Suche
Close this search box.

secida im März

secida im März

Sichere Digitalisierung im März: Der Cyber-Notfallplan – Klare Sicht im Angriffsfall

 


Herzlich Willkommen zu unserem Newsletter!

Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten jeden Monat einen Aspekt sicherer Digitalisierung.

Interessante Aktivitäten im März:

LinkedIn-Livestream am Dienstag, den 26.03.2024, 12:00h: „Schwachstelle. Was nun? – Lösungsansätze für den Mittelstand“ – mit Alpha Barry, CEO secida AG, und Sonna Barry, VP Business Development & Strategy. Melden Sie sich hier an.

Sichere Digitalisierung im März: Der Cyber-Notfallplan – Klare Sicht im Angriffsfall

Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.

Ihr Team teilt mit, dass das Unternehmen von Cyberkriminellen attackiert wird.

Der Adrenalinspiegel steigt. Stress und Agitation fokussieren den Blutstrom in Richtung der Arme und Beine. In Stresssituationen geht es im Körper um die Vorbereitung von Flucht oder Kampf nicht darum, möglichst ruhig und im Vollbesitz der geistigen Kräfte bestmögliche Entscheidungen zu treffen.

Deswegen ist ein Cyber-Notfallplan wichtig: Wie bei Notfallplänen für Brand oder andere Katastrophen hilft er in einer Hochstress-Situation richtige Maßnahmen zu ergreifen und das Geschehen schnellst- und bestmöglich unter Kontrolle zu bringen. Unternehmen entwickeln für eine Vielzahl von potenziellen Vorkommnissen Notfallpläne. Die Cybersicherheit ist „nur“ ein weiteres Thema, für das die schon gesammelte Erfahrung genutzt werden sollte.

Mittelständische Unternehmen werden in der Regel von jemandem attackiert, der damit Geld verdienen will. Es handelt sich zumeist entweder um Ransomware-Angriffe, bei denen Daten verschlüsselt werden, um Geld mit der Entschlüsselung zu erpressen, oder um Angriffe mit dem Ziel sensible Daten zu stehlen. Wenn man sich im ersten Schritt auf diese Angriffsszenarien konzentriert,kann man sich effektiv auf diese Szenarien vorbereiten.

Vertrauen zwischen Management und IT ist die Basis jedes Cyber-Notfallplans.

Falls noch nicht vorhanden, gilt es, zwischen den Verantwortlichen für Cybersicherheit und der Geschäftsführung eine Verständnis- und Vertrauensbasis zu schaffen. Im Dialog ist es für beide Seiten möglich, notwendige Arbeitsweisen und kritische Punkte besser zu verstehen. Die Geschäftsführung sollte im Nachgang in der Lage sein, Aktionen, die während einer Cyberattacke notwendig sein können, und deren Auswirkungen im Grundsatz zu verstehen. Im Gegenzug ist es für die IT-Verantwortlichen wichtig, die, für den Fortbestand des Unternehmens zentralen, Prozesse zu kennen und zu verstehen: Welche Auswirkungen hat ein Stillstand dieser Bereiche auf das Überleben des Unternehmens? Wie lange ist er möglich, ohne den Fortbestand der Firma zu gefährden?

Auf Basis dieses Dialogs, kann gemeinsam der Cyber-Notfallplan entwickelt werden:

  • Was sind zentrale Prozesse oder Systeme für den Unternehmensfortbestand?
  • Wie können sie im Angriffsfall bestmöglich geschützt werden?
  • Was sind Alternativen, wenn eine Abschaltung nicht verhindert werden kann?
  • Wer sind entscheidende Ansprechpartner, die im Falle eines Angriffs schnell Entscheidungen treffen bzw. mittragen müssen?

Dieses Basiswissen und das sich aus den notwendigen Gesprächen entwickelnde Vertrauen schaffen eine deutlich bessere Position, um mit den Auswirkungen eines Angriffs effektiv umzugehen.

