Einige Cyberangriffe, insbesondere die derzeit nicht enden wollende Flut an Ransomware-Attacken, haben einige unübersehbare Folgen für Unternehmen: Ausfall von kundenorientierten Diensten, Reputationsverlust, Einbußen bei Produktivität und Umsatz, ganz zu schweigen von den Kosten für Abhilfemaßnahmen (z.B. die Zahlung des Lösegelds), mögliche Datenlecks und sogar Bußgelder. Solche Sicherheitsvorfälle können jedoch nicht nur der Organisation schaden, sondern auch einzelnen Personen – oft werden die CEOs der betroffenen Firmen zur Verantwortung gezogen und sind gezwungen, infolge von besonders schwerwiegenden Cyber-Attacken zurückzutreten.
Man könnte annehmen, dass die CISOs diejenigen wären, die für solche Pannen in erster Linie verantwortlich sind, aber den Branchenanalysten von Gartner [1] zufolge werden betroffene CEOs für ca. 75 Prozent der zukünftigen Cyberangriffe bis 2024 persönlich Haftung tragen müssen. Kurz gesagt, die gesamte Geschäftsführungsebene muss sich auf die Folgen erfolgreicher Cyberangriffe vorbereiten, die sowohl das Geschäft als auch die Karriere der Personen, die mit der Gewährleistung der Sicherheit der Organisation betraut sind, schädigen können.

Risiko, Regulierung und sich weiterentwickelnde Bedrohungsakteure

Bis vor kurzem hätten Unternehmen viele Sicherheitsvorfälle und Datenschutzverletzungen unter Verschluss und von der Öffentlichkeit fernhalten können. Doch aufgrund der fortschreitenden Regulierungen, der öffentlichen Meinung und der Art der Cyberangriffe hat sich all dies geändert.

HIPAA, DSGVO, CCPA, NYC DFS und eine Vielzahl anderer Vorschriften zur Meldung von Datenverstößen und zum Datenschutz haben es Unternehmen unmöglich gemacht, die Tatsache, dass sie einen größeren Sicherheitsvorfall erlitten haben, rechtlich zu verbergen. Unternehmen und Einzelpersonen, die versuchen, dies dennoch zu tun, können aufgrund der heutigen Rechtslage nun gefasst und bestraft werden, wie es z.B. beim ehemaligen CISO von Uber [2] der Fall war, der jetzt wegen Behinderung der Justiz angeklagt ist. Er hatte angeblich versucht, einen Vorfall aus dem Jahr 2016 zu vertuschen, der die Daten von Millionen von Benutzern und Fahrern kompromittiert hat. Das Datenleck wurde als eine „Sicherheitspenetrations-Übung“ bezeichnet, während der CISO angeblich ein Lösegeld an die Hacker zahlte, um den Angriff zu stoppen.

Darüber hinaus hat sich auch die Art der Angriffe verändert. Aktuelle Ransomware-Angriffe durchdringen nun riesige Datensätze, bevor diese verschlüsselt werden und der Welt bekannt gegeben wird, dass die anvisierte Organisation den Cyberkriminellen zum Opfer gefallen ist. Die Cyberkriminellen drohen damit, die kopierten Daten zu veröffentlichen oder zu verkaufen, wenn ihre Lösegeldforderungen nicht erfüllt werden. In vielen Fällen bedeutet dies, dass die Öffentlichkeit so gut wie sicher auf den Vorfall aufmerksam wird. Dann schadet es dem Ruf des Opfers nur umso mehr, wenn es den Angriff weiterhin leugnet oder sich sogar weigert, einen öffentlichen Kommentar dazu abzugeben. Da der Öffentlichkeit zunehmend bewusst geworden ist, wie viele sensible Daten über sie gehalten werden, wächst zudem der Ärger über Unternehmen und Organisationen, denen unzulängliche Sicherheitspraktiken vorgeworfen werden.

