Cyber Crisis Management

Wie bei so vielem im Leben lassen sich auch bei Cyber-Krisen wiederkehrende Muster erkennen. Wenn wir diese verstehen, können wir versuchen die Krisen innewohnende Dynamik zu durchbrechen. Eine hier in Deutschland viel zu wenig beachtete Cyber-Krise erlebte Sony Pictures Entertainment (SPE) vor einigen Jahren. Diese kann als Blaupause dienen – sowohl für Unternehmen, die sich auf Cyber-Krisen vorbereiten, als leider auch für Angreifer, die aus einem breiten Instrumentarium schöpfen, mit dem sie Organisationen aller Branchen und Größen schaden können. Daher schauen wir uns zunächst die Erlebnisse von SPE um den Jahreswechsel 2014/2015 an, bevor wir daraus den prototypischen Verlauf der meisten Cyber-Krisen destillieren.

Krisenmanagement erfordert das Setzen von Schwerpunkten. Je nach Ausrichtung der Organisation auf Geschäftsfelder, auf Regionen oder auf Produkte – aber immer auf Menschen. Das alles sind die Crown Jewels, die in unserem Fokus und dem unserer Stakeholder stehen. Auf seiner strategischen Ebene hat Krisenmanagement einen zentralen, in Stein gemeißelten Zweck: das Vertrauen der Stakeholder in unsere Organisation so gut wie möglich zu bewahren. Stakeholder ist ein großes Wort (weniger poetisch ausgedrückt: ein Sammelbegriff), bei dem wir eines nicht vergessen dürfen: Auch wenn die Bandbreite unserer Stakeholder vom Kunden über die Mitarbeiter und Geschäftspartner bis zu den Anteilseignern, der Presse, den Aufsichtsbehörden und vielen mehr reicht, letztlich bestehen sie alle aus einzelnen Menschen. Und jeder dieser Menschen „spielt“ eine Rolle, aus der heraus er ganz spezifische Erwartungen an unsere Organisation hat.

Ziel und Zweck der unmittelbaren Reaktion auf Cyber-Krisen ist, die (negativen) Auswirkungen eines adversen Ereignisses schnell und effizient einzudämmen sowie im Idealfall als Chance für (positive) Veränderungen zu nutzen. Dazu müssen wir schnell, mutig und umsichtig zugleich sein. Unter dem Druck einer Krise, d. h. den Erwartungshaltungen und kritischen Augen unserer zahlreichen Stakeholder, bleibt nicht viel Raum für Fehler. Daher müssen wir aus dem Chaos die wirklich wesentlichen Problemstellungen herausfiltern und systematisch angehen – und zwar unverzüglich. Der Fokus muss auf den Crown Jewels liegen. Dazu brauchen wir mehrere Prozesse: Alarmierung, Eskalation und Information; Initialisierung der Krisenbewältigung; Krisenbewältigung auf strategischer Ebene; Krisenkommunikation; Notbetrieb der kritischen Geschäftsprozesse; Reaktion auf IT-technischer Ebene ((Major) Incident Response, Disaster Recovery). Diese Prozesse laufen teils innerhalb einzelner Ebenen (strategisch, taktisch, operativ), teils über sie hinweg. Daher besteht eine weitere Herausforderung darin, für die Kohärenz der Krisenbewältigung über alle Ebenen hinweg zu sorgen. Obendrein sollten wir uns mit grundsätzlich denkbaren Strategien für unterschiedliche Szenarien vertraut machen. Diese reichen vom Öffentlichwerden vertraulicher Informationen bis zu Erpressungen mit gestohlenen, manipulierten oder verschlüsselten Datensätzen.

