Business Continuity Management zur Bewältigung der Folgen einer Cyber-Attacke
“Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen”, so der Lagebericht der IT-Sicherheit in Deutschland 2018 des Bundesamt für Sicherheit in der Informationstechnik (BSI).
Es vergeht kaum eine Woche ohne Pressemeldungen über erfolgreiche Cyber-Attacken, die unternehmensweit kritische Wertschöpfungsprozesse vollständig zum Erliegen bringen. Die Verschlüssellung aller Unternehmensdaten mittels Ransomware ist in der Lage, die gesamte IT eines Unternehmens über Tage oder gar Wochen lahmzulegen. Die Cyber-Angreifer sind bei der Auswahl ihrer Opfer nicht wählerisch. Es trifft Organisationen aller Größenordnungen und Branchen. Behörden, Krankenhäuser, Industrieunternehmen und Dienstleiter sind gleichermaßen den Angriffen ausgesetzt. Ein falscher Klick in einer täuschend echt gemachten E-Mail, und das verheerende Unglück nimmt rasant seinen Lauf.
Aktuell sind gleich elf Krankenhäuser und vier Altenheime der DRK Trägerschaft Süd-West durch eine Ransomware-Attacke aus der digitalen Welt verbannt worden. Bleistift, Papier und Kugelschreiber statt Computer, E-Mail und Drucker sind nach der Verschlüsselung der Server und Datenbanken die einzig verbliebenen Hilfsmittel. Medizinische Geräte sind durch die Trennung der Netzwelten glücklicherweise nicht betroffen worden. Es war der bislang größte Angriff dieser Art. Dabei wird es leider voraussichtlich nicht bleiben.
Die Dunkelziffer der betroffenen Unternehmen, die den Erpressern Lösegeld bezahlen, um schnell wieder den Geschäftsbetrieb aufnehmen zu können, dürfte hoch sein. Vor allem bei kleinen und mittelständischen Unternehmen, die oftmals nicht über das erforderliche Spezialwissen und die Mittel zur Bekämpfung der Attacke verfügen. Ein geringer Bekanntheitsgrad, die Unternehmensgröße oder auch die Branche hat keinen Einfluss auf die Gefährdung durch Cyber-Attacken. Auf dem Radar der Angreifer sind grundsätzlich alle Unternehmen, die durch die Attacke erpressbar werden können.
Ist der Angreifer ins Unternehmen eingedrungen, läuft die Zeit unerbittlich gegen das Unternehmen, denn Kundenaufträge können nicht bearbeitet, Rechnungen nicht geschrieben und Zahlungen nicht eingezogen werden. Zudem ist oftmals gleichzeitig die Kommunikation mit Kunden und Geschäftspartnern per E-Mail und Webseiten unterbrochen.
Eine wirkungsvolle Notfallvorsorge in Form von erprobten Notfallplänen in Form eines Business Continuity Managements hilft in einer solchen existenzkritischen Situation die Schäden zu verringern und die Auswirkungen auf die Produkt- und Serviceerstellung zu minimieren.
Ein effektiv implementiertes Business Continuity Management stellt Informationen und Hilfsmittel bereit, um einen weitreichenden Ausfall der Geschäftsprozesse durch eine Cyber-Attacke zu bewältigen.
Der erste wichtige Schritt hierzu besteht in der Analyse der Geschäftsprozesse und Wertschöpfungsketten:
- welche Geschäftsprozesse sind für das Unternehmen existentiell und zeitkritisch?
- wie sind die Geschäftsprozesse in Wertschöpfungsketten miteinander verzahnt?
- welche unterstützenden Prozesse wie IT-Supportprozesse, aber auch Post- und Logistikdienste sowie Safety- und Securityprozesse sind neben den Produkt- und Serviceerstellungsprozessen zwingend wiederherzustellen?