Fälle in denen Führungskräfte für solche Vorfälle persönlich zur Verantwortung gezogen werden, sind nicht schwer zu finden. Der Vorstandschef des österreichischen Luft- und Raumfahrtteileherstellers FACC wurde gefeuert, nachdem das Unternehmen von Cyberbetrug betroffen war [3]. Dieser Vorfall kostete das Unternehmen rund 50 Millionen Euro. Die Details sind unklar, aber es weist die Merkmale eines klassischen Business-E-Mail-Compromise-Vorfalls auf: Jemand sehr hochrangiges innerhalb von FACC, vielleicht der CEO, wurde per E-Mail von einem Geschäftspartner oder Lieferanten kontaktiert und genehmigte eine Überweisung direkt an die Betrüger. Nach der Überweisung wurde festgestellt, dass der eigentliche Partner sich nie an das Unternehmen gewandt hatte und das Geld verschwunden war, was sowohl den CEO als auch den CFO ihre Arbeitsplätze kostete.

Sieben Schritte zur Stärkung der Cybersicherheit

Die Bedrohungslage mag sich zuspitzen, aber es gibt einen gut definierten Weg zur Unternehmenssicherheit. Organisationen können diesen beschreiten, um sowohl das Risiko als auch die Folgen eines Sicherheitsvorfalls zu begrenzen:

1. Bewertung der aktuellen Sicherheitssituation – Der erste Schritt, den es zu berücksichtigen gilt, ist der Status der Sicherheitslage der Organisation. Die Chefebene der Sicherheitsverantwortlichen (CIO, CSO, CISO) muss ein klares und aktuelles Verständnis der IT-Sicherheit der Organisation haben, einschließlich Personal, Systeme und Verfahren, Reaktion auf Vorfälle und Business Continuity. Verlässt man sich immer noch auf veraltete Antiviren-Lösungen, die von den heutigen Bedrohungsakteuren leicht umgangen werden können? Wer ist mit Threat Hunting beauftragt und wie oft findet dieser Prozess statt? Wie sieht das Incident Response-Verfahren heute aus? In der heutigen verschärften Sicherheitsumgebung, in der Bedrohungsakteure von Skript-Kiddies bis hin zu Hackern mit groß angelegten Angriffskampagnen in der Lage sind, auf ausgeklügelte Malware zurückzugreifen, ist es unerlässlich, ein klares Verständnis der aktuellen Sicherheitslage zu haben.
2. Durchführung einer Cyber-Risikobewertung – Der CEO und die Führungskräfte müssen die Art der Cyber-Bedrohungen verstehen, denen die Organisation ausgesetzt ist. Für die Risikobeurteilung stehen zahlreiche Instrumente zur Verfügung, darunter die Verwendung von Branchen-Benchmarks, Empfehlungen von Regierungs- und Strafverfolgungsbehörden und Feeds mit Informationen über Bedrohungen (Threat Intelligence-Feeds). Die Risikobewertung sollte auch regulatorische und kommerzielle Risiken wie Reputationsverlust durch Cyberangriffe umfassen.
3. Entwicklung einer unternehmensweiten Cybersicherheits-Strategie – Mit einem klaren Verständnis über die Bedrohungen, denen die eigene Organisation ausgesetzt sind, sowie über die individuelle Sicherheitssituation, ist es möglich, zu beurteilen, wo die Organisation gut abschneidet und wo Verbesserungsbedarf besteht. Es ist von entscheidender Bedeutung, einen Plan zu entwickeln, um diese Lücken entsprechend der Risikobereitschaft der Organisation zu schließen. Der Plan sollte eine moderne EDR-Plattform, Fähigkeiten zur Reaktion auf Zwischenfälle (Incident Response) und zur Schadensbegrenzung, Backup-Systeme und Verfahren zur Gewährleistung der Business Continuity umfassen.
4. Bereitstellung der nötigen Ressourcen – Nach der Formulierung und Genehmigung eines Sicherheitsplans müssen die entsprechenden personellen, organisatorischen und finanziellen Ressourcen zugewiesen werden. Dies ist von entscheidender Bedeutung. Ein Plan, der personelle Ressourcen erfordert, die nicht vorhanden sind und für deren Bereitstellung keine Vorkehrungen getroffen werden, ist weniger ein Plan als vielmehr Wunschdenken. Ein Plan, der nicht umgesetzt werden kann, weil er strukturelle Veränderungen erfordert, zu denen die Organisation nicht bereit ist, ist lediglich ein überflüssiges Gedankenexperiment. Ein Plan, dem ein vollständig ausgearbeitetes und genehmigtes Budget fehlt, lässt vermuten, dass kein wirklicher Wille oder die Absicht bestand, Veränderungen zu erleichtern. Nichts davon wird gut aussehen, wenn die Beteiligten sich in der Analyse nach dem Vorfall gegenseitig die Schuld zuweisen.
5. Fortlaufende Überwachung – Die Umsetzung eines gut durchdachten, mit ausreichenden Ressourcen ausgestatteten Plans muss mit einem Monitoring und einem Reporting an die Führungsebene einhergehen. Ein Notfallplan, der nur teilweise umgesetzt wurde, nicht wie beabsichtigt umgesetzt wurde oder der in der Praxis nicht so „zweckmäßig“ war, wie es auf dem Papier schien, kann schlimmer sein als gar kein Plan. Führungskräfte im Sicherheitsbereich sollten auch die Entwicklung des Geschäftsbetriebs und die möglichen Auswirkungen von Betriebsänderungen auf den Sicherheitsplan überwachen. Zum Beispiel hat der plötzliche Wechsel zur Heimarbeit die Risiken, denen Organisationen ausgesetzt sind, deutlich verändert. Aber wie viele Unternehmen haben ihre Sicherheitsplanung und ihre Lösungen aktualisiert, um dies zu berücksichtigen?
6. Durchführung eines externen Auditing – Es ist ratsam, ein externes Auditing einzuführen, um den Plan des CISOs und dessen Durchführung zu validieren. Zu den Vorteilen gehört hier ein unparteiischer, objektiver Blick auf die Vorbereitung und Einhaltung der Vorschriften, der nicht nur intern die Gewissheit vermitteln kann, dass das Unternehmen die richtigen Schritte vollzieht, sondern auch ein entscheidender Faktor für die rasche Wiederherstellung des externen Vertrauens nach einer Sicherheitsverletzung sein kann.
7. Optimieren und Wiederholen des Prozesses – Bis zum Ende der jeweiligen Periode (Fiskaljahr, Kalenderjahr, Quartal) ist es unerlässlich, den Erfolg des Plans zu bewerten und zu entscheiden, ob mit seiner Umsetzung fortgefahren oder Änderungen vorgenommen werden sollen. Viele Organisationen dachten, sie hätten einen großartigen Plan ausgearbeitet, nur um festzustellen, dass ein Bedrohungsakteur ihre Verteidigung monatelang wiederholt durchbrochen hatte.

