IT-Sicherheit richtig kommunizieren – Ansatzpunkt Unternehmensreputation

bei

 / 9. September. 2021

Im eigenen Unternehmen Verständnis und Bewusstsein für IT-Sicherheit zu erzeugen ist schwierig. Vor allem dann, wenn das obere Management nicht hinter einem steht. Dort ist man sich des vollen Schadenspotentials eines Cyberangriffs häufig gar nicht bewusst. IT-Sicherheitsabteilungen können hier gegensteuern, indem sie ein zentrales Asset in die Kommunikation mit ihren Geschäftsführungen einführen: die Unternehmensreputation.

Ende 2013, zu Beginn des gerade einsetzenden Weihnachtsgeschäfts, kam es bei einem der größten US-amerikanischen Einzelhändler, der Target Corporation, zur einer für damalige Verhältnisse gewaltigen Sicherheitspanne. Cyberkriminelle hatten sich über Phishing-Angriffe auf den Target-Zulieferer Fazio Mechanical Zugangsdaten zum Target-Netzwerk verschafft und dort die Malware Kaptoxa in Point Of Sale-Systemen installiert. Diese lieferte ihnen Kredit- und Bankkarten-Daten von mehr als 40 Millionen Target-Kunden sowie mehr als 70 Millionen Adress-Daten. Allein bis 2016 sollten sich die direkten Folgeschäden dieses Angriffs auf umgerechnet rund 285 Millionen Euro belaufen.

Nicht zuletzt die Reputation des Unternehmens wurde durch den Angriff nachhaltig in Mitleidenschaft gezogen. Eine rasante Talfahrt des Yougov Buzz-Scores – der Konsumentenbewertung – des Unternehmens setzte ein. In den ersten Tagen nach dem Zwischenfall fiel der Wert von 22,4 auf -19 Punkte. Zwar konnte das Unternehmen ihn in den folgenden Monaten etwas stabilisieren und anheben, doch hatte er auch 2019, mit 18,5 Punkten, noch immer nicht seinen Vorangriffswert erreicht. In Folge des Reputationsverlustes wechselten zahlreiche Kunden zu Konkurrenzunternehmen. Umsatz und Gewinn brachen ein. Im vierten Quartal 2013 schrumpfte der Profit um 50 Prozent. Für das gesamte Geschäftsjahr 2013 musste die Gewinnprognose um ein Drittel nach unten korrigiert werden.

Schadenspotential von Cyberangriffen wird nach wie vor unterschätzt

Das Beispiel Target zeigt: Erfolgreiche Cyberangriffe schädigen Unternehmen nicht nur direkt – durch Ausfall oder Einschränkungen der IT-Infrastruktur, durch Datenverluste, durch Zahlungen von Lösegeld, von Strafen und Schadensersatzansprüchen – sondern auch indirekt – durch nachhaltigen Verlust an Reputation. Letzteres ist meist mit erheblichen Komplikationen für die Geschäftsbeziehungen verbunden – nicht nur in Hinblick auf die Kunden, sondern auch auf Partner, Zulieferer und Aktionäre. Als Hacker beispielsweise 2018 eine Sicherheitslücke von Facebook nutzten, um Konten von 50 Millionen Nutzern der Social Media-Plattform zu kompromittieren, fiel der Aktienkurs des Unternehmens in wenigen Tagen um drei Prozent. Die Target Corporation hatte 2013 sogar einen Einbruch von 10 Prozent zu verkraften. Zwar fängt sich der Aktienkurs nach einem Cyberangriff im Regelfall auch wieder, kurz- und mittelfristig können solche Werteinbrüche Unternehmen aber doch in erhebliche finanzielle Schwierigkeiten bringen.