Diese Kenntnis über die Geschäftsprozesse und deren vielfältige Abhängigkeiten erlaubt im Notfall die Fokussierung auf die zeitkritischen Prozesse und verhindert Brüche in der Wertschöpfungskette. Gerade unterstützende Prozesse, die “Supportprozesse” werden in der Betrachtung oftmals unterschätzt oder gar nicht betrachtet. Zu diesen unterstützenden Prozessen zählen zum Beispiel Post- und Logistikprozesse. Bei einem Ausfall von E-Mail, Telefonie und Scan-Prozessen muss zur Informations- und Dokumentenübermittlung wieder auf analoge Post- und Botendienste zurückgegriffen werden. Von einer Ransomware betroffene Krankenhäuser mussten zuvor digital erstellte Dokumentationen wie zum Beispiel Befunde wieder analog dokumentieren und per Botendienste im Krankenhaus zu den Bestimmungsorten transportieren. Daher ist eine vorbereitete Logistik für diese händische Verfahren erforderlich. Hierzu gehören ebenfalls ausreichend verfügbares Personal, aber auch vorbereitete Templates und Notbetriebsverfahren und -einrichtungen. In der Industrie müssen Anlagen von Hand gesteuert und die Produktionsplanung und -dokumentation papiergestützt durchgeführt werden.
Die Konzeption und Planung dieser Notbetriebsverfahren erfolgt im zweiten Schritt – der Konzeptionsphase. In den Notfallkonzepten wird für jeden kritischen Geschäftsprozess analysiert, welche Ressourcen wie Personal, Gebäude, Arbeitsplätze, IT und Dienstleister zwingend für die Prozessdurchführung erforderlich sind. Bei einer Cyber-Attacke können im schlimmsten Fall alle erforderlichen IT-Services zur gleichen Zeit ausfallen. Daher werden für jeden kritischen IT-Service Umgehungslösungen, die sogenannten “work-arounds” identifiziert. Gerade für das Szenario einer Cyber-Attacke kommt der Identifikation von Notfallkonzepten eine hohe Bedeutung zu. Da mit einem weitreichenden Ausfall der IT-Infrastruktur des Unternehmens in diesem Szenario auszugehen ist, fallen alternative IT-Lösungen der eigenen Unternehmens-IT als work-around aus. Oftmals finden sich dennoch bei einer intensiveren Analyse geeignete Notfallverfahren auf manueller Basis oder mittels IT-Systemen außerhalb des eigenen Unternehmens. Ein Blick über den Tellerrand auf mögliche Optionen bei Dienstleistern, Lieferanten, Partnerunternehmen oder sogar Wettbewerbern kann völlig neue Herangehensweisen für den Notfall erschließen.
Die Notfallkonzepte sind Grundlage für die Erstellung von Notfallplänen und -checklisten, die den Beteiligten konkrete Handlungsanweisungen in der Situation geben.
Im dritten und für den Erfolg entscheidenden Schritt werden diese Notfallkonzepte und -pläne getestet. Um auf eine weitreichende Cyber-Attacke vorbereitet zu sein, müssen Beteiligte in Tests und Übungen entsprechend vorbereitet werden. Dies bedeutet, dass auch weitreichende Szenarien und nicht nur einzelne Pläne oder Planteile in Übungen überprüft und geprobt werden. Gerade das Zusammenwirken unternehmens- und abteilungsübergreifender Prozesse im Notfall gilt es zu betrachten. Dabei sollte der Komplexitätsgrad der Tests und Übungen sukzessive gesteigert werden, um sich an das worst-case-Szenario heranzuarbeiten.
Da eine Cyber-Attacke nie “nach Plan” verlaufen wird, eine hohe Zahl an Kunden betroffen ist, Behörden und Medien involviert sind, ist neben dem Business Continuity Management ein funktionsfähiges Cyber-Krisenmanagement zur Steuerung der Lage essentiell.
Die Wahrscheinlichkeit, von einer Cyber-Attacke getroffen zu werden ist hoch und steigt weiter an. Technische und organisatorische Schutzmaßnahmen sind essentiell. Doch ein absoluter Schutz vor einer Cyber-Attacke existiert nicht. Schon ein falscher Klick in einer E-Mail kann zu weitreichenden Schadenswirkungen führen. Zur Vorsorge gehört daher auch die Notfallvorsorge mit Notfallplänen sowie Tests und Übungen. Damit die Cyber-Attacke nicht zur Existenzkrise eskaliert.
Matthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschafts-wissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.