Cyber-Krisenmanagement: Wie geht man damit um?

Von einer Cyber-Krise spricht man, wenn ein IT-System ausfällt und nicht mehr verfügbar ist, was zu schwerwiegenden Störungen in Ihrem Unternehmen führen kann. Normale Geschäftsprozesse reichen nicht aus, um solche Folgen abzufedern. Daher stellt eine Cyberkrise eine große Herausforderung dar, insbesondere im Jahr 2024, wenn die Cybersicherheit für Unternehmen ein großes Problem darstellt.

Trotz ihrer Tragweite kann eine Cyber-Krise eingedämmt werden. Um eine Cyber-Krisensituation zu bewältigen, müssen sowohl die Entscheidungsfindung als auch die Umsetzung zeitnah erfolgen. Dies ist die Aufgabe des Krisenmanagements: Es überwacht, dass die Verfahren strikt eingehalten werden, um sicherzustellen, dass Cyberangriffe nur geringe Auswirkungen auf Ihr Unternehmen haben.

Christophe Forêt

An article from

Christophe Forêt
President and co-founder of C-Risk
Published
November 8, 2023
Updated
November 8, 2023
Reading time
minutes
Cyber-Krisenmanagement

Was ist eine Cybersecurity-Krise?

Um zu verstehen, was Krisenmanagement im Bereich der Cybersicherheit bedeutet, ist es zunächst notwendig, sich die Definitionen von Begriffen wie Krise, Krisenmanagement und Cyberangriffe in Erinnerung zu rufen.

Wie definiert man eine Cyber-Krise und folglich ein Cyber-Krisenmanagement?

Das Wort „Krise“ stammt aus der lateinischen Form des griechischen Wortes “Krisis„, was den Moment bezeichnet, in dem eine Krankheit einen kritischen Punkt erreicht, der entweder zur Genesung oder zum Tod führt. Im weiteren Sinne wird das Wort „Krise“ heutzutage verwendet, um eine schwierige Phase zu bezeichnen, die eine Einzelperson, eine Gruppe oder — im Falle eines IT-Ausfalls — ein Unternehmen erlebt hat.

Das französische Äquivalent zum deutschen Innenministerium hat eine Abteilung — IHEMI —, die die folgende Definition bietet: „Eine Cyberkrise ist eine Krise im Zusammenhang mit einem Cyberangriff, der speziell auf das digitale Gut, die technischen Infrastrukturen oder die Informationssysteme eines Unternehmens abzielt.“

Zur Bewältigung dieser Cyber-Krisen muss das Krisenmanagement mehrere Ansätze verfolgen:

  • Vorbeugung von Krisen, bevor sie auftreten;
  • Anwendung eines Krisenlösungsverfahrens nach Feststellung und Bestätigung eines IT-Ausfalls;
  • Mobilisierung von Techniken und Mitteln, um dem entgegenzuwirken;
  • Verbesserung des Krisenmanagementverfahrens im Hinblick auf das Erfahrungsfeedback.

Cyberkrisen sind ebenfalls sehr spezifisch. Sie umfassen eine Reihe von Risikofaktoren:

  • Eine Cyberkrise steht fast immer im Zusammenhang mit einer IT-Angelegenheit, die im Wesentlichen eher technischer Natur ist;
  • Es wird oft erst spät entdeckt, wenn der Hacker bereits seit mehreren Monaten im Einsatz ist;
  • Die Auswirkungen sind in der Regel massiv und es gibt psychologische Auswirkungen, intern und extern auf Ihr Unternehmen, auf die Moral Ihrer Mitarbeiter sowie auf den Ruf Ihres Unternehmens;
  • Sie erfordern ein sektorübergreifendes Management durch Akteure, die nicht immer daran gewöhnt sind, zusammenzuarbeiten;
  • Es verhindert den Einsatz traditioneller Kommunikationsinstrumente, da auch sie möglicherweise kompromittiert wurden;
  • Die Überwindung einer Cyberkrise ist selten ein schnelles Verfahren.

Verschiedene Arten von Cybersicherheitskrisen

Bevor Sie mit der Gestaltung Ihres Krisenmanagementprogramms beginnen, müssen Sie zunächst die Vielzahl möglicher Krisenszenarien für Ihr Unternehmen berücksichtigen. Unternehmen sind dem Risiko von Hackerangriffen ausgesetzt. Die verschiedenen Arten von Risiken werden von der Regierung des Vereinigten Königreichs auf ihrer Website über Verstöße gegen die Cybersicherheit aufgelistet:

  • Cyberkriminalität ist die illegale Erlangung personenbezogener Daten, um diese zu nutzen oder weiterzuverkaufen. Der Einsatz von Phishing-Methoden ist ebenso Cyberkriminalität wie der Einsatz von Ransomware.
  • Imageschaden bedeutet im Allgemeinen, dass die offiziellen Inhalte, die Ihr Unternehmen online veröffentlicht, durch politische oder religiöse Behauptungen oder durch Kommentare ersetzt werden, die Ihrem Ruf schaden könnten.
  • Spionageangriffe beinhalten entweder eine politische oder eine wirtschaftliche Agenda. In diesem Fall verschafft sich der Hacker Zugriff auf Ihr Computersystem und nutzt es, um Ihre Daten mit langfristigen Absichten auszunutzen
  • Sabotage liegt vor, wenn ein organisierter Ausfall, z. B. ein Distributed-Denial-of-Service-Angriff (allgemein als DDoS-Angriff bekannt), Ihr Geschäft stört und erhebliche Auswirkungen auf Ihre Nutzer hat.

Wer sollte am Cyber-Krisenmanagement beteiligt sein?

Cyberangriffe richten sich sowohl an private Unternehmen als auch an öffentliche Verwaltungen. Für ein effektives Cyber-Krisenmanagement müssen alle Mitarbeiter in den Prozess eingebunden werden.

Eine kürzlich von der Economist Intelligence Unit durchgeführte Studie mit dem Titel „Cyber Insecurity: Managing Threats from Within" untersuchte, wie mehr als 300 Führungskräfte, CIOs (Chief Information Officers) und CISOs (Chief Information Security Officers) mit Cyberkrisen umgehen.

85 % der Befragten glauben, dass menschliche Fehler die größte Bedrohung für die Cybersicherheit ihres Unternehmens darstellen. Technologische Sicherheitslücken haben dabei geringere Auswirkungen als die Nachlässigkeit von Mitarbeitern oder Partnern. Im Detail:

  • 48% der Cyberangriffe werden über den Kunden eines Unternehmens fortgesetzt;
  • 43% durch seine Mitarbeiter;
  • 38% durch Zeitarbeitskräfte.

Aus diesem Grund muss ein effektives Cyber-Krisenmanagement Maßnahmen ergreifen, um alle Mitarbeiter des Unternehmens zu schulen.

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mit CRQ ein robustes, risikobasiertes Cybersicherheitsprogramm.

Was muss der Krisenmanagementprozess beinhalten?

Das Krisenmanagement umfasst eine ebenso große Zahl von Schritten, die dem auslösenden Ereignis nachgelagert sind:

1/Planen Sie für verschiedene Krisenszenarien und entwickeln Sie Mittel, um negative Auswirkungen zu mildern oder zu verhindern.

2/Schaffen Sie intern eine Kultur des Bewusstseins für Cyber-Risiken und lassen Sie ein Team Überwachungsmechanismen entwickeln, um Warnzeichen für einen bevorstehenden Cyber-Angriff zu erkennen;

3/Schulen Sie Ihre Teams im Krisenmanagement unter Berücksichtigung der Hauptrisiken, die Sie in Ihrer Risikokartierung identifiziert haben, oder noch besser, schulen Sie sie auf der Grundlage einer genauen Quantifizierung der Cyber-Risiken. Diese Simulationsübungen ermöglichen es, sich Verfahren und Methoden anzueignen, aber auch potenzielle Fehler zu erkennen, bevor eine echte Krise eintritt.

4/Erkennen des Beginns der Krise: Ein plötzliches und unerwartetes Ereignis, das den normalen Betrieb der Organisation beeinträchtigt. Das Ereignis ist schwerwiegend und bedroht die Stabilität der Organisation.

5/Definieren Sie das Ereignis, das die Cyber-Krise ausgelöst hat, möglichst bevor sie schwerwiegende Folgen hat. In diesem Schritt wird die Art des Cyber-Angriffs, mit dem Sie konfrontiert sind, spezifiziert und bestätigt.

6/Sobald die Krise bestätigt wurde, fahren Sie mit der Phase der „Sanierung“ fort. In einer Notsituation bedeutet dies, sofort Maßnahmen zu ergreifen, um das Risiko zu mindern und kurzfristig einzudämmen. Dies kann das Versetzen von Geräten in den Standby-Modus oder das Duplizieren von Festplatten umfassen. Sie können auch so schnell wie möglich bei den zuständigen Behörden Anzeige erstatten und den möglichen Diebstahl personenbezogener Daten melden.

7/Mobilisierung des Krisenreaktionsteams. Sie koordinieren die Maßnahmen der verschiedenen Teams gemäß einem vorher festgelegten Krisenmanagementplan. Dieses Team innerhalb der Organisation übernimmt die Rolle des Krisenmanagers und verhindert ein mögliches Chaos, wenn Entscheidungen getroffen werden müssen.

