7.2.2023
Laut dem Allianz Risk Barometer 2023 sehen Unternehmen Cyber-Vorfälle das zweite Jahr in Folge als Geschäftsrisiko Nummer 1. In der Tat vergeht kaum ein Tag, an dem nicht eine neue erfolgreiche Cyber-Attacke öffentlich wird.
Die Medienberichterstattung über den Autozulieferer Continental wird bereits seit Sommer 2022 von der Cyber-Attacke dominiert, bei der die Ransomware-Gruppe „Lockbit 3.0“ im Juli 40 Terabyte an Daten erbeutet haben soll. Das ist nur einer von zahlreichen Fällen, der verdeutlicht: Das Risiko für Unternehmen, Opfer einer Cyber-Attacke zu werden, ist allgegenwärtig und der drohende finanzielle und reputative Schaden ist immens. Rund jedes zweite Unternehmen war 2022 von einem Cyber-Angriff betroffen. Das BKA geht von einer noch höheren Dunkelziffer aus.
Industrieunternehmen sind einem besonders großen Risiko ausgesetzt. Nicht nur, weil die weiter fortschreitende Digitalisierung von Lieferketten und Produktionsanlagen zusätzliche Angriffsflächen bietet und das finanzielle Schadensrisiko bei industriellen Produkten besonders groß ist. Auch die aktuellen geopolitischen Krisen, die ein starker Treiber von Cyber-Attacken sind, machen die Industrie besonders anfällig: Denn im Fokus der Angreifer stehen zunehmend kritische Infrastrukturen und öffentlichkeitswirksame Ziele. Dazu zählt auch die Industrie als Rückgrat und Aushängeschild der deutschen Wirtschaft.
Die allermeisten Unternehmen sind sich des großen Risikos bewusst. Folgerichtig nehmen die Investitionen in Cyber-Sicherheit Jahr für Jahr signifikant zu. Dennoch ist das Risiko bislang nicht ausreichend beherrschbar, wie das Beispiel Continental und die insgesamt hohen Fallzahlen zeigen. Vor dem Hintergrund ist es alarmierend, dass laut Cyber Readiness Report 2022 weniger als 2% der Cyber-Sicherheitsverantwortlichen ihr Unternehmen ausreichend für einen möglichen Cyber-Angriff gewappnet sahen. Denn eine umfassende Krisenprävention und -vorbereitung ist bei Cyber-Krisen absolut erfolgskritisch und sollte auf der Prioritätenliste eines jeden Unternehmens ganz oben stehen (vgl. Abbildung 1).
Jenseits der technologischen Anforderungen und Möglichkeiten, erweisen sich aus kommunikativer und organisatorischer Perspektive die nachfolgenden sieben Erfolgsfaktoren als besonders relevant und wirksam. Einerseits um das Eintrittsrisiko und Schadenspotenzial zu minimieren. Andererseits um für den Ernstfall eine schnelle und zielgerichtete Reaktion sicherzustellen, die den wirtschaftlichen und reputativen Schaden begrenzt.
Die Verantwortung für Cyber-Krisenmanagement muss direkt bei der Unternehmensleitung angesiedelt sein und benötigt die unmittelbare Aufmerksamkeit des Top Managements. Zum einen, weil Cyber-Krisen ein signifikantes Risiko für Geschäft und Reputation darstellen und vergleichsweise schnell existenzgefährdendes Ausmaß annehmen können. Zum anderen, weil nur so die für die Sensibilisierung der gesamten Organisation erforderliche Ernsthaftigkeit und Verbindlichkeit gegeben ist. Die Implementierung eines Chief Information Security Officer (kurz CISO) kann das ermöglichen. Hierbei handelt es sich in der Regel um ein Mitglied des Vorstands, das die Gesamtverantwortung für die IT-Sicherheit im Unternehmen innehat. Dies bietet sich insbesondere in Großunternehmen an, um bestehende Vorstände zu entlasten und die Kompetenzen im Bereich IT-Sicherheit zu bündeln. Gerade Unternehmen, die Teil der kritischen Infrastruktur sind und regelmäßig behördlich nachweisen müssen, dass ihre Cyber-Sicherheit auf einem aktuellen Stand ist, sind gut beraten hierfür einen CISO zu implementieren.
