Rund 15.000 Datenschutzvorfälle pro Jahr1, 380 Anzeigen im Zusammenhang mit Ransomware Attacken2 und eine Aufklärungsquote von 27%3 - das sind die Kennzahlen des ZAC des Bayrischen Kriminalamtes rund um Cyberattacken.
Die Zahlen aus Süddeutschland zeigen exemplarisch: Cyberkrisen nehmen stark zu, immer mehr Unternehmen, Behörden und öffentliche Einrichtungen sind das Opfer von Angriffen auf die eigene IT-Infrastruktur. Die Ermittlungsexperten empfehlen Betroffenen, jeden kriminellen Vorfall unbedingt zur Anzeige zu bringen, da häufig – wie es etwa die Zerschlagung der Hackergruppe LockBit zeigte – ein Puzzleteil helfe, um erfolgreich gegen kriminelle Vereinigungen vorzugehen.
Aber was gilt es, neben möglichen strafrechtlichen Schritten, im Falle eines Cyberangriffes zu beachten. Und: Wie können sich Unternehmen präventiv vorbereiten, schützen und ihre Cyber-Resilienz stärken?
Die Zeit läuft
72 Stunden – das ist das Zeitfenster, dass die DSGVO vorsieht, um einen Cyberangriff bei der zuständigen Aufsichtsbehörde zu melden – wenn personenbezogene Daten betroffen sind. Während und nach einer Cyberattacke sind Unternehmen, Behörden und öffentliche Einrichtungen oft mit diesen und anderen Informationspflichten überfordert. Es besteht Unsicherheit mit Blick die deutlich steigenden Meldepflichten, die das regulatorische Umfeld in Deutschland und der EU mit sich bringt. Abhilfe schafft hier vor allem die gemeinsame Schulung und Vorbereitung mit Verantwortlichen aus unterschiedlichen Fachbereichen wie Recht, Datenschutz und IT und Kommunikation.
Kommunikation in der Krise
Ein Angriff auf die eigene IT-Infrastruktur erzeugt bei Betroffenen einen hohen Zeit- und Informationsdruck. Als Folge treten häufig Fehler in der internen und externen Kommunikation auf: Diese reichen vom Festhalten am "Prinzip Hoffnung" über divergierende Botschaften und Kanäle bis hin zu einem zu voreilig erklärten Ende der Krise. Kommunikatives Handeln dieser Art bedroht die Glaubwürdigkeit und das Vertrauen in die Krisenkompetenz des Unternehmens bei den Stakeholdern. Stattdessen gilt es – nach außen und nach innen – Cybersicherheit als relevantes Thema kontinuierlich in der Regel-Kommunikation zu platzieren und so Aufmerksamkeit und Sensibilisierung zu schaffen.
Werte richtig (ver-)sichern
Im Gegensatz zu den USA sind in Deutschland und Europa viele Unternehmen nicht ausreichend versichert. Sind ihre Systeme nicht mehr arbeitsfähig oder stehen Schadenersatz-Forderungen von betroffenen Kunden und Geschäftspartnern im Raum, verstärkt sich die Krise so zusätzlich. Schon vor dem Schadensfall sollten Unternehmen deshalb identifizieren, wo ihre „Werte“ liegen, wie sie zu schützen und im nächsten Schritt zu versichern sind. Auch in Auseinandersetzungen mit Erpressern – zum Beispiel im Fall einer Ransomware-Attacke – ist dieser Schutz relevant für die eigene Verhandlungsposition. Neben der richtigen Versicherung ist aber auch Prävention ein wichtiges Werkzeug – dazu gehören unter anderem regelmäßige Pen-Tests. Auch hier liegt Deutschland im internationalen Vergleich eher im hinteren Feld.
Cyberresilienz stärken
Um für einen Cyberangriff gut aufgestellt zu sein, brauchen Unternehmen ein enges und vorab geübtes Zusammenspiel ihrer internen Experten. Hierbei kann eine Simulation des Krisenfalls Schwachstellen aufzeigen, beteiligte Mitarbeitende bekommen so mehr Sicherheit im Umgang mit Cybervorfällen.
Ebenfalls wichtig ist eine deutliche kommunikative Stärkung des Problembewusstseins gegenüber digitalen Angriffen und ein regelmäßiger Austausch mit externen Fachkräften und anderen Unternehmen um unterschiedliche Erfahrungen und praxisnahe Lösungen auszutauschen.
Präventiv unterstützend und wirksam sind eine kritische Bestandaufnahme der eigenen Assets und die Bewertung der Bedrohungspotenziale – so kann eine Cyberresilienz zusätzlich gestärkt werden.
1 Bayrischen Landeskriminalamt, Zentralstelle Cybercrime (Hrsg.:): Cybercrime – Landeslagebild Bayern 2021, S.6
2 Bayrischen Landeskriminalamt, Zentralstelle Cybercrime (Hrsg.:): Cybercrime – Landeslagebild Bayern 2021, S.32
3 Bayrischen Landeskriminalamt, Zentralstelle Cybercrime (Hrsg.:): Cybercrime – Landeslagebild Bayern 2021, S.8