eine der wichtigsten Komponenten der Risikominderung im Falle eines Cyberangriffs ist die Geschwindigkeit, mit der sich Ihr Unternehmen von den Folgen erholen kann. Denn klar ist: Geschwindigkeit und Qualität der Reaktion auf Notfälle und Krisen sind Wettbewerbsfaktoren und können existenzentscheidend sein.

Verzögert sich aber die Reaktion, gewinnen die Angreifer wertvolle Zeit, um Daten zu stehlen oder zu manipulieren – und der Schaden fällt entsprechend größer aus. Rechtsstreitigkeiten, behördliche Strafen und Reputationsverlust können zusätzliche Kosten verursachen.

Um den Fortbestand des Geschäftsbetriebs sicherzustellen, müssen Rollen und Verantwortlichkeiten klar verteilt sein. Diese werden in einem Wiederherstellungsplan, dem sogenannten Disaster Recovery Plan (DR) festgehalten. Als Teil des BCM erlaubt er es der Organisation flexibel auf unterschiedliche Krisenszenarien zu reagieren.

Eine erfolgreiche DR-Lösung adressiert in der Regel alle Arten von Betriebsstörungen und Gefährdungslagen. Diese reichen von Ausfällen der IT-Systeme, beispielsweise aufgrund eines Stromausfalls, über die Ausfälle von Gebäuden bis hin zu Bombendrohungen oder großen Naturkatstrophen. Natürlich hat ein breit angelegter Malware-Angriff eine andere Bedeutung für die Datensicherungsstrategie als ein Wasserschaden oder ein Brand an einem einzelnen Standort.

Daher muss ein DR-Plan eine umfassende Risikoanalyse enthalten und nach Art der Katastrophe und des Standorts organisiert werden. Zudem muss er Skripte (Anweisungen) enthalten, die von allen Verantwortlichen implementiert werden können.

Nur wenn geplant und organisiert vorgegangen wird, ist eine optimale Notfallvorsorge und -bewältigung möglich. Ein standardisierter Prozess zum Notfallmanagement reduziert die Auswirkungen einer Krise und sichert somit den Betrieb und Fortbestand des Unternehmens. Um den Wiederanlauf effizient zu realisieren, liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) als nationale Cyber-Sicherheitsbehörde Standards, die als Orientierung für Unternehmen dienen.

Neben den allgemein bekannten Standards der International Organization for Standardization (ISO), stellt das National Institute of Standards and Technology (NIST) ein anerkanntes und erprobtes Modell bereit, das eine Reihe von Empfehlungen und Standards enthält, die es Organisationen ermöglichen, besser auf die Identifizierung und Erkennung von Cyberangriffen vorbereitet zu sein.

Das Rahmenwerk kategorisiert alle Cybersicherheitsfähigkeiten, Projekte, Prozesse und täglichen Aktivitäten in diese fünf Kernfunktionen:

• Identify: Vorhandensein eines der Organisation angepasstem Verständnis des Managements von Cyber-Risiken
• Protect: Implementierung von angemessenen Schutzmaßnahmen
• Detect: Implementierung der notwendigen Fähigkeiten zum Erkennen von Sicherheitsvorfällen
• Respond: Implementierung von Konzepten und Aktivitäten zur Reaktion auf Cyber-Security-Vorfälle
• Recover: Implementierung von Konzepten und Aktivitäten zum Erreichen einer angemessenen Ausfallsicherheit und Widerstandsfähigkeit gegenüber Cyberangriffen.

Verbindet man nun das NIST-Modell der Fähigkeiten mit den ISO 22301 bzw. BSI-Standard 200-4 zur Business Continuity, so sind die Fähigkeiten nicht nur auf IT-Komponenten, Netzwerke, Daten und Informationen anzuwenden, sondern auch auf alle weiteren „kritischen Ressourcen“, von deren Verfügbarkeit die Leistungserbringung in einem Prozess, Verfahren oder Geschäftsmodell abhängt. Sind die möglichen Ausfälle bei Mitarbeitenden in Szenarien durchdacht, Engpässe vorhersehbar (identifiziert)? Wie schnell erkennen wir woran, dass ein echter Engpass bei Personal, ein Ausfall von Dienstleistern, physischer Infrastruktur oder sonstigen Betriebsmitteln droht?

Wurden Redundanzen und Pläne entwickelt, so können Notsituationen (Respond) und ein Wiederanlauf bzw. Ersatz nach Ausfällen (Recover) vielleicht vermieden werden – man hat einfach schnell genug reagiert. Dies unterscheidet auch Notfälle von Krisen und Katastrophen. Die Situation ist dann per Definition nicht mehr mit eigenen Mitteln zu bewältigen. Aber das angemessene und mögliche, um möglichst Resilient und schnell in der Reaktion zu werden, ist getan – man ist nach bestem Wissen und Gewissen „aufgestellt“. Denn klar ist: Ohne Brandmelder muss man sich nicht wundern, wenn das Haus abbrennt, bevor die Feuerwehr da ist.

Unternehmen, die es schaffen ihre Ressourcen so gut und zielgerichtet einzusetzen, dass sie flexibel auf disruptive Veränderungen reagieren können, bleiben auch in der Krise handlungsfähig, glaubwürdig und damit kreditwürdig bzw. interessant für Investor*innen, Mitarbeitende und Partner*innen. Dies gilt nicht nur im Einzelfall eines Cyber-Angriffs oder Notfalls, sondern die Resilienz ist ein Signal im Markt.

Wie ein Gummiball schaffen sie es, Deformationen auszugleichen und schnell wieder ihre ursprüngliche Form anzunehmen. Und nicht nur das: Resilienz ist erst dann erreicht, wenn Unternehmen aus diesen Vorfällen lernen und an den Herausforderungen wachsen.