Häufig wird Cyber-Sicherheit primär aus technologischer Sicht betrachtet und als funktionale Verantwortlichkeit der IT im Unternehmen verankert. So setzen auch CISOs ihren Schwerpunkt meist auf IT. Sowohl vor einer möglichen Krise als auch im Akutfall kommt jedoch auch den Bereichen Recht, Kommunikation und HR eine erfolgskritische Bedeutung zu. Nur durch einen ganzheitlichen Ansatz und das nahtlose Zusammenwirken aller Disziplinen kann eine bestmögliche Krisenprävention und -vorbereitung gelingen. IT und Recht schaffen beispielsweise die notwendigen Voraussetzungen, um dann in der Kommunikation gegenüber Versicherern und weiteren Stakeholder nachweisen zu können, dass alle erforderlichen und möglichen Vorkehrungen getroffen sind. Abhängig davon, wie groß die interne Expertise ist, bietet es sich an, dauerhaft ein Netzwerk an externen Spezialisten aufzubauen, die im Ernstfall schnell zur Seite stehen können.
9 von 10 Cyber-Krisen werden erst durch menschliches Fehlverhalten ermöglicht. Deshalb muss ein besonderes Augenmerkt auf die Sensibilisierung der Belegschaft gelegt werden. Alle Mitarbeitenden im Unternehmen, egal in welchem Bereich und auf welcher Ebene, müssen sich der Risiken und Fehlerquellen sowie ihrer großen persönlichen Verantwortung bewusst sein. Dies erfordert intensive und regelmäßige Aufklärungsarbeit, die vertiefende Auseinandersetzung in Interaktionsformaten sowie Penetrationstests.
Die Allgegenwärtigkeit von Cyber-Krisen zeigt, dass betroffene Unternehmen in allerbester Gesellschaft sind. Dennoch gehen viele Unternehmen sehr zurückhaltend und verschlossen mit einem Cyber-Vorfall um aus Sorge vor Reputationsverlust und weiteren negativen Konsequenzen. Das gleiche gilt für Mitarbeitende in Unternehmen, die befürchten einen Fehler zu begehen bzw. begangen zu haben. Diese Zurückhaltung kann fatal sein und eine Cyber-Krise massiv vergrößern und beschleunigen. Deswegen gilt es einen möglichst offenen und konstruktiven Umgang mit Cyber-Risiken zu etablieren. So werden mögliche Krisenherde früher erkannt und der drohende Schaden reduziert.
In der akuten Cyber-Krise zählt jede Sekunde. Mitarbeitende, Kunden, Kapitalmarkt, Behörden und weitere Stakeholder verlangen kurzfristig Informationen und Antworten auf zahlreiche Fragen. Dabei müssen Unternehmen mit einer unklaren und dynamischen Sachlage umgehen. Ohne einen Krisenstab mit klar definierter Rollenverteilung sowie festgelegten Informations-, Redaktions- und Freigabeprozessen ist dies nahezu unmöglich. Hierbei gilt es nicht nur, einen Krisenstab für den Ernstfall zu haben, sondern diesen auch richtig zu besetzen. Der Krisenstab sollte sich aus kompetenten und entscheidungsbefugten Vertretern der betroffenen und an der Behebung beteiligten Abteilungen zusammensetzen (u.a. IT, Kommunikation, HR, Recht & Management). Für die Leitung und Aufgabenverteilung im Krisenstab bietet sich je nach Unternehmensgröße der CISO an oder ein direkt an den Vorstand berichtender Krisen- oder Risikomanager. Die Aufgaben und Abläufe im Krisenstab sollten vorgefertigten Notfallplänen folgen, die Verhaltensleitlinien festlegen. In einen Notfallplan gehören u.a. Melde- und Informationsketten, Ansprechpartner, Hierarchien, Maßnahmen-Priorisierungen sowie Vorlagen für verschiedene Szenarien, Reaktionen und die Dokumentation des Vorfalls.