Doch Pläne allein reichen nicht. Es muss vor allem möglich sein, Cyberangriffe schnellstmöglich festzustellen:

  • Mitarbeitende müssen erkennen, wenn Sie sicherheitsrelevante Fehler machen,
  • IT-Mitarbeitende müssen in der Lage sein, Fehlermeldungen der Systeme lesen, potentielle Risikofälle zu erkennen und diese an die richtigen Ansprechpartner innerhalb der Geschäftsführung weiterzuleiten.

Es geht nicht nur im die IT: Bei Angriffen auf Produktionsstraßen kann es zu Risiken für Leib und Leben der dort Arbeitenden kommen.

Das IT-Team muss genau wissen, was während eines Angriffs getan werden kann, um Folgen möglichst klein zu halten: Möglichkeiten wie z.B.

  • betroffene Systeme isolieren und aus dem Netzwerk nehmen oder
  • Schließung von Internetzugängen, um den Zugriff Angreifender auf deren Schadsoftware zu blockieren,

sollten in den jeweils designierten Teams durchgespielt und vorbereitend im Notfallplan notiert werden.

Außerdem gilt es, den Notbetrieb zu definieren:

  • Welche Systeme sind betriebskritisch und wie kann das Geschäft weitergeführt werden, wenn einige für einen unbestimmten Zeitraum nicht zur Verfügung stehen?
  • Was ist das Maximum, das das Geschäft ohne ein bestimmtes System weiterarbeiten kann?
  • Ab wann ist der Unternehmensfortbestand gefährdet?

In jedem Unternehmen gibt es Systeme, bei denen dieser Zeitraum relativ lang ist (z.B. können für das Bestellwesen Alternativen wie das Erstellen von Listen, Versendung durch Fax o.ä. definiert werden). Bei anderen sind diese Zeiträume sehr kurz oder sogar inexistent (z.B. In der Zuliefererbranche, wo genormte VDA-Etiketten auf jedes Produkt aufgebracht werden müssen. Ist das System, dass diese generiert und aufbringt, durch den Angriff außer Betrieb, steht die Produktion ab diesem Zeitpunkt komplett).

Backups bleiben zentrale Grundlage.

Nach dieser Kritikalitätsanalyse ist es möglich zu planen, welche Systeme schnellstmöglich wie wieder hergestellt werden können. Eine zentrale Grundlage dafür ist der Backup. Hier gibt es allerdings zwei widerstreitende Perspektiven: Seitens Organisation und Kostenkontrolle sollten Backups mit möglichst geringem personellen Aufwand automatisiert und regelmäßig erstellt werden. Doch Systeme, die dies möglich machen, und die Backups selbst sind online und können vom Angreifenden mitmanipuliert werden.

Deswegen müssen mindestens Backups systemrelevanter Systeme regelmäßig für Hacker nicht sichtbar oder erreichbar gespeichert werden. Sie müssen dafür regelmäßig und in engen Zyklen auf externen Speichermedien (z.B. Festplatten oder Sticks) gesichert und offline gelagert werden. Zudem sollten diese Backups regelmäßig geprüft und das Wiedereinspielen getestet und IT-seitig geübt werden. Sie sollten auch dafür Lösungen finden, wie die Wiederherstellung funktioniert, wenn sich die regulären Systeme noch unter Kontrolle des Hackers befinden. Sie benötigen in diesem Falle eine separate neue, operable Lösung, mit der der Betrieb funktioniert und auf die der Hacker keinen Zugriff hat. Wir empfehlen, auch mit den externen IT-Dienstleistern des Unternehmens zu diskutieren, wie diese die, an das Unternehmen vergebenen, IT-Infrastrukturen schützen bzw. was auf deren Seite getan werden muss, um den Notbetrieb sicherzustellen.

Kein gutes Notfallmanagement ohne Krisenstab.

Bei einem Notfall braucht das Unternehmen schnellstmöglich den passenden Krisenstab. Er muss sich schnellstmöglich zusammenfinden, um einen reibungslosen Ablauf der Prozesse innerhalb und außerhalb der IT zu garantieren. Im Krisenstab sollten mindestens Experten für folgende Dinge sitzen:

  • Kommunikation zu Partnern, Kunden und Mitarbeitenden,
  • Analyse und Bearbeitung rechtlicher Aspekte und Meldepflichten,
  • Analyse des Angriffssystems und Erarbeitung von Maßnahmen (ggf. unter Einbindung externer Experten),
  • Ableitung und Abstimmung der Business-Continuity-Maßnahmen.

