Ohne Simulation einer Cyberkrise ist die Abwehr lückenhaft | Brunswick Group

Ohne Simulation einer Cyberkrise ist die Abwehr lückenhaft

Für viele Unternehmen bedeutet Cyber Abwehr vor allem zwei Dinge: Wie sichere ich meine IT-Systeme gegen Angriffe und Eindringlinge? Und wie halte ich meine Mitarbeiter davon ab, fahrlässig schädliche Software ins System einzuschleusen? Dies ist oft ein Wettlauf „Hase gegen Igel“.
Denn je stärker Unternehmen sich vernetzen, desto höher wird das Infektionsrisiko über die Schnittstellen zu Geschäftspartnern, die weniger oder keinen Wert auf Cyber Abwehr legen. Trotz aller Bemühungen entdeckt die IT-Security bei Tests immer noch, dass Mitarbeiter verbotswidrig Email-Anhänge öffnen oder fremde Speichersticks verwenden, über die Angreifer den Weg ins Firmennetz finden können.

 

Ein wichtiger Aspekt fehlt häufig in der Vorbereitung: die Simulation eines Angriffs auf die eigene Organisation, sei es ein versichertes Unternehmen oder ein Versicherer selbst. Im Ernstfall wird eine schnelle und angemessene Reaktion erforderlich. Dabei hilft eine Prozesseinübung und Fehlerdiskussion.  
Wenn kurz vor dem Wochenende eine Erpressermail eingeht, am Samstag Kundendaten ins Internet gelangen, am Sonntag Druck auf Twitter aufgebaut wird – wen wundert es, wenn Montag die BaFin vor der Tür steht und der Aktienkurs einbricht? Jedes Unternehmen haftet für das Versprechen, die Belange der Kunden, der Mitarbeiter und am Ende der Investoren zu wahren. In der Industrie steht dabei das Funktionieren von Lieferketten im Mittelpunkt, bei Versicherern der Schutz sensibler Daten. Generell geht es um Vertrauen in eine risikobewusste und nachhaltig arbeitende Firmenkultur. Dieses Vertrauen leidet, wenn das angegriffene Unternehmen hilflos handelt, nicht auskunftsfähig ist oder widersprüchliche Angaben macht.

Ein Simulationsprozess besteht aus vier Stufen:

1. Risikobestandsaufnahme:
Hinsichtlich welcher Daten und Szenarien ist das Unternehmen besonders gefährdet? Welche Krisenpläne und –prozesse gibt es heute? Hat das Risikokomitee, soweit vorhanden, das Thema „Cyber“ bereits getestet – mit welchem Ergebnis? Wer sind die internen und externen Zielgruppen, die im Krisenfall relevant werden? Gibt es ein Cyber Playback?

2. Krisensimulation:
In einer Übung wird der vorhandene Notfallplan, der in den meisten Unternehmen eher für Unfälle mit verletzten Personen entwickelt wurde, mit einer konkreten Cyber-Attacke getestet. Überprüft wird, ob die zusammengerufenen Vorstandsmitglieder, der Notfallstab-Leiter, die Vertreter der IT, der Rechtsabteilung, der Kommunikation und eventuell auch der Personalabteilung ähnliche Vorstellungen haben, worauf es im jeweiligen Fall für eine professionelle Reaktion ankommt.

3. Entwicklung eines Cyber-Krisenplans:  
Als Ergebnis von 1. und 2. werden die Rollen und Verantwortlichkeiten, Handlungsmaximen, Eskalationsregeln sowie die technischen Notfallmaßnahmen festgelegt.

4. Management-Vorbereitung:
Wie viel Schaden Angreifer anrichten, hängt auch davon ab, wie sehr sich das Management von der Dynamik der Situation unter Druck setzen lässt. Die Fähigkeit des Vorstands, in einer komplizierten Situation schnell und sicher zu führen, ist der wichtigste Baustein für eine souveräne Krisenreaktion. Deshalb werden in der vierten Phase mit dem Vorstandsvorsitzenden und den zuständigen Vorstandsmitgliedern, etwa dem IT-Vorstand oder dem COO, Handlungsabläufe eingeübt. Auch ein Medientraining sollte dazugehören.

Denken Sie auch an die von Ihnen gegen Cyber versicherten Unternehmen?
Speziell Industrieversicherer sollten überlegen, ob sie eine solche Vorbereitung auch bei Unternehmen anregen, die bei ihnen gegen Cyberschäden versichert sind. Als Anreiz könnte ein Prämienrabatt dienen, falls Unternehmen nachweisen, dass sie sich gründlich gewappnet haben. Denn höhere Resilienz des Versicherungsnehmers verbessert mittelfristig die Combined Ratio - gerade in einer Sparte, die viele sonstige Unsicherheiten bewältigen muss. Am Ende macht sich das für beide Seiten bezahlt.

 

Brunswick hat solche Krisensimulationen in vielen Fällen erfolgreich durchgeführt. Bei Interesse freuen wir uns über Kontaktaufnahme bei

 

Dr. Christian Lawrence & Fiona Claire Littig