Wie können Unternehmen Cyber-Krisen effektiv bewältigen?
Den Abschluss der Veranstaltungsreihe CYBER SECURITY MONDAY bildete das Thema Notfallmanagement am 23. Mai 2022. Dr. Florian Wrobel, Geschäftsführer der COGITANDA Risk Prevention GmbH, erklärte, wie ein Cyber Security – Notfallmanagement im Unternehmen implementiert wird. Wir haben für Sie die wichtigsten Punkte für das Verhalten im Schadensfall zusammengefasst. Außerdem zeigen wir Beispiele für Sofortmaßnahmen, speziell für den Fall eines Ransomware-Angriffes.
„Ein Albtraum: Sie checken Ihre E-Mails. Plötzlich auf dem Bildschirm die Warnung „Rechner mit Schadsoftware infiziert“… Ein anderes Szenario: Sie sind auf Dienstreise und vergessen Ihren Laptop am Bahnhof. Er ist nicht mehr auffindbar…. In beiden Fällen sind wichtige und sensible Unternehmens- und Kundendaten in Gefahr! Eine schnelle und korrekte Reaktion ist notwendig, um einen größeren Schaden zu vermeiden. Ist Ihr Unternehmen vorbereitet?“
Das Risiko von Hackerangriffen steigt kontinuierlich an!
Jedes Unternehmen ist Risiken ausgesetzt, die den Geschäftsbetrieb beeinträchtigen können. Unvorhergesehene Ereignisse können zu enormen Schäden führen. Neben Großkonzernen sind gerade kleine Unternehmen im Fokus potenzieller Angreifer. Eine angemessene und schnelle Reaktion spielt im Ernstfall eine entscheide Rolle!
Das Notfallmanagement dient dazu, die Auswirkungen von Ausnahmesituationen zu begrenzen und die wirtschaftliche Existenz des Unternehmens auch bei großen Schadensereignissen zu sichern. Konzepte und organisatorische Strukturen ermöglichen kurze Reaktionszeiten und die Fortführung der wichtigsten Betriebsprozesse.
Viele Schadensereignisse haben verheerende Auswirkungen! Typische Notfallszenarien sind beispielsweise Pandemien, Cyber-Angriffe, Überflutungen und Brände, Langfristiger Stromausfall, Terrorismus und politische Unruhen.
Störung, Notfall, Krise oder Katastrophe?
Alle Arten von Vorfällen müssen behandelt werden, jedoch unterscheiden sich Notfälle in ihrer Auswirkung und in der Handlungsempfehlung für den Umgang mit ihnen.
Eine Störung ist ein kurzzeitiger Ausfall von Prozessen oder Ressourcen mit nur geringem Schaden. Die Behandlung ist Teil der üblichen Störungsbehebung. Ein Notfall hingegen ist ein länger andauernder Ausfall von Prozessen oder Ressourcen mit hohem oder sehr hohem Schaden. Die Behandlung verlangt besondere Notfallmaßnahmen. Eine Krise bedeutet im Wesentlichen ein auf das Unternehmen begrenzter verschärfter Notfall, der ggf. die Existenz des Unternehmens bedroht oder die Gesundheit oder sogar das Leben von Personen beeinträchtigt. Da Krisen nicht weitflächig die Umgebung oder das öffentliche Leben beeinträchtigen, können sie, zumindest meistens, innerhalb des Unternehmens selbst behoben werden. Im schlimmsten Fall handelt es sich um eine Katastrophe. Das bedeutet, dass es sich um ein räumlich und zeitlich nicht begrenztes Großschadensereignis handelt. Beispiele hierfür sind Überschwemmungen, Erdbeben oder Pandemien, die die Existenz des Unternehmens und oder die Gesundheit von Menschen gefährdet. Aus Sicht eines Unternehmens stellt sich eine Katastrophe als Krise dar und wird intern durch deren Notfallorganisation in Zusammenarbeit mit externen Spezialisten sowie Hilfsorganisationen bewältigt.
Wie sieht ein Notfallmanagement aus?
Der Prozess zur Initiierung eines Notfallmanagements gliedert sich gemäß BSI Standard 200-4 in sechs Phasen:

Unsere Empfehlungen für Dos and Don´ ts nach einem Cyber Angriff:
- Kontaktieren Sie die relevanten Ansprechpartner:innen in Ihrem Unternehmen und ggf. bei der Cyber- Versicherung oder bei einem professionellen Unternehmen für Incident Response.
- Sprechen Sie mit betroffenen Nutzer:innen über deren Beobachtungen und Aktivitäten
- Setzen Sie die kurzfristig erforderlichen Maßnahmen zur Schadenvermeidung oder -minderung umgehend um! Dazu zählen folgende Aktivitäten (die vorfallspezifisch individuell zu bewerten sind!):
Beispiele für Sofortmaßnahmen:
- Sammeln und sichern Sie Daten, die im Fall einer forensischen Auswertung strafrechtlich relevant sind: System Protokolle, Log Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger, andere digitale Informationen
- Dokumentieren Sie fortwährend alle mit dem IT-Notfall im Zusammenhang stehenden Sachverhalte!
- Nehmen Sie Kontakt auf zur zentralen Ansprechstelle für Cybercrime (ZAC) bei Ihrem Landeskriminalamt!
- Beachten Sie die Meldepflicht von Datenschutzvorfällen innerhalb von 72 Stunden aus der EU-DSGVO und im Falle von kritischen Infrastrukturen bei der Datenschutz-Behörde!
Zum Abschluss zeigen wir Ihnen die Vorgehensweise bei einem Cyberangriff mit Ransomware inkl. Datenschutzvorfall:
- Sondierung der Angriffslage und Überblick verschaffen
Im Schadensfall sollte ein IT-Forensiker eingeschalten werden, um die Gefahrenlage zu sondieren. Die Erstanalyse der Gefahrenlage ist wichtig, um Sofortmaßnahmen koordinieren zu können.
- Abwägung der Handlungsoptionen
Ist eine Wiederherstellung aus eigener Kraft möglich oder müssen Sie die Zahlung von Lösegeld in Erwägung ziehen?
- Umgang mit der IT-Infrastruktur
Es ist entscheidend, keine Spuren zu verwischen. Zudem sollten Sie in dieser Situation kein auffälliges Verhalten zeigen. Wägen Sie ab, inwiefern ein/e Hacker:in Wiederherstellungsversuche wahrnimmt und reagiert.
- Anzeige bei Strafverfolgungsbehörden
Vermeiden Sie den Ernstfall: Prävention in Sachen Cyber Security ist der beste Weg, um das eigene Unternehmen auf allen Ebenen zu schützen.
Für eine Orientierungsberatung zum Thema Digitale Sicherheit steht Ihnen das Thüringer Kompetenzzentrum Wirtschaft 4.0 mit seiner Netzwerkpartnerin, die COGITANDA Risk Prevention GmbH, gern zur Seite.
Autorin: Vanessa Walter & Katrin Marie Merten
Gastautor: Dr. Florian Wrobel