Definierte Strukturen und Abläufe entfalten nur dann ihre volle Wirkung, wenn sie eingeübt und eingespielt sind. Deswegen sollte im Krisenstab und darüber hinaus der Ernstfall simuliert und trainiert werden. Unternehmen können also wie im Fall eines Feuerprobealarms einen Cyber-Vorfall inszenieren und die eigene Infrastruktur testen. Dies kann sowohl unangekündigt unter realen Bedingungen neben dem Tagesgeschäft erfolgen als auch angekündigt in einem geschützten Rahmen. Neben der Einübung der definierten Strukturen und Abläufe kann mit einer Krisensimulation auch die Wirksamkeit der Krisenvorbereitung überprüft und optimiert werden. Zudem sind Krisensimulationen und -trainings wichtiger Bestandteil der internen Sensibilisierung und Aufklärungsarbeit.
Krisenprävention und – vorbereitung sind eine Daueraufgabe. Mit zunehmender Digitalisierung im Unternehmen ergeben sich neue Angriffsflächen. Gleichzeitig entwickeln sich die technologischen Möglichkeiten und Strategien der Angreifer laufend weiter. Deswegen gilt es die eigene Krisenprävention und -vorbereitung laufend zu überprüfen und weiterzuentwickeln, das interne und externe Umfeld engmaschig zu monitoren sowie den Ernstfall regelmäßig zu erproben. Selbstredend müssen abgewehrte und erfolgreiche Cyber-Attacken genau analysiert werden, um für die Zukunft zu lernen.
Organisationen geht es häufig wie uns Menschen: Wir befassen uns sehr ungern mit möglichen unangenehmen und negativen Themen, wenn sie nicht akut sind und es keine Notwendigkeit gibt. Auch Unternehmen fehlen in Nicht-Krisenzeiten, in denen großer Handlungsspielraum besteht aber kein Handlungsdruck, häufig Motivation, Priorität und Investitionsbereitschaft. Gerade für Industrieunternehmen ist die Implementierung von Sicherheitsmaßnahmen oft mit Produktionsstopps verbunden, die sich manche Unternehmen schlichtweg nicht leisten können oder wollen.
Wenn eine Krise dann aber akut wird und der Handlungsdruck ins Unermessliche steigt, steigt notgedrungen auch die Handlungsbereitschaft. Auch das ist am Fall Continental sehr eindrücklich zu beobachten: Der Automobilzulieferer hat als Reaktion auf den Angriff die Datensicherheit intern zum Thema Nummer 1 gemacht. Mehr als 300 Mitarbeitende sind mit der Aufarbeitung des Falls vertraut. KPMG wurde als externe Beratung hinzugezogen und die eigene Organisationsstruktur wurde angepasst, um in Krisensituationen besser aufgestellt zu sein.
Dies sind zweifelsohne sehr wirksame Maßnahmen, die insbesondere in der Kürze der Zeit und unter Hochdruck sehr viel Ressourcen und Energie beanspruchen. Die Erkenntnis, dass man die Maßnahmen besser im Vorfeld ergriffen hätte, um die Krise möglicherweise abzuwehren oder zumindest abzumildern, mag schnell in die „hinterher ist man immer schlauer“-Ecke gestellt werden. Aber das greift angesichts der hohen Eintrittswahrscheinlichkeit und des immensen Schadenspotenzials von Cyber-Krisen zu kurz. Denn die Frage ist nicht, ob ein Unternehmen mit einem Cyber-Vorfall konfrontiert wird, sondern wann. Cyber-Krisenprävention und -vorbereitung sollten daher in jedem Unternehmen weit oben auf der Agenda stehen und laufend weiterentwickelt und verbessert werden.
Der Beitrag ist im Februar 2023 auch in der Fachzeitschrift "Industrie 4.0" erschienen (s. Anhang).
Wir freuen uns darauf, mit Ihnen ins Gespräch zu kommen!