Cyberangriff: Ist Ihr Unternehmen auf den Ernstfall vorbereitet?

Viele Unternehmen versuchen, einen Cyberangriff möglichst intern zu halten. Reputationsrisiken, Unsicherheit oder rechtliche Fragen führen oft dazu, dass die Kommunikation nach aussen vermieden wird. Doch die Realität zeigt: Eine Cyberkrise lässt sich selten vollständig verbergen.

Wie sichtbar die Auswirkungen eines Cyberangriffs werden können, zeigen konkrete Beispiele. Bei einer Cyberattacke auf Jaguar Land Rover kam es zu massiven Produktionsausfällen und erheblichen Lieferproblemen. Der wirtschaftliche Schaden war so gross, dass der britische Staat das Unternehmen mit rund 2 Milliarden unterstützen musste, um dessen Stabilität zu sichern.

Auch Telekommunikationsanbieter stehen zunehmend im Fokus von Angreifern. Beim Hackerangriff auf den niederländischen Telekomanbieter Odido wurden Daten von rund 6,5 Millionen Kundinnen und Kunden entwendet. Darunter befanden sich auch etwa 5 Millionen Passkopien sowie Aufenthaltsgenehmigungen von Diplomaten oder Hinweise auf Stalkingopfer, die später im Darknet auftauchten.

Diese Beispiele zeigen deutlich: Angriffe auf die IT-Infrastruktur sind längst nicht mehr nur ein IT-Problem, sondern eine strategische Unternehmenskrise und damit ein Management-Thema.

Unterschiedlichen Formen der Cyberangriffen

Digitale Angriffe nutzen sowohl technische Schwachstellen als auch gezielt den Faktor Mensch.

Spear Phishing: Gezielte Phishing-Angriffe, bei denen Mitarbeitende mit personalisierten E-Mails oder Nachrichten dazu gebracht werden, sensible Informationen preiszugeben oder schädliche Links zu öffnen.

Social Engineering / CEO Fraud: Psychologische Manipulation von Mitarbeitenden, um Zugang zu Daten oder finanziellen Mitteln zu erhalten. Häufig geben sich Angreifer als Führungspersonen oder Geschäftspartner aus.

Ransomware und «Ransomware as a Service»: Bei diesen Angriffen werden Daten verschlüsselt und Unternehmen erpresst. Solche Modelle zeigen, dass Cyberkriminalität heute stark organisiert und industrialisiert ist und Unternehmen aller Grössen betreffen kann.

Distributed Denial of Service (DDoS): Überlastungsangriffe auf Systeme oder Websites. Server werden durch eine sehr grosse Anzahl an Anfragen blockiert und sind für Nutzerinnen und Nutzer nicht mehr erreichbar. Solche Angriffe treten teilweise auch im Zusammenhang mit geopolitischen Konflikten auf.

Man in the Middle: Angreifer befinden sich unbemerkt zwischen zwei Kommunikationspartnern und können Daten mitlesen oder manipulieren.

Brute Force Angriff: Automatisierte Angriffe mit sehr hoher Rechenleistung, bei denen systematisch eine grosse Anzahl möglicher Passwortkombinationen ausprobiert wird, um Zugang zu Systemen zu erhalten.

Was passiert konkret in einem Unternehmen, das Opfer eines Ransomware-Angriffs wird?

Ein Ransomware-Angriff beginnt selten mit einem grossen Knall. «Zu Beginn werden Computersysteme langsamer, Anwendungen reagieren verzögert oder Mitarbeitende haben Schwierigkeiten, sich einzuloggen», erläutert Bettina Zimmermann. Diese ersten Anzeichen werden oft nicht sofort als Cyberangriff erkannt. Kurz darauf kann eine sogenannte «Read Me Dateien» auftauchen. Darin informieren die Angreifer, dass Daten verschlüsselt wurden und fordern ein Lösegeld. Der Betrieb steht häufig still, Daten sind nicht mehr zugänglich und teilweise wurden auch Backups gelöscht.

«Während grosse Unternehmen über eigene Cyber-Security-Teams verfügen, sind kleine und mittlere Unternehmen (KMU) oft anders aufgestellt. Die IT-Betreuung ist häufig ausgelagert oder in kleinen Teams organisiert», so Zimmermann. Für KMU kann ein solcher Angriff existenzbedrohend sein. In solchen Situationen unterstützen spezialisierte Krisenexpertinnen und Krisenexperten wie Bettina Zimmermann. Sie hat bis heute  über 300 Krisenfälle begleitet.

Die Herausforderungen in der akuten Phase

Unternehmen stehen in dieser Situation vor mehreren zentralen Herausforderungen. Zunächst erscheint in den «Read Me Dateien» eine Lösegeldforderung, meist in Bitcoin und häufig in beträchtlicher Höhe. Gleichzeitig muss das Unternehmen klären, welche Systeme betroffen sind und ob Daten verschlüsselt oder bereits gestohlen wurden. Besonders kritisch ist dabei die Frage, ob sensible oder geschützte Daten betroffen sind. Parallel dazu muss die Krisenbewältigung organisiert werden, idealerweise durch einen vorbereiteten Krisenstab. Zudem müssen mögliche Meldepflichten gegenüber Behörden (bspw. EDÖB oder BACS) geprüft sowie die Kommunikation mit Mitarbeitenden, Kunden, Partnern und Medien koordiniert werden.

Ein kurzer Blick in die Zukunft zeigt, welche Entwicklungen im Bereich Cyberangriffe Organisationen erwarten könnten:

• Europa gilt als attraktives Ziel für Cyberangriffe, sowohl aus monetären Gründen als auch aufgrund der hohen Datenschutzstandards und der damit verbundenen wertvollen Datenbestände;
• KI-getriebene Angriffe werden immer systematischer. Phishing-E-Mails wirken zunehmend professionell, und Technologien zur Stimmmanipulation kommen immer häufiger zum Einsatz;
• Geopolitische Ereignisse können weltweit Hacktivisten-Aktivitäten auslösen, die sich gezielt gegen Unternehmen, Institutionen oder kritische Infrastrukturen richten.

Zentralen Take-Aways des Talks

• Unternehmen sollten eine Kultur des Hinschauens fördern, Risiken frühzeitig identifizieren und mögliche Szenarien durchdenken. Cybersecurity umfasst dabei nicht nur technische Massnahmen, sondern auch organisatorische Prozesse und den Faktor Mensch.
• Ebenso entscheidend ist eine vorbereitete Krisenorganisation mit klar definierten Rollen, einem geschulten Krisenstab und einer funktionierenden Infrastruktur für den Ernstfall. Denn im Falle eines Cyberangriffs zählt vor allem eines: vorbereitet zu sein.

Ein herzlicher Dank an Bettina Zimmermann für die praxisnahen Einblicke und die wertvollen Impulse zum Umgang mit Cyberkrisen.

Für alle, die sich intensiver mit Business Resilience und Krisenmanagement beschäftigen möchten: Im Juli startet der CAS Business Resilience.