Internet-Krimi | KPMG | AT
close
Share with your friends
Dimensionen - Schwerpunkt Neue Arbeitswelt - Internet-Krimi

Internet-Krimi

Internet-Krimi

Dimensionen

Dimensionen

Die KPMG Fachzeitschrift bietet Neuigkeiten aus den Bereichen Wirtschaftsprüfung und Beratung.

Die digitale Vernetzung birgt neben Vorteilen auch Risiken bezüglich der Informations- und IT-Sicherheit. Sicherheitsvorfälle und Cyberangriffe gehören längst der Realität an. Michael Sauermann von KPMG in Deutschland zeigt ergänzend zur aktuellen KPMG Studie „Cyber Security in Österreich“, weshalb ein professioneller Umgang mit IT-Sicherheitsvorfällen, Datenlecks und Krisenkommunikation entscheidend ist.

Die Liste der digitalen Bedrohungen ist lang und hat sich über die letzten Jahre kontinuierlich entwickelt: Verschlüsselungstrojaner (Ransomware) bewegen und vermehren sich heutzutage eigenständig in Unternehmensnetzwerken und erpressen von ihren Opfern Geld in Form von Digitalwährungen wie Bitcoins. Die Kompromittierung von Industrieanlagen (SCADA/ICS) kann empfindliche Produktionsausfälle bedeuten und wird durch die Angreifer passgenau gegen bestimmte Typen von Systemen eingesetzt. Zielgerichtete Infektionen mit Schadsoftware und Datenlecks fordern von betroffenen Unternehmen den konsequenten und professionellen Umgang in der IT-Sicherheit sowie im Krisenmanagement.

Die Gefahren orten

Angreifer können überall und von überall aus aktiv werden. Durch weltweit verzweigte Netze sind diese nur sehr schwer zu verfolgen. Die Angreifergruppen gehen oftmals unterschiedlich vor und verfolgen verschiedenste Ziele. So sind Angriffe von Innentätern oder dem organisierten Verbrechen ebenso möglich wie jene von ideologisch inspirierten und politisch geprägten Einheiten. Es gilt, den Blick sowohl nach innen als auch außen zu schärfen und auf unterschiedliche Szenarien vorbereitet zu sein.

Die Vorbereitung auf IT-Sicherheitsvorfälle ist grundlegend für ein effektives Krisenmanagement und einer intakten IT-Sicherheit. Vergleichbar ist dies mit einer Unfallversicherung oder dem Airbag im Auto. Für den individuell passenden Schutz müssen Organisationen gezielte Vorkehrungen treffen und sinnvolle technische sowie prozessuale Maßnahmen ergreifen. Diese Aufgabe ist nicht zuletzt deshalb sehr komplex, da Angreifer unterschiedliche Ziele verfolgen: Mit ihren Attacken können sie verschiedene Strukturen treffen, deren Infizierung jeweils andere Konsequenzen mit sich bringen.

Krisen effektiv meistern

Die Auseinandersetzung mit diesen Bedrohungen zeigt, dass eine (echt-)zeitnahe und adäquate Reaktion auf Angriffe maßgeblich für die Bewältigung der Krisensituation ist. Dabei ist es wichtig, die Bedrohungslage als Managementthema zu verstehen und ausdrücklich nicht als reines IT-Thema. Im Fall eines in der Presse bekannt gewordenen Datenlecks würde sich beispielsweise nicht alleinig die IT des Themas annehmen. Vielmehr sind unterschiedlichste Instanzen der Unternehmen gefragt, geschlossen und miteinander die Situation zu meistern.

Bei einem Datenabfluss sind beispielsweise eine zielgerichtete Reaktion der IT-Kollegen zur Identifikation des Datenlecks ebenso wichtig wie eine präzise Krisenkommunikation. Gemeinsam bilden sie damit wichtige Stützpfeiler in der Bewältigung des Vorfalls. Bei anderen Szenarien, etwa einem Hacking-Angriff und der Kompromittierung von IT-Systemen, gilt folgendes: Den Angreifer zügig mittels Experten aus der IT-Forensik zu identifizieren, Schutzbarrieren zu errichten und die Situation entschlossen und gekonnt in eine sichere Lage zu bringen.

