Freitagabend, 23:44 Uhr Klaus Brecher*, Leiter der IT-Abteilung eines mittelständischen Maschinenbauers, erhält eine Warnmeldung über eine sehr hohe Auslastung der Server im internen Netzwerk. Schnell wird deutlich, dass es sich um eine Ransomware-Attacke handelt. Hr. Brecher findet eine erste verschlüsselte Datei und entscheidet, die IT-Systeme und Server herunterzufahren und das Unternehmensnetzwerk zu isolieren. Das Krisenmanagement beginnt…
Wir stellen im Folgenden die Top Tipps für ein funktionierendes Ad-hoc Krisenmanagement vor.
Szenen wie diese verdeutlichen, dass ein schnelles Reagieren auf Ereignisse für den weiteren Verlauf einer Krise elementar ist. Krisen treten selten an Werktagen zwischen 8 Uhr und 17 Uhr auf. Das ist ein wesentlicher Grund, weshalb sich Unternehmen intensiv auf Krisen vorbereiten und bestimmte Prozesse im Vorfeld festlegen sowie erproben sollten. Zu jeder Cyberkrise gehört ein strukturiertes Krisenmanagement für eine planbare Krisenbewältigung.
Laut der polizeilichen Kriminalstatistik von 2019 gab es über 100.500 Fälle von Cyber-Crime – ein Anstieg von über 15% zum Vorjahr. Unserer eigenen Einschätzung nach wird auch im Jahr 2021 eine weitere Zunahme stattfinden.
Drei Punkte, die für einen Ransomware-Krisenfall im Vorfeld definiert werden müssen:
- Ad-hoc Maßnahmen im IT-Bereich
- Betroffene Systeme (auch Backups, Logs und Protokolle) sichern, ggf. herunterfahren
- Netzwerk vom Internet trennen, evtl. Isolierung an der Firewall vornehmen
- Thema Whitelist bedenken
- Krisenstab einberufen
- Krisenstabsmitglieder bestimmen
- Funktionen müssen bekannt und trainiert sein (z.B. Leiter Krisenstab, Kommunikation, Protokollant, Assistenzteam)
- Erreichbarkeiten der einzelnen Mitglieder sind festzulegen
- Externe Stellen, die hinzugezogen oder informiert werden müssen:
- IT-Berater
- Krisenberater
- Datenschutzbeauftragter
- Polizei
- Datenschutzbehörde
- Versicherung
- Rechtsbeistand
Neben den Prozessen ist im Krisenmanagement die angemessene Krisenkommunikation eine der zentralen Aufgaben. Interne und externe Kommunikationspartner müssen im Krisenfall kontrolliert und strukturiert zusammenarbeiten, was eines vorbereiteten Kommunikationskonzepts bedarf:
- Interne Kommunikation:
Durch eine gesteuerte und transparente Mitarbeitereinbindung wird das Vertrauen und die Loyalität zum Unternehmen gestärkt. - Zur externen Kommunikation gehören:
- Erforderliche Behörden wie Datenschutz- und Strafverfolgungsbehörde, Versicherungen oder auch externe Datenschutzbeauftragte
- Die Presse, die bei mangelnder Information seitens des Unternehmens eigene Wege zur Informationsbeschaffung finden wird
- Die Kommunikation zu den Tätern, die durch eine überlegte Strategie zu einem wesentlichen Faktor für eine erfolgreiche Krisenbewältigung werden kann
Da der Maschinenbauer sich präventiv auf Krisenfälle vorbereitet hatte, unter anderem durch vordefinierte Prozessbeschreibungen, konnte der IT-Leiter schnell reagieren und der Krisenstab sofort seine Arbeit aufnehmen. Durch das strukturierte Vorgehen in der Firma, konnte ein möglicherweise existenzbedrohender Schaden abgewendet werden.
*(Name von der Red. geändert)
Zur Autorin:
Frederike Rehn ist Safety and Security Engineer und berät Unternehmen im Krisenmanagement und in akuten Krisenfällen.
rehn@corporate-trust.de
+49 89 599 88 75 80
Corporate Trust Sicherheitsblog 