Wie das BSI in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland 2022“ hervorhebt, besteht für Unternehmen eine hohe Bedrohung durch Cybercrime, allen voran durch Ransomware. Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. In breit angelegten Kampagnen werden kleine und mittelständische Unternehmen Opfer von professionellen Banden. Manche Gruppen verschlüsseln die Unternehmensdaten gar nicht mehr, sondern kopieren sie nur noch, um das Unternehmen