(verpd) Stellt ein Unternehmen fest, dass Cyberkriminellen der Zugang auf die Firmen-IT gelungen ist, sollten sie aus drei Gründen schnell und richtig handeln: erstens, um die möglichen Folgen eines solchen Cyberangriffs so gering wie möglich zu halten, zweitens, um die Chance, dass die Täter ermittelt und verurteilt werden können, zu erhöhen, und drittens, um künftig besser gegen Cyberangriffe geschützt zu sein. Hilfreich sind dazu entsprechende Notfallpläne für den Fall der Fälle.
Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stellten bereits 2016 und 2017 fast 70 Prozent der Unternehmen und Institutionen hierzulande fest, dass sie von Cyberkriminellen angegriffen wurden. Bei knapp jedem zweiten Angriff erhielten die Kriminellen auch Zugang zur Unternehmens-IT und konnten beispielsweise Steuerungssysteme manipulieren, Daten abgreifen oder auch die Homepage der betroffenen Firma verändern.
Bei mehr als jeder zweiten betroffenen Firma führte das zum Produktions- oder Betriebsstillstand und fast jede vierte hatte Kosten, um den Vorgang aufzuklären und IT-Systeme oder Daten wiederherzustellen. Jedes sechste betroffene Unternehmen, das Opfer eines gelungenen Cyberangriffs war, kämpfte mit einem Reputationsschaden, bei jeweils sechs Prozent der Betriebe wurden Kundendaten oder sonstige sensible Daten gestohlen. Jede 25. betroffene Firma musste Entschädigungszahlungen an Kunden, Bußgelder oder sonstige Strafzahlungen leisten.
Notfallpläne erstellen
Wie bei jedem Verbrechen ist es für ein Opfer auch bei einem Cyberangriff wichtig, schnell und richtig zu handeln. Zum einen, um das Ausmaß des Schadens so klein wie möglich zu halten, und zum anderen, damit zeitnah Beweise gesammelt werden können, um die Verbrecher schnell zu fassen und auch verurteilen zu können.
Des Weiteren können die Erkenntnisse aus dem erfolgten Cyberangriff helfen, die Unternehmens-IT noch sicherer zu gestalten. Grundsätzlich raten Sicherheitsexperten jedem Unternehmen, bereits im Voraus für die verschiedenen Angriffsszenarien wie Datenklau, IT-Sabotage oder auch Onlineerpressung Notfallpläne festzulegen, um dann in der Krisensituation schnell und richtig handeln zu können.
Die Pläne sollten insbesondere die technischen und organisatorischen Maßnahmen wie auch die je nach Ereignis sinnvollen oder notwendigen juristischen Handlungen beinhalten.
Zuständigkeiten vorab klären
Je nach Vorfall sollten beispielsweise die Zuständigkeiten innerhalb der Firma geklärt sein. Es ist also wichtig festzulegen, wer wann welche Personen beziehungsweise Abteilungen – vom Management über die IT-Abteilung und den Datenschutzbeauftragten bis hin zur Rechtsabteilung, Presseabteilung und Betriebsrat – über einen Cyberangriff zu informieren hat. Wenn eine Cyberversicherung besteht, ist diese in der Regel umgehend zu informieren.
Zudem gilt es festzulegen, wer welche Entscheidungen treffen muss, also beispielsweise, wann welche externen Spezialisten hinzugezogen werden und wer die Polizei oder sonstige Behörden über den Vorgang informieren muss und zu welchem Zeitpunkt. Dabei sollten auch die Kontaktdaten aller zu informierenden Personen, Firmen und Behörden aufgelistet sein.
Übrigens gibt es auch gesetzlich vorgeschriebene Meldepflichten, die ein betroffenes Unternehmen einhalten muss, anderenfalls drohen Strafen. Diese Meldepflichten gibt es nicht nur nach einem erfolgten Cyberangriff, sondern auch schon, wenn sensible Daten abhandengekommen sind wie zum Beispiel durch einen Diebstahl der Hardware wie eines Firmennotebooks. Entsprechende Meldevorgaben enthält unter anderem die seit Mai 2018 geltende Europäische Datenschutz-Grundverordnung (DSGVO).
Meldepflichten unbedingt einhalten.
Die DSGVO schreibt zum Beispiel vor, dass eine Firma die zuständige Aufsichtsbehörde binnen 72 Stunden informieren muss, wenn personenbezogene Daten beispielsweise bei einem Hackerangriff gestohlen wurden und dadurch ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Zudem muss eine Firma unter Umständen die Betroffenen, deren personenbezogene Daten, gestohlen oder auf sonst einer Weise abhandengekommen sind, unverzüglich informieren.
Konkret heißt es dazu in Artikel 33 DSGVO unter anderem: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“
Der Artikel 34 Satz 1 DSGVO verlangt zudem: „Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
Technische Maßnahmen und Kommunikations-Grundlagen
Des Weiteren ist es wichtig, dass die Notfallpläne auch festlegen, welche technischen Maßnahmen im Ernstfall zu ergreifen sind. So sollten nach Angaben von Experten betroffene Systeme im laufenden Betrieb vom Netzwerk nur isoliert und nicht ausgeschaltet werden.
Darüber hinaus sind alle ereignisrelevanten Daten wie Systemprotokolle, Logfiles und verdächtige E-Mails zu sichern und eine genaue Ereignis- sowie Schadenbeschreibung anzufertigen. Auf digitale Lösegelderpressungen sollte man übrigens auf Anraten des Bundeskriminalamtes nicht eingehen.
Für den Notfall sollte es neben den Vorgaben zu den technischen Maßnahmen auch Verhaltens- und Kommunikations-Anweisungen für die Vorgesetzten und Mitarbeiter der Firma geben. Hier sollte geregelt werden, ob und wenn ja zu welchem Zeitpunkt und in welcher Form die noch nicht involvierten Mitarbeiter des Unternehmens und eventuell auch die Öffentlichkeit über den Vorfall informiert werden sollen. Hilfreich können hier bereits vorgefertigte Erklärungen für den Fall des Falles sein.
Weiterführende Informationen
Umfassende Informationen zum Thema Cybersicherheit und Notfallmanagement gibt es im Webauftritt des BSI. Der neue, herunterladbare Ratgeber „Sofortmaßnahmen bei Cyber-Angriffen“ enthält Tipps, wie eine Firma nach einem Cyberangriff reagieren sollte. Zudem zeigt die Broschüre auf, welche Maßnahmen bereits im Vorfeld wichtig sind, um für so einen Krisenfall vorbereitet zu sein.
Der Ratgeber wurde erst kürzlich vom GDV zusammen mit dem Innen- und dem Justizministerium des Landes Baden-Württemberg herausgegeben. Ebenfalls interessant: Beim Bundeskriminalamt steht der Ratgeber „Cybercrime – Handlungsempfehlungen für die Wirtschaft“ zum Download zur Verfügung. Neben den Notfallplänen kann sich ein Unternehmen im Vorfeld auch gegen die möglichen Folgen eines Cyberangriffs absichern.
Die Versicherungswirtschaft bietet zum Beispiel Cyberversicherungen an, die zahlreiche Ausgaben und Kosten, welche einer betroffenen Firma beispielsweise infolge eines Hacker- und Spionageangriffs entstehen, absichern. Einige Policen stellen auch Fachanwälte sowie Krisen- und Kommunikationsexperten, oder übernehmen die Kosten für solche externen Spezialisten, wenn dies aufgrund des Vorfalls erforderlich ist.
Zurück zu Versicherung + Vorsorge
