Cyber-Angriffe: An der Spitze der potenziellen Unternehmensrisiken 2022
Malware, DDoS, Ransomware – Werfen wir einen aktuellen Blick auf die bekannten Cyber-Bedrohungen und den damit verbundenen Herausforderungen für das Cyber-Krisenmanagement.
Heute haben Daten den größten Wert. Die gesamte Welt wird zunehmend digitalisiert, und die gemeinsame Nutzung und Speicherung von Informationen war noch nie so einfach. Als Reaktion auf diese schnelle Konnektivität steigt auch die Häufigkeit und Komplexität von Cyber-Bedrohungen auf ein neues Niveau. Laut dem jüngsten Allianz Risikobarometer 2022, stehen Cyberbedrohungen an erster Stelle der potenziellen Unternehmensrisiken. Die Frage lautet nicht mehr, ob ein Cyberangriff stattfinden wird, sondern wann.
Dr. Klaus Schäfer, Vice President Technology bei F24, beantwortet die wichtigsten Fragen, die wir zu diesem Thema erhalten haben.
Wie unterscheidet sich die Kommunikation bei Cyber-Krisen im Vergleich zu anderen kritischen Situationen?
Eine Cyber-Krise bringt ganz besondere Herausforderungen mit sich, die sich in Komplexität, Volumen und Brisanz über Zeit exponentiell entwickelt haben. Im Folgenden möchte ich auf vier wichtige Aspekte aufmerksam machen, die es bei Cybervorfällen zu beachten gilt.
Erstens sind im Falle eines Angriffs die üblichen Kommunikationskanäle schnell beeinträchtigt oder nicht mehr funktionsfähig. Ein Alarmsystem vor Ort oder ein interner Alarmserver funktionieren möglicherweise nicht, wenn sie am dringendsten benötigt werden. Eine SaaS-Lösung hingegen wird vom Anbieter gehostet, so dass sie im Katastrophenfall immer einsatzbereit ist, selbst wenn der SaaS-Anbieter angegriffen wird. Ein guter SaaS-Anbieter verfügt über ein vollständig redundantes System, welches die erforderliche Verfügbarkeit absolut sicherstellt.
Außerdem müssen wir uns die Frage stellen: Welche Schäden können Cyberangriffe anrichten und welche Daten können gestohlen werden? Es gibt viele Möglichkeiten, wie sich ein Cyberangriff auf ein Unternehmen auswirken kann, und die Konsequenzen hängen von der Art und Schwere des Angriffs ab. Unter der Oberfläche können diese Angriffe sehr viel schwerwiegendere Auswirkungen auf das Unternehmen haben. Der Schaden, den sie anrichten, ist jedoch nicht allgemein bekannt und viel schwieriger zu beziffern.
Können wir uns auf eine Cyber-Krise vorbereiten und wie geht das am besten?
Benjamin Franklin wird oft mit den Worten zitiert: "By failing to prepare, you are preparing to fail" (vgl. Mayberry, 2016).
Wie immer ist eine gute Vorbereitung die halbe Miete. Sie müssen bei allen Mitarbeitern ein Bewusstsein für die potenziellen Risiken schaffen. Jeder kann einen wichtigen Beitrag zum Schutz von Informationen leisten. Daher ist es wichtig, dass alle sensibilisiert sind und regelmäßig in Fragen der IT-Sicherheit geschult werden. Die Vorteile des regelmäßigen Übens für (Cyber-)Krisensituationen liegen auf der Hand: Theoretisches Wissen kann getestet und trainiert werden. Aus Fehlern im Training zu lernen und das Gelernte in die Praxis umzusetzen, macht das Handeln in einem realen Szenario reibungsloser und schneller.
Zweitens: Bestimmen Sie den Informationsprozess: zunächst intern (Mitarbeiter, ggf. Investoren), dann extern (Kunden, Händler, Presse) und richten Sie ein Krisenteam für Cyber-Ereignisse ein, dem Vertreter der Geschäftsleitung, der IT-Abteilung, der Kommunikationsabteilung, der Rechtsabteilung und möglicherweise auch Dritte angehören.
Idealerweise sollten Sie sich auf die Umsetzung einer Zwei-Wege-Kommunikation mit allen relevanten Interessengruppen konzentrieren. Einseitige Kommunikation ist keine Option, vor allem nicht, wenn es um Cyber-Krisensituationen geht. Legen Sie Ihre Ansprechpartner für weitere Anfragen und gegebenenfalls nach Interessengruppen fest.
Wie ist der Betrieb von F24 gegen Cyberangriffe gesichert? Wie wird eine hohe Verfügbarkeit gewährleistet?
F24 Lösungen sind explizit für solche Fälle konzipiert und stellen eine Art "Parallelwelt" zur eigenen IT-Infrastruktur unserer Kunden dar. Im Gegensatz zu den meisten anderen Unternehmen ist dies unser Kerngeschäft und wir müssen in Sachen Sicherheit und Verfügbarkeit ständig auf dem neuesten Stand sein und auf höchstem Niveau arbeiten. Der damit verbundene zeitliche, personelle und finanzielle Aufwand rechnet sich für die meisten Unternehmen nicht. Insofern setzen wir auch auf verfahrenstechnische Maßnahmen. Das heißt, wir sind nicht nur technisch auf dem neuesten Stand - Stichwort: Sicherheitsupdates, Firewalls und so weiter - sondern unsere Mitarbeiter werden auch außerhalb von Zertifizierungsaudits sensibilisiert, geschult und regelmäßig trainiert. All dies bildet die Basis für unsere F24 Lösungen und steht auf unserer täglichen Agenda.
Darüber hinaus sind die F24 und die meisten ihrer Tochtergesellschaften nach ISO/IEC 27001 zertifiziert, was in Bezug auf den IT-Grundschutz weit über ISO27001 hinausgeht. Neben automatisierten Host-Agent-basierten Schwachstellenscans lassen wir unsere Systeme regelmäßig von einem renommierten Unternehmen professionellen Black- und White-Box-Penetrationstests unterziehen. Und nicht zuletzt sind unsere Systeme vollständig redundant ausgelegt. Selbst wenn zum Beispiel eines unserer Rechenzentren von einem DDoS-Angriff betroffen wäre, würden unsere Kunden FACT24 weiterhin in vollem Umfang nutzen können. Deshalb können wir eine vertragliche Garantie von 99,99% Verfügbarkeit geben.
Dr. Klaus Schäfer, VP Technology – F24 Group