Prozessseitig ist ein zuvor etablierter sogenannter Incident Response-­Prozess unabdingbar. Er regelt unter anderem Rollen, Verantwortlichkeiten, Meldewege, Kritikalitätsniveaus und Eskalationsstrategien. Die geübte Abfolge des Prozesses ist dabei essenziell und trägt zur Reduktion der durch den Vorfall verursachten Schäden bei.

Gravierende Schäden drohen

Der verursachte Schaden durch Cyberbedrohungen kann mitunter sehr hoch ausfallen und trotzdem erst der Anfang sein. Neben Kosten zur Wiederherstellung des Geschäftsbetriebs und der Infrastruktur kommt es oft zu hohen Initialschäden: etwa durch entwendete Daten, wie beispielsweise Mitarbeiter- und Kundendaten, Strategiepapiere, Finanzdaten, Rezepturen oder Konstruktionsplänen. Zudem werden Schäden möglicherweise erst einige Zeit später registriert, wenn Produkte oder andere Leistungen identisch im Ausland nachgebaut werden und möglicherweise erst Jahre später eine neue Konkurrenzsituation entsteht. Ist der Vorfall zusätzlich an die Öffentlichkeit gelangt, drohen Reputationsverluste und ein Wegfall von Investoren und Kunden.

Besonders die Erhebung und Verarbeitung von personenbezogenen Daten bedeutet auch, diese angemessen zu schützen. Bei einer Verletzung nationaler oder übergreifender Datenschutzgesetze (Stichwort: EU-DSGVO) können empfindliche Strafen drohen. Unternehmen mit Geschäftstätigkeiten auf anderen Kontinenten, wie beispielsweise dem US-amerikanischen Markt, können aufgrund von Datenlecks von der Justiz mit hohen Geldstrafen belegt werden. Ein Datenleck gefährdet ein Unternehmen also aus unterschiedlichen Blickwinkeln.

Der richtige Zeitpunkt

Im schlimmsten Fall wird ein Datenabfluss nicht einmal bemerkt und erst durch die Presse wird das betroffene Unternehmen mit dem Datenleck konfrontiert. Dann gilt es die zuvor definierten Aktionen durchzuführen, zum passenden Zeitpunkt zu kommunizieren und die wichtigsten Fragen zu klären: Welche IT-Systeme sind betroffen? Wie ist der Angreifer in das System gelangt und ist er noch aktiv? Ist die Motivation des Angriffs bekannt? Wie können Spuren in infizierten Systemen helfen und zur Aufklärung des Vorfalls beitragen? Wurden personenbezogene Daten entwendet oder offengelegt? Welche gesetzlichen Pflichten, insbesondere Informationspflichten, sind einzuhalten? Welche Stakeholder werden berechtigte Fragen stellen? Auch die Kommunikation nach innen, also an die eigenen Mitarbeiter, und nach außen, an Medien, Kunden und Stakeholder, ist zu bedenken.

Möglicherweise wird auch der Cyberversicherer Fragen zu Handlungen des Unternehmens stellen. Die präzise Beantwortung dieser Fragen kann essenziell für die Deckung der entstandenen Schäden sein.

Zusammenfassend lässt sich festhalten, dass die adäquate Reaktion auf IT-Sicherheitsvorfälle gut vorbereitet sein muss. Dafür sind Akteure aus IT und IT-Forensik ebenso notwendig wie erfahrene Krisenmanager. Ein gut funktionierender Prozess hilft dabei, zügig die richtigen Maßnahmen zu ergreifen und weiteren Schaden zu verhindern.

Gastautor

Michael Sauermann
Partner, Head of Forensic Technology Germany