Ziel und Zweck vorbereitender Maßnahmen ist, die Effizienz der Krisenbewältigung zu steigern. Sämtliche Lösungen erst unter dem unmittelbaren Druck einer Krise entwickeln zu müssen, ist im besten Fall unnötig kompliziert, im schlechtesten sogar unmöglich. Daher bietet sich an, dass wir verschiedene Vorbereitungsmaßnahmen treffen: organisatorische, infrastrukturelle, logistische und technische. Die Notfall- und Krisenorganisation (NuK) besteht (mindestens) aus einem Krisenstab, der die strategische Ebene verkörpert, und Teams für die taktisch-operative Ebene (CSIRT, Notfallteams). Die NuK profitiert von diversen Hilfsmitteln, wie einer Geschäftsordnung für den Krisenstab, einem Krisenhandbuch, Notfallplänen für Business und IT, Playbooks für das SOC/CSIRT, speziellen Räumlichkeiten, Checklisten und Templates, aber auch technischen Lösungen (SOAR, EDR, SIEM, IDS/IPS). Die Wirksamkeit der Vorbereitungsmaßnahmen sollten wir durch geeignete Testformate und Audits überprüfen. Auch und insbesondere für die Krisenkommunikation sollten wir Vorkehrungen treffen. Elementar ist, dass wir die Mitglieder der NuK angemessen auf ihre Aufgaben bei der Krisenbewältigung vorbereiten. Dies schließt das Zusammenspiel mit Dienstleistern und Kunden ein. Damit nicht genug: Wir können eine Cyberpolice abschließen und uns gegen Cyberrisiken versichern.

Wie bei allen Krisen kommt es auch bei Cyber-Krisen darauf an, inwieweit das Ereignis schon außerhalb der Organisation sichtbar ist. Faustregel: je sichtbarer, desto komplexer die Lage und teurer die Bewältigung. Daher spielt auch bei Cyber-Krisen die Prävention eine wesentliche Rolle. Prävention flankiert die Präparation und bedeutet zweierlei: (1) Die Eintrittswahrscheinlichkeit zu senken, mit der vertrauliche Informationen öffentlich werden, wichtige Informationen nicht verfügbar sind, Informationen verfälscht oder von unechten Absendern verbreitet werden. (2) Vorkehrungen zu treffen, die die Auswirkungen eines Verlusts an Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität kritischer Informationen begrenzen. Das alles können wir – wenn wir ISO 27032 folgen wollen – unter dem Label Cybersecurity verbuchen.

Ob Bewältigung, Prävention oder Präparation: Sämtliche Phasen des Cyber Crisis Managements haben ein gemeinsamens Fundament. Dieses Fundament sind die Leitplanken, die unsere Strategiedokumente setzen. Dazu zählt neben der Geschäfts- und IT-Strategie insbesondere die Informationssicherheitsstrategie. Auch der Fokus auf die Crown Jewels und all ihre wechselsseitigen Abhängigkeiten zählt zum Fundament. Diese Abhängigkeiten müssen wir unter Informationssicherheitsgesichtspunkten über die Grenzen unserer Organisation so steuern, dass Risiken von Drittparteien für uns beherrschbar bleiben und Drittparteien in einer Cyber-Krise nicht Teil des Problems, sondern Teil der Lösung sind.

Im Kern geht es bei der Krisennachsorge und -nachbereitung um zwei Dinge: Wir müssen die Beziehungen zu unseren Stakeholdern wieder reparieren – das ist der Blick nach außen – und wir müssen uns selbst einer ehrlichen und schonungslosen Manöverkritik unterziehen – das ist der Blick nach innen. Während die Beziehungspflege zu unseren Stakeholdern vor allem darauf abzielt, verlorenes Vertrauen wiederzugewinnen, geht es bei der Manöverkritik um die Identifikation von Ansatzpunkten, an denen wir besser werden können und müssen. Egal, ob wir den Blick nach außen oder nach innen richten, wir brauchen ehrliche Aussagen. Wenn wir keine ehrlichen Aussagen bekommen, ist unsere Datenbasis schief. Und aus einer schiefen Datenbasis ziehen wir Schlüsse, die uns aller Wahrscheinlichkeit nach nicht weiterhelfen. In der Praxis hat sich daher ein bunter Mix an Formaten bewährt, mittels derer wir belastbare Aussagen zu unserem Krisenmanagement sowie der Entwicklung unserer Stakeholderbeziehungen bekommen können.

Im Cyber Crisis Management gibt es zahllose Fettnäpfchen, die wir besser meiden sollten. Unter diesen Fettnäpfchen gibt es aber einige, die deutlich schlimmer sind als andere. Nennen wir sie die sieben Todsünden. 1) Den Stakeholderfokus zu verlieren, 2) Crown-Jewels-Fokus vermissen lassen, 3) Prävention und Präparation zu vernachlässigen, 4) sich auf öffentliche Blame-Games einzulassen, 5) die Salami-Taktik einzusetzen, 6) die interne Kommunikation zu vernachlässigen oder 7) schönen Worten keine Taten folgen zu lassen.