Aber Führungskräfte werden nicht nur daran gemessen, wie gut sie planen und ihre Mitarbeiter ihre Aufgaben ausführen lassen. Sie werden auch daran gemessen, wie gut sie auf Krisen reagieren. Wenn es zu einer Krise kommt, ist es am besten, nach dem vordefinierten Plan zu handeln. Wenn es keinen Plan gibt, sollten so schnell wie möglich Experten für Krisenmanagement und Incident Response hinzugezogen werden. Es ist unerlässlich, die Situation zeitnah und offen mit dem Vorstand, den Mitarbeitern, Kunden und den Medien zu kommunizieren. Organisationen, die schnell, ehrlich und transparent reagieren, erhalten in der Regel die Unterstützung all dieser Fraktionen, und die Fehler (wenn es welche gab) werden oft schnell verziehen.

Fazit

Die Absicherung der eigenen Organisation gegen die heutigen Cyber-Bedrohungen ist eine geschäftliche Notwendigkeit. Längst vorbei sind die Zeiten, in denen das Management nur einen IT-Administrator einstellen musste, um einen serienmäßigen Virenschutz zu installieren, eine Firewall um den Netzwerkrand herum zu errichten und sich zurücklehnen und über vermeintlich „wichtigere“ Dinge nachdenken konnte. In der heutigen Welt des Cloud Computing mit containerisierten Workloads, einer Remote-Belegschaft und unzähligen ungesicherten IoT-Geräten, die auf Netzwerke zugreifen, kombiniert mit dem exponentiellen Wachstum und der Raffinesse von Cyber-Angriffen, ist die IT-Sicherheit nicht nur eine von vielen Aufgaben der Führungskräfte, sondern eine mit oberster Priorität.

Quellen und Referenzen

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.heise.de/news/Uber-Hack-Ehemaliger-Sicherheitschef-angeklagt-4875887.html

[3] https://www.diepresse.com/4996755/facc-chef-stephan-stolpert-uber-cyber-attacke