Robert Dietrich Querdenker Versicherungsbranche IT

Gehackt – was nun? Vorbereitung für den IT-Krisenfall

Von Robert Dietrich, Hauptbevollmächtigter, Hiscox Deutschland
Locky, WannaCry, NotPetya, Bad Rabbit – die Liste der Schadprogramme, die zuletzt prominente Schlagzeilen produziert und weltweit Opfer gefordert haben, lässt sich beliebig fortsetzen. Laut dem aktuellen BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2017 gibt es derzeit circa 620 Millionen Schadprogramme, und täglich kommen geschätzte 280.000 neue hinzu.

Dieser Beitrag ist Teil unserer Artikelsammlung
#haftpflicht18 – Ausgewählte Themen zu Haftpflicht und D&O
,

die Sie sich hier kostenlos herunterladen können.

Im Visier von Cyber-Kriminellen

Die Gefahr aus dem digitalen Raum ist groß. Allein in Deutschland ist die Zahl der als Cybercrime im engeren Sinne in der polizeilichen Kriminalstatistik erfassten Straftaten im Jahr 2016 gegenüber dem Vorjahr um 80,5 % auf 82.649 gestiegen (2015: 45.793). Die Fälle von Computerbetrug haben um 148,8 % zugenommen und machen fast drei Viertel aller Cybercrime-Straftaten (71 %) aus. Viele Unternehmen sind sich der Gefahren aus dem digitalen Raum dennoch nach wie vor nicht bewusst. Doch was tun, wenn sämtliche Daten verschlüsselt sind, Kunden nicht bedient werden können und der Betrieb still steht? Wer kommuniziert an die Mitarbeiter und wann sollten oder müssen Kunden informiert werden? Das sind drängende Fragen, mit denen sich jedes Unternehmen intensiv auseinander setzen sollte – und das, bevor die Systeme still stehen.

Was tun, wenn nichts mehr geht?

Gemeinsam mit dem Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE hat Hiscox im Oktober 2017 Journalisten dazu eingeladen, in Echtzeit auf eine Ransomware-Attacke zu reagieren, um die vielschichtigen Prozesse und komplexen Reaktionen in einem solchen Fall aufzuzeigen – und selbst zu erleben. Für Hilfestellung sorgten verschiedene Experten von Hiscox, der IT-Sicherheitsberatung HiSolutions, des Bundeskriminalamts (BKA) sowie des FKIE. Die Journalisten hatten die Aufgabe, die nächste Printausgabe des fiktiven Jumper-Verlags zu finalisieren. Doch kurz vor Druckunterlagenschluss sind alle Artikel verschlüsselt, sämtliche Dateien haben eine kryptische Endung. Eine Meldung zeigt, dass die Daten nur gegen Zahlung eines Lösegeldes in Form von Bitcoins entschlüsselt werden.

Viele Fragen – wer hat die Antworten?

Der Countdown läuft, vier Stunden später müssen die Artikel beim Drucker sein. Verschiedene Fragen stehen im Raum, die von der hauseigenen IT-Abteilung nicht zufriedenstellend beantwortet werden können: Haben wir ein Backup? Es dauert Tage, bis das eingespielt ist. Hat der Virus schon andere Systeme im Verlag befallen? Das kann nicht mit Sicherheit ausgeschlossen werden. Kann ein Notfallrechenzentrum installiert werden? Dafür muss erst nach dem passenden Anbieter gesucht werden. Sollte das Lösegeld in verschmerzbarer Höhe gezahlt werden, damit die Artikel wieder verfügbar sind? Niemand kennt sich mit Bitcoin-Zahlungen aus. Muss die Polizei informiert werden? Eine Notfall-Hotline für die „Cyber-Polizei“ ist im Internet nicht zu finden. Gibt es einen Krisenstab? Nein, davon weiß niemand. Der Verlagsleiter ist auch nicht greifbar. Wer hat die Befugnis zu entscheiden, wie weiter vorgegangen wird? Auch die Verlagswebsite ist betroffen, aktuelle Beiträge sind verschwunden, Fehlermeldungen überall. In Online-Leserforen macht sich Unmut breit, und auch die ersten Werbepartner schlagen auf. Schadenersatzforderungen werden angedroht. Was also tun?

In unserer Schadenpraxis als Versicherer erleben wir täglich Unternehmen, die sich in einer ähnlichen Situation befinden, wie in unserer Simulation nachempfunden. Sie brauchen im Krisenfall schnelle, kompetente Hilfe. Deshalb unterstützen wir im Rahmen unseres Cyberversicherungschutzes sofort mit erfahrenen IT-Spezialisten, Krisen-PR Beratern und Rechtsberatern. Unser IT-Krisendienstleister verstärkt mit seinem Team die hauseigene IT-Abteilung im Notfall vor Ort. IT-Forensiker analysieren die Systeme, isolieren den Verursacher und bereinigen das System, damit der Angreifer nicht erneut Zugriff erhält. Sind sensible Daten abgezogen worden, müssen Benachrichtigungspflichten eingehalten und Betroffene informiert werden. Steht die Reputation eines Unternehmens infolge eines Hacker-Angriffs auf dem Spiel, werden Experten für Krisen-PR beauftragt.

Vorbereitung für den Ernstfall

Nach wie vor sind 62 % der deutschen Unternehmen weder IT-seitig noch organisatorisch auf die Bedrohungen aus dem Netz vorbereitet, wie der Hiscox Cyber Readiness Report 2017 zeigt. Lediglich 18 % der Firmen haben sich schon tiefer mit dem Thema auseinandergesetzt und umfangreiche Vorkehrungen getroffen, um sich bestmöglich vor Cyber-Gefahren zu wappnen.

Die Arglosigkeit, mit der viele Unternehmen auch heute noch der Gefahr durch Cyber-Attacken begegnen, ist verblüffend. Im Krisenfall ist schnelles und richtiges Handeln gefragt, um größeren Schaden abzuwenden. Und jedes Unternehmen kann sich auf den Fall der Fälle vorbreiten: mit einer gut aufgestellten IT, für Cyber-Gefahren sensibilisierten Mitarbeitern und einem erprobten Krisenplan, in dem die grundlegenden Abläufe und Befugnisse geregelt sind. Und einer Cyberversicherung, die für den entstandenen Schaden aufkommt, vor allem aber kompetent im Krisenfall unterstützt.

Dieser Beitrag ist Teil unserer Artikelsammlung
#haftpflicht18 – Ausgewählte Themen zu Haftpflicht und D&O
,

die Sie sich hier kostenlos herunterladen können.