Deutschland ist eines der sichersten Länder der Erde. Auch wenn das generell stimmt, sollten Unternehmen die aktuelle Risikoabschätzung differenziert durchführen? Cyberrisiken, Wirtschaftskriminalität, Erpressungen oder Reputationsschäden bergen Krisenpotenzial, werden von mittelständischen Firmen aber immer noch unterschätzt. In unsicheren Zeiten tun sich viele Unternehmen mit der Abwägung notwendiger Vorkehrungen schwer. Als Mindestmaß sollte eine Struktur für das Krisenmanagement bestehen sowie eine Krisenhotline zu Sicherheitsspezialisten.
Freitagnachmittag, 16.45 Uhr, das Maschinenbau-Unternehmen erhält eine E-Mail, dass es gehackt wurde und sämtliche Zugänge verschlüsselt werden, wenn man nicht bereit wäre zu zahlen. Es wird eine E-Mail-Adresse genannt, an die man sich wenden solle, um das Lösegeld in Bitcoin auszuhandeln. Außerdem hätte man in den erbeuteten Unternehmensdaten Hinweise auf illegale Preisabsprachen mit Konkurrenten gefunden. Diese würde man den Behörden zuspielen oder öffentlich ins Internet stellen, wenn nicht auf die Forderung eingegangen werde.
Ein typischer Vorfall, wie ihn derzeit viele Firmen erleben, egal ob großes, kleines oder mittelständisches Unternehmen. Häufig treten solche Vorfälle auf, wenn niemand mehr erreichbar ist oder die eigentlich zuständige Organisation nicht zur Verfügung steht. Wer auf einen solchen Fall nicht vorbereitet ist, keine Struktur für das Krisenmanagement oder eine 24/365-verfügbare Krisenhotline zu Spezialisten hat, läuft Gefahr, dass der Schaden aus dem Ruder läuft. Gerade in unsicheren Zeiten sollte daher nochmal eine Abschätzung der aktuellen Risiken für das Unternehmen erfolgen. Welche Risiken bestehen, welche Schäden können maximal drohen und wie ist man auf das Handling einer solchen Krise vorbereitet?
Für Unternehmen bestehen etliche Bedrohungen mit Krisenpotenzial. Zum einen hat die Organisierte Kriminalität (OK) Cyber-technisch aufgerüstet. Während sie früher ihre kriminellen Einnahmen durch Prostitution, Rauschgift-, Waffen- oder Falschgeldhandel erwirtschafteten, erbeuten sie heute einen Großteil ihrer Gewinne durch Cyberattacken auf Unternehmen. Durch überwiegend automatische Angriffe versuchen sie Systemen von Unternehmen zu infizieren, um sich bei Erfolg mit der Firma und der möglichen Lösegeldforderung auseinander zu setzen. Erst dann wird es zur Erpressung und die Verhandlungen beginnen.
Zum anderen bewirken wirtschaftlich schwierige Zeiten oftmals ein Ansteigen von Kriminalität. Menschen haben Einkommenseinbußen oder verlieren ihren Arbeitsplatz und können ihren finanziellen Verpflichtungen nicht mehr nachkommen. Während Deutschland noch über gute Sozialsysteme verfügt, werden andere Länder sehr viel stärker von der Corona-Pandemie betroffen sein. Weil die Chancen für Unternehmen jedoch auch in diesen Märkten liegen, werden künftig wieder mehr Vertriebsaktivitäten in unbekannte Regionen unternommen. Dies wird Auswirkungen auf die Sicherheit von Geschäftsreisenden haben. Das Risiko einer Entführung im Ausland sollte daher nicht aus den Augen verloren werden.
Viele mittelständische Unternehmen wähnen sich in einer trügerischen Sicherheit. Auch wenn sie glauben im Bereich Sicherheit vorgesorgt zu haben, sollten sie auf den Worst Case vorbereitet sein. Dazu zählen Strukturen für ein schnelles und professionelles Krisenmanagement, insbesondere der Möglichkeit, die Lage sofort mit einem Sicherheitsspezialisten besprechen zu können, in der Regel über eine sogenannte Krisenhotline.
Das Unternehmen ist plötzlich mit schwierigen Fragen konfrontiert, z.B. ob die Polizei eingeschaltet wird, obwohl doch die Verbrecher „Keine Polizei“ fordern, oder ob es das Beste ist, bei einem Hackerangriff sofort alle Systeme abzuschalten, um einen möglichen Angriff schnell zu beenden. Dies kann mitunter eine existenzielle Herausforderung für das Unternehmen darstellen. Korrupte Behörden könnten im Ausland eher Teil des Problems als Teil der Lösung sein. Daher sollte man nach einem Anruf der Täter innerhalb der ersten Minuten wissen, wie damit umzugehen ist. Sofern eine Hackerattacke bereits erfolgreich war, geht es meist viel mehr darum, die Systeme am Laufen und den weiteren Betrieb aufrecht zu halten, als den Angriff und die Schwachstelle bis ins letzte Detail technisch aufzuklären.
Die Risikoabschätzung fällt nicht einfach. Ist es tatsächlich notwendig, sich auf Wirtschaftskriminalität vorzubereiten, z.B. den Vorwurf von Korruption oder illegalen Preisabsprachen in den Medien? Muss man sich Gedanken machen, ob Mitarbeiter im Ausland entführt werden könnten? Risiken werden vielfach erst dann wahrgenommen, wenn der Schaden bereits eingetreten ist. Bis dahin hätte man sich niemals vorstellen können, dass es einen auch selbst betrifft. Dann ist es jedoch oft zu spät. Unternehmen sind von ihrer Reputation abhängig, nicht nur nach außen, sondern auch nach innen. Es gibt genügend Beispiele, die zeigen, dass Medien oder Angehörige der betroffenen Mitarbeiter sehr schnell Fragen stellen, wie das Unternehmen auf den Super-Gau vorbereitet war.
Krisenmanagement bedeutet, sich nicht nur mit technischen Fragen auseinanderzusetzen, sondern Erfahrung bei der Verhandlung mit Tätern zu haben, die Kommunikation nach außen und nach innen zu steuern und die Fallstricke zu kennen, um sie möglichst zu vermeiden. Um Schaden vom Unternehmen abzuwenden, sollte man sich über solche Vorfälle daher frühzeitig Gedanken machen und die Risiken abschätzen. Die erfahrenen Krisenmanager von Corporate Trust sind rund um die Uhr auf einer Krisenhotline erreichbar, um sofort eine Bewertung der Lage und Empfehlungen für die Erstmaßnahmen abgeben zu können. Mit einem weltweiten Netzwerk an Sicherheitsspezialisten können sie darüber hinaus schnellstmöglich vor Ort unterstützen.
Autor:
Christian Schaaf
Geschäftsführer
E-Mail: schaaf@corporate-trust.de
Tel. +49 89 599887580
Corporate Trust Sicherheitsblog 