8/Aktivierung der verschiedenen Krisenmanagement-Teams:

  • Kundenbeziehungen, die Fragen von Verbrauchern oder Nutzern beantworten;
  • Interne Kommunikation mit den Mitarbeitern;
  • Externe Kommunikation, verantwortlich für die Gesamtkoordination der Krisenkommunikation im Falle eines Cyber-Angriffs;
  • das Auditteam, das den Cyberangriff identifiziert und den Zustand des Computernetzwerks bewertet und so das Ausmaß des Schadens misst;
  • Entwickler, die die Geschäftskontinuität sicherstellen, indem sie ein Backup-System starten.

9/Legen Sie operative Verfahren für das Cyber-Krisenmanagement für jedes Team fest. Nach einer Cyber-Krise muss Ihre IT-Infrastruktur zunächst eingedämmt werden, bevor sie wiederhergestellt werden kann.

10/Wenn die Krise vorbei ist, werden alle außergewöhnlichen Maßnahmen wieder rückgängig gemacht und es wird mit dem Sammeln von Feedback begonnen.

11/Bereiten Sie sich auf zukünftige Krisen vor, indem Sie die Präventionsmaßnahmen verschärfen. Im Interesse einer kontinuierlichen Verbesserung sollte die IT-Abteilung die Widerstandsfähigkeit des Systems gegenüber potenziellen anderen Cyberangriffen neu bewerten.

Identify cyberattacks to activate crisis management

Krisenmanagement: Wie ist man auf eine Krisensituation vorbereitet?

Die Krisenvorsorge beruht auf drei Elementen: Risikobewertung, Identifizierung von Krisenszenarien und Simulationsübungen.

Bewertung der Cyber-Risiken für das Unternehmen

Zu einem effektiven Krisenmanagementverfahren gehört unbedingt eine Phase der Krisenvorbereitung. Es geht vor allem darum, Risiken zu antizipieren, um sie besser verhindern zu können. Hacker sind in der Tat in der Lage, Schwachstellen zu identifizieren, unabhängig davon, ob sie sich auf Ihre Cybersicherheit, Ihre Mitarbeiter oder Ihre Struktur beziehen. Wenn Sie sich dieser Sicherheitslücken bewusst sind, können Sie Krisen effizienter bewältigen.

Diese Bewertung Ihrer strukturellen Schwächen beinhaltet in der Regel die Durchführung von IT- und Organisationsprüfungen. Sie könnten auch eine Risikokartierung implementieren, um Ihre Cybersicherheitsmaßnahmen zu priorisieren und potenzielle Cyberangriffsszenarien zu erstellen.

Antizipation von Cyber-Angriffsszenarien

Wenn Sie sich den Ablauf eines Cyber-Angriffs auf Ihre IT-Systeme vorstellen, erhalten Sie auch eine gute Vorstellung von den möglichen Fehlern, die seine Auswirkungen auslösen könnten. Die Erstellung von Szenarien hilft, das Risiko einer Häufung von Problemen zu vermeiden.

Versuchen, die spontanen Reaktionen Ihres Teams zu verstehen und sie in den Prozess einzubeziehen. Finden Sie Lösungen, die ihnen helfen, ruhig zu bleiben und Entscheidungen zu treffen, ohne zu improvisieren. Überlegen Sie, welche Notfallmaßnahmen bevorzugt werden sollten: Systemquarantäne? Eine Duplizierung der Festplatten? Sollten Sie zuerst einen Manager kontaktieren?

Diese Szenarien müssen klar niedergeschrieben und allen Mitarbeitern mitgeteilt werden. Sie müssen im Notfall leicht zugänglich bleiben.

Training für Krisenmanagement

Echtes Cyber-Krisenmanagement kann ohne Simulationsübungen für Cyber-Angriffe nicht effektiv sein. Dabei kann es sich um eine Übung handeln, bei der ein Angriff simuliert wird; es kann sich um eine Übung handeln, bei der das Krisenreaktionsteam überraschend mobilisiert wird; oder es kann sich einfach um ein Szenario handeln, bei dem die Kettenreaktionen im Falle einer Cyber-Krise durchgespielt werden.

Die Simulationsübung sollte je nach Anzahl der beteiligten Partner zwischen einer Stunde und einem Tag dauern. Sie können sich auch dafür entscheiden, die Übung zusammenzufassen, ohne die tatsächliche Zeit für das Krisenmanagement zu berücksichtigen.

Im Idealfall sollte die Simulation natürlich auf einem realistischen Stressszenario basieren, das ein wahrscheinliches und ernsthaftes Risiko für das Unternehmen darstellt. Beachten Sie jedoch, dass es sich nur um eine Simulation handelt. Der normale Betrieb Ihrer Organisation sollte nicht gestört werden.

Anticipating crisis scenarios

Die Instrumente für ein richtiges Krisenmanagement

Wie bereits erwähnt, folgt das Krisenmanagement einem bestimmten Prozess, der verschiedene Phasen durchläuft. Jede dieser Phasen entspricht einem bestimmten Tool, das den Prozess verbessern kann:

  • Cyberüberwachung ermöglicht es Ihren Teams, in Echtzeit über das Auftreten von Ereignissen auf dem Laufenden zu bleiben, die sich auf die Website oder das IT-System auswirken könnten;
  • Das Schwachstellenaudit ist Teil des Prozesses zur Vorbeugung von Cyber-Krisen und auch Teil der Risikobewertung;
  • Die Meldung von Vorfällen kann über ein Formular erfolgen, das es den Teams ermöglicht, die richtigen Informationen klar zu kommunizieren, wenn ein Risiko erkannt wurde. Auf diese Weise wird eine Unterbrechung der Kommunikation in Stresssituationen vermieden.
  • Das Krisenlogbuch oder Krisenhandbuch ermöglicht die sachliche Kommunikation von Informationen, ohne die Realität zu verzerren. Dies kann der Fall sein, wenn Teammitglieder gezwungen sind, unvollständige oder unzuverlässige Informationen zu interpretieren. Es ist auch ein schriftliches Zeugnis über den Stand der Operationen, anhand dessen rückwirkend analysiert werden kann, wie das Krisenmanagement durchgeführt wurde;
  • Durch die Filterung von Anrufen kann die Kommunikation mit der Außenwelt, insbesondere mit der Presse, optimiert werden;
  • EMNS steht für Emergency Mass Notification System und dient der Alarmierung von Akteuren, die für dringende Schutzmaßnahmen gegen Cyber-Angriffe verantwortlich sind: Mitarbeiter, Zulieferer oder Kunden;
  • Die Krisenmanagementpolitik beschreibt in chronologischer Reihenfolge die Verfahren, die jedes Team befolgen sollte. Sie enthält auch ein „Krisen-Kit“, das verschiedene Dateien enthält, die für das Krisenmanagement nützlich sind.
Cyber monitoring for cybercrisis mitigation

Das Krisenkit

Der Dokumentenbestand des Krisenpakets ist von Unternehmen zu Unternehmen sehr unterschiedlich. Es enthält jedoch einige strategische Dokumente, die für die erfolgreiche Bewältigung einer Cyber-Krise wichtig sind:

  • Die „Trigger-Matrix“ umfasst eine Reihe von Kriterien, anhand derer beurteilt werden kann, ob es sich bei dem aktuellen Vorfall tatsächlich um einen Cyberangriff handelt;
  • Die Liste der internen Mittel zur Bekämpfung der Cyberkriminalität: Firewalls und Antivirensoftware, Backup-System, Warnsystem usw.
  • Die Kontaktdaten der öffentlichen Partner, mit denen Sie sich eventuell in Verbindung setzen müssen: Polizeidienststelle, Staatsanwaltschaft;
  • In den Reflex-Aktionsblättern sind die Verfahren zur Krisenbewältigung detailliert beschrieben, die Ihre Mitarbeiter Schritt für Schritt befolgen müssen;
  • Der Telefonbaum gibt an, in welcher Reihenfolge die Mitglieder des Krisenreaktionsteams kontaktiert werden sollten.
Internal communication, a priority in crisis management

Häufig gestellte Fragen zum Krisenmanagement

Wie kann ich eine Cyberkrise bewältigen?

Das Cyber-Krisenmanagement basiert auf dem herkömmlichen Krisenmanagementprozess. Im Allgemeinen ist es notwendig, die Risiken zu antizipieren, um einen durch Cyberkriminalität verursachten Vorfall zu identifizieren. Anschließend muss der Krisenstab mobilisiert und die Gegenmaßnahmen umgesetzt werden. Das Krisenmanagement endet mit der Analyse des Feedbacks und der Erstellung einer neuen Strategie für das Cyber-Krisenmanagement.

Woran erkenne ich eine Cyberkrise?

Cyber-Krisen sind oft schwer zu erkennen. Mit Ausnahme eines Denial-of-Service-Angriffs, dessen Auswirkungen unmittelbar spürbar sind, erkennt die IT-Abteilung einen Cyber-Angriff in der Regel erst dann, wenn er bereits stattgefunden hat, z. B. wenn die Datensicherheit bereits ernsthaft gefährdet ist.

Was sind die Folgen einer Cyberkrise?

Eine Cyber-Krise kann Ihre IT-Systeme lahmlegen oder zum Diebstahl sensibler Daten führen. Sie können Opfer von Erpressung oder Rufschädigung und damit auch von finanziellen Verlusten werden.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.