Kommunikation ist ein wichtiger Bestandteil des Notfallplans. Es muss vorab geplant werden, was, wann, wie an welche Stakeholder kommuniziert wird und wer dafür die Verantwortung trägt. Genauso wichtig ist es zu planen, wie damit umgegangen wird, wenn ein Kunde oder Partner einen Angriff mitteilt, der Auswirkungen auf das eigene Unternehmen haben kann. Je besser vorab definiert wird, welche Sicherheitsmaßnahmen ergriffen werden, desto besser ist das eigene Unternehmen im Fall geschützt.

Bei gesetzlichen Meldepflichten muss abhängig von der Angriffsart geprüft werden, ob und in welchem Zeitraum gemeldet werden muss. Wir weisen darauf hin, dass Meldefristen häufig kürzer sind als seitens der Unternehmen vermutet. Bei personenbezogenen Daten muss entsprechend der DSGVO Meldung gemacht werden. Die Meldefrist beträgt hier 72 Stunden und sollte eingehalten werden, um Bußgelder wegen Pflichtverletzung zu vermeiden. Für Unternehmen, die zur kritischen Infrastruktur gehören, gibt es weitere Meldepflichten, die dem Team vorab bewusst sein sollten. Vorbereitung bleibt Trumpf.

Wir empfehlen zusätzlich zu Meldepflichten, etc. Anzeige zu erstatten. Noch unterlassen es viele Unternehmen, diesen Schritt zu gehen. Doch es gibt heute in vielen Bundesländern auf Cyberkriminalität spezialisierte Abteilungen, die auch behördlicherseits kompetente Unterstützung offerieren. Zudem unterstreicht die Anzeigenstellung gegenüber Dritten, dass sämtliche Schritte eingeleitet werden, Folgeschäden des Angriffs möglichst weitgehend einzuschränken.

Klare Kommunikation von Cyberattacken hilft.

In der Vorbereitung ist es generell wichtig, sich zu fragen, wie vertraulich eine Cyberattacke behandelt werden soll. Geht das Unternehmen mit dem Thema an die Öffentlichkeit geht oder wird es nur intern bzw. mit engen Partnern oder Kunden diskutiert? Viele Unternehmen tendieren heute dazu Vorfälle „totzuschweigen“. Wir empfehlen deutlich mehr Transparenz: Klare Kommunikation zu Cyberattacken hilft, Unternehmen entlang der Lieferkette besser auf einen potenziellen Angriff vorzubereiten. Außerdem hilft offene Kommunikation der Erkenntnisse zum Angriffsweg und erarbeiteten Lösungsansätzen nach erfolgreicher Abwendung der Attacke anderen Unternehmen sich besser vorzubereiten. Kommunikation birgt allerdings immer die Angst vor Haftungsrisiken. Cybersicherheit ist inzwischen professionelle Alltagskriminalität. Deswegen ist es nicht mehr zeitgemäß sich eines Angriffs zu schämen. Wer in der Fußgängerzone bestohlen wird, geht ohne Scham zur Polizei um Anzeige zu erstatten. Dies sollten wir heute bei Cyberangriffen ähnlich halten: Wer eine gute Cybersicherheits-Strategie und Notfallvorbereitung nachweisen kann, kann gute, offene Kommunikation zu Geschehnissen und Maßnahmen nutzen, um sich positiv in Szene zu setzen.

Jedes Thema lässt sich bewältigen, wenn man gut vorbereitet ist.

Bereiten Sie sich vor. Spielen Sie Cyberattacken gedanklich durch. Üben Sie im Team die gefundenen Lösungsansätze ein. Denkanstöße und Templates gibt es z.B. auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI). Jedes Thema lässt sich besser bewältigen, wenn man gut vorbereitet ist. Cyberattacken sind nicht anders. Wir wünschen viel Erfolg bei der Gestaltung bzw. Optimierung Ihres Cyber-Notfallplans und eine möglichst angriffsfreie Zeit.

Quelle: LinkedIn

Kommentar verfassen