Reputation als Gesprächsansatz für mehr Cybersicherheit

Und dennoch: In der internen Kommunikation zur und der Handhabung der Cybersicherheit vieler Unternehmen bleiben die möglichen Folgen eines erfolgreichen Cyberangriffs für die Reputation meist ausgeklammert. Jelle Wieringa, Security Awareness Advocate bei KnowBe4 sieht das Problem wie folgt: „Berichtet die IT-Sicherheitsabteilung von Cyberangriffen, konzentriert sie sich im Regelfall auf deren direktes Schadenspotential. Die Geschäftsführung, in deren Aufgabenbereich die Sicherstellung der Reputation für gewöhnlich fällt, ordnet die Relevanz der IT-Sicherheit dann falsch ein, verkennt das volle Risiko.“ Die Folge: eine unnötige Schwächung der IT-Sicherheit. Nach Meinung von Wieringa muss die oberste Managementebene voll hinter der IT-Sicherheitsabteilung stehen, wenn Investitionen in Sicherheitslösungen benötigt werden. Sie sollte innerhalb der Belegschaft Sicherheitskultur effektiv fördern und mit Schulungen und Trainings stets auf dem neuesten Stand halten. Um aber dies zu erreichen, muss die Geschäftsführung umdenken. Sie muss beginnen, das Asset Unternehmensreputation angemessen in ihre Kommunikation und Handhabung der IT-Sicherheit einzubinden. Hierzu bedarf es der Umsetzung des Begriffs „Reputation Driven Defense“. Wieringa definiert den Begriff wie folgt: „Damit sind die Auswirkungen gemeint, die ein Cyberangriff auf das Image eines Unternehmens haben kann und welche Folgen dies für die Security Posture des betroffenen Unternehmens darstellt.“

Reputation richtig in den IT-Sicherheitsalltag integrieren

Hierzu muss sie zunächst einmal die Bereiche der Reputation ihres Unternehmens, die von einem Cyberangriff in Mitleidenschaft gezogen werden können, genau definieren und konkretisieren. Wieringa sieht hier drei zentrale Vorgehensweisen: „Als erste Maßnahme müssen diese Ergebnisse dann in die Kommunikation mit der Geschäftsführung eingebunden werden. Zweitens müssen sie in die bestehende Sicherheitskultur des Unternehmens integriert werden. Jeder Mitarbeiter, egal auf welcher Hierarchieebene, muss über die weitreichenden Folgen eines Cyberangriffs für Umsatz und Gewinn ihres Unternehmens stets im Bilde sein. Drittens muss aus ihnen ein auf die Reputation fokussierter Maßnahmenleitfaden für den Fall eines erfolgreichen Angriffs erstellt werden, dessen Inhalt dann im Krisenfall als Anleitung dienen kann, um schnell und unkompliziert aus der Krise zu kommen. Hierbei muss vor allem ein zentraler Fehler, den viele Unternehmen nach wie vor begehen, vermieden werden.“

Dabei handelt es sich um den altbekannten Fehler, einen erfolgreichen Angriff möglichst lange geheim halten zu wollen. In der Praxis hat es sich als weit sinnvoller erwiesen, proaktiv vorzugehen, Verantwortung zu übernehmen und den Willen und die Fähigkeit, das Problem zu lösen, den Kunden und der Öffentlichkeit anschaulich vor Augen zu führen. Als positives Beispiel sei hier nur die Reaktion des Telekommunikationsdienstleisters Vodafone GmbH auf einen 2013 verübten Cyberangriff genannt, bei dem Hacker Stammdaten von über zwei Millionen Kunden erbeuteten. Vodafone entdeckte den Angriff, stoppte ihn, brachte ihn zur Anzeige, machte ihn öffentlich und entschuldigte sich am Ende auch noch bei seinen Kunden. Seine Reputation konnte das Unternehmen mit diesen Maßnahmen erfolgreich stabilisieren.

Fazit

Das Beispiel zeigt: wenn es um die Wahrung der Reputation geht, sind Transparenz und ein entschlussfreudiges Handelnder wahre Schlüssel zum Erfolg. Unternehmen sollten daher Sicherheitskultur als Teil ihrer Unternehmenskultur begreifen und entsprechend fördern. Darüber hinaus sollten sie sich mit dem Begriff der „Reputation Driven Defense“ auseinandersetzen und letztlich darin investieren, um bei einem Sicherheitsvorfall den Reputations-Schaden in den Griff zu bekommen.

Über den Autor / die Autorin:


Dr. Torben Guelstorff ist gebürtiger Flensburger und promovierte 2012 an der Humboldt-Universität zu Berlin. Einmal jährlich arbeitet er als freier Gutachter für das Marie-Sklodowska-Curie-Programm der Europäischen Kommission. Zudem unterstützt er eine Sonderermittlung der Vereinten Nationen.[auto_author_box]