So muss sich ein Unternehmen bei einem Hack verhalten

Cyber-Angriffe sind für Unternehmen heutzutage nicht mehr zu verhindern, sie können sich nur schützen. Wir haben uns mit Jan-Peter Kleinhans von der Stiftung Neue Verantwortung unterhalten, wie sich Unternehmen verhalten sollen, wenn die Angreifer mit dem Hack erfolgreich waren.

Jan-Peter Kleinhans ist Sprecher beim Datenschutzkongress 2017 im Mai in Berlin zum Thema IT-Sicherheit im Internet (der Dinge) – Angriffe, Trends und Hausaufgaben. Erhalten Sie beim DSK17 zahlreiche Best Practice Einblicke und bereiten Sie Ihr Unternehmen auf die Datenschutzgrundverordnung vor!

Herr Kleinhans, es gab in den letzten Monaten viele „spektakuläre“ Cyber-Angriffe, diese werden wohl auch in Zukunft nicht immer zu verhindern sein. Wie geht man als betroffene Firma damit um?

Jan-Peter Kleinhans: Als betroffenes Unternehmen sollte man vor allem verantwortungsvoll, responsiv und offen mit einem Hack umgehen. Verheimlichen ist die falsche Taktik, wie der Fall Yahoo! eindrücklich belegt. Ausmaß und Auswirkungen des Hacks sollten transparent gemacht werden ─ gerade um das Vertrauen der Nutzer und Kunden nicht noch weiter zu schädigen.

Muss das Unternehmen Behörden bei einem Hack informieren?

Jan-Peter Kleinhans: In Deutschland sind Betreiber kritischer Infrastrukturen unter bestimmten Umständen durch das verabschiedete IT-Sicherheitsgesetz an gewisse Meldepflichten gebunden. Die Frage ob und wer bei welcher Art von Hack informiert werden muss, sollte jedenfalls nicht erst geklärt werden, wenn das Unternehmen schon kompromittiert wurde. Unternehmen sollten sich hier proaktiv über ihre Verpflichtungen informieren.

Manche Angriffe bleiben lange unbemerkt, es scheitert bereits an der „detection“ oder schon einen Schritt früher an der „prevention“ – was würden Sie aus Ihrer Perspektive Unternehmen raten, wie sie sich am besten vor Angriffen schützen?

Jan-Peter Kleinhans: Ein erster wichtiger Schritt ist die Selbsteinschätzung welche Unternehmensbereiche, -infrastrukturen und -daten von Interesse für Angreifer sein könnten. Kein Unternehmen kann sich rundum 100%ig schützen. Daher sollte sich zunächst um die kritischsten Bereiche, die „Kronjuwelen“, gekümmert werden. Wie diese Kernbereiche am besten (technisch) geschützt werden, sieht für jedes Unternehmen anders aus und ist ein Prozess, der kontinuierlich verbessert werden muss.

Cyber Angriffe sind für ihre Initiatoren zum Teil eine sehr gute Einnahmequelle, wie betrachten Sie in diesem Zusammenhang die Rolle von Darknet/ Deep Web/Tor-Browser? Tummelplatz für Kriminelle oder Zufluchtsort für politisch Verfolgte und Whistleblower?

Jan-Peter Kleinhans: Anonymisierungsnetzwerke sind eines von vielen Tools, die durch verschiedenste Akteure eingesetzt werden. Man sollte jedoch nicht den Fehler begehen und glauben, dass Unternehmen sicherer würden, wenn man diese Tools verbieten und strenger kontrollieren würde. Es liegt im Unternehmensinteresse IT-Sicherheit als zentrale, interne Aufgabe zu sehen, da das organisiertes Verbrechen immer einen Weg finden wird, aus der voranschreitenden Vernetzung unserer Wirtschaft Profit zu schlagen.

Das IoT – Internet of Things bzw. Internet der Dinge ist für viele Unternehmen Fluch und Segen zugleich. In Bezug auf IT-Sicherheit: Birgt das IoT Ihrer Ansicht nach mehr Risiken als Nutzen?

Jan-Peter Kleinhans: Das Internet der Dinge verbindet die informationstechnische mit der physischen Welt. Dadurch hat ein Hack potenziell direkte, physische Auswirkungen und beschränkt sich nicht mehr nur auf den Informationsraum. Dadurch steht mehr auf dem Spiel ─ IT-Sicherheit hat nun Auswirkungen auf die physische Sicherheit. Hier muss sicherlich neu über Verantwortlichkeiten und Pflichten diskutiert werden: Wie viel Verantwortlichkeit liegt noch beim Anwender, beim Hersteller, beim Betreiber und dem Staat? Daher denken derzeit viele Regierungen darüber nach, ob und wie das Internet der Dinge reguliert werden sollte.

Jan Peter Kleinhans Cyber-Angriff HackJan-Peter Kleinhans verantwortet den Themenbereich IT-Sicherheit im Internet der Dinge bei der Stiftung Neue Verantwortung, einem überparteilichen, unabhängigen und gemeinnützigen Think Tank in Berlin. Hier arbeitet er an Ansätzen, dem Marktversagen hinsichtlich IT-Sicherheit im Internet der Dinge entgegen zu wirken, um die voranschreitende Vernetzung unserer Wirtschaft und unseres Privatlebens für alle sicher zu gestalten. Jan-Peter Kleinhans ist Fellow der Transatlantic Digital Debates 2016 und im Projektbeirat des Projektes „Trusted Computing – Aufbau von Zertifizierungsinfrastrukturen zur Sicherung von Marktzutritt und Wettbewerb“ des Bundesministeriums für Wirtschaft und Energie (BMWi). Vor seiner Zeit bei der SNV arbeitete er 2013 bei netzpolitik.org. Jan-Peter studierte Kommunikationswissenschaften in Uppsala, Schweden und Wirtschaftsinformatik in Darmstadt.