Safety: Den Worst Case vermeiden

16. November 2022, 15:06

Cyberangriffe treffen immer häufiger Mittelständler – mit teils existenzbedrohenden Folgen. Die Hacker haben leichtes Spiel. Denn jedes zweite deutsche Unternehmen ist laut Digitalverband Bitkom schlecht vorbereitet. Was präventiv und im Fall der Fälle zu tun ist, erklärt das Expertennetzwerk Unternehmensresilienz (ENUR).

Früher oder später wird es jeden treffen, sagt Dr. Axel Wenzel, Rechtsanwalt und Partner der Kanzlei Oppenhoff. Und: „Die Verantwortung, solchen Attacken vorzubeugen und ein Information Security Management System (ISMS) aufzubauen, ist nicht Aufgabe der IT, sondern der Geschäftsführung.“ Hat sich diese nicht ausreichend gekümmert, haftet sie unter Umständen dann auch persönlich. Dr. Wenzel gehört wie sein Kollege Dr. Jürgen Hartung einem Expertenkreis aus den Bereichen Recht, Krisenmanagement, IT, Kommunikation und Versicherung an, genannt ENUR. Das Expertennetzwerk Unternehmensresilienz wird dann aktiv, wenn woanders nichts mehr geht. ENUR berät etwa, wenn Ransomware die Systeme lahmlegt und sensible Informationen in fremder Hand sind, wenn die Produktion stillsteht, Kund*innen vergeblich auf Waren warten und hohe Geldsummen erpresst werden. Ist der Worst Case eingetreten, werden alle Geräte und Server sofort vom Netz getrennt, aber nicht heruntergefahren. Der Krisenstab, der hoffentlich schon vor dem Ernstfall bestimmt wurde, tritt zusammen. Die Leitung des Krisenstabs sollte nicht die Geschäftsführung übernehmen. Ein präventiv erstelltes Krisenhandbuch sorgt für erste Struktur im Chaos. Für den Krisenstab werden gesicherte Kommunikationswege aufgebaut. Neben der eigenen IT-Leitung sollten ein professioneller IT-Forensiker, Rechtsberater oder Jurist*innen ein Krisenkommunikator sowie der oder die Datenschutzbeauftragte und der Betriebsrat einbezogen werden. Denn wenn personenbezogene Daten abgezogen wurden, ist die Meldepflicht an die Datenschutzbehörden innerhalb von 72 Stunden einzuhalten. Dann wird der Versicherungsschutz des Unternehmens geprüft. Denn der Betriebsausfall, das Engagement von externen Spe-zialist*innen und die Lösegeldforderung, die möglicherweise gezahlt werden muss, sind kostspielig. Im Idealfall besteht eine Cyberversicherung mit ausreichender Deckung. Der Versicherer wird kontaktiert.

Auf sorgfältige Dokumentation achten

Die IT-Forensik prüft nun die Back-ups und analysiert beschädigte Dateien. Das Ausmaß des Schadens bestimmt den Notbetrieb und wie schnell die normalen Prozesse wieder starten können. Der Krisenstab informiert außerdem das LKA und die Kripo. „Das forensische Gutachten muss sorgfältig sein, damit es vor Gericht als Beweis zugelassen wird, wenn Kund*innen Schadensersatzansprüche geltend machen“, warnt Dr. Hartung. Laut Gesetz können bei Datenschutzverletzungen Bußgelder in einer Höhe von bis vier Prozent des weltweiten Jahresumsatzes des Unternehmens drohen. Das betroffene Unternehmen muss zudem selbst eine Strafanzeige stellen. Auch im Hinblick auf die Versicherung gilt: „Wichtig ist, alle Schritte nachvollziehbar zu dokumentieren.“
Der Kommunikationsmanager ist dafür verantwortlich, dass die Mitarbeitenden und Geschäftskunden über den Cyberangriff informiert sind. Er stimmt die internen und externen Sprachregelungen ab und spricht mit Medienvertretern. Denn alles, was nach außen dringt, erfahren auch die Hacker. Mittlerweile hat das Krisenmanagement ein digitales Wallet erstellt, mit dem Lösegeld in Bitcoins gezahlt werden könnte. Das prüft auch, ob die Hacker die verschlüsselten Daten überhaupt entschlüsseln können. Letzte Gewissheit gibt es allerdings nicht. Eine Lösegeldzahlung ist nur im äußersten Notfall zu empfehlen. Denn ist man einmal Opfer, ist man es auch in Zukunft. Das Unternehmen bleibt Ziel für weitere Angriffe.
„Nach deutschem Recht ist es auch gar nicht unproblematisch, Lösegeld zu zahlen“, warnt Dr. Hartung. „Wir haben den Tatbestand der Unterstützung einer kriminellen Vereinigung. Das ist bei manchen Hackergruppen im Zweifel gegeben, und man macht sich strafbar.“ Eine Lösegeldzahlung sollte also gut mit Kriminalpolizei und Staatsanwaltschaft abgestimmt werden. Die Geschäftsführung sollte eine Zahlung auch nach der Business Judgement Rule abwägen und gut dokumentieren, um die persönliche Haftung zu vermeiden. Für eine Zahlung muss das geschädigte Unternehmen außerdem in Vorleistung gehen, bevor die Versicherung die Summe bei ausreichender Deckung ersetzt.
Viel Ärger, der mit einem ISMS im Vorfeld weitgehend vermieden werden könnte. Firewall, Virenschutz und Spamfilter reichen als Schutz bei Weitem nicht aus. Denn die Hacker werden immer gewiefter, und die Zahl der Angriffe steigt. Wie gut Firmen aus solchen Krisen hervorgehen, entscheidet sich lange vorher durch ihre Vorbereitung. Der Expertenkreis ENUR bietet Unternehmen daher auch präventiv sensibilisierende Krisensimulationsübungen und eine Prüfung des eigenen Sicherheitsstatus an.

Lioba Hebauer


Zu ENUR, dem Expertennetzwerk Unternehmensresilienz, gehören

• Sebastian Reis von der Result Group – Global Risk and Crisis Management, ein Beratungsunternehmen für globales Risiko- und Krisenmanagement
• Hendrik Schulze van Loon von der Kommunikationsberatung Orca van Loon
• Wolfgang Straßer von der @-yet GmbH, die auf IT- Risk- und -Sicherheitsmanagement fokussiert ist
• Frederik Köncke von Robert Schüler Versicherungsmakler, spezialisiert auf mittelständische und große Unternehmen aus Industrie, Handel und Dienstleistung
• Dr. Axel Wenzel und Dr. Jürgen Hartung, beide Rechtsanwälte und Partner bei der Wirtschaftskanzlei Oppenhoff

enur-netzwerk.de
Weitere Informationen unter: bit.ly/3z4L62Q und bsi.bund.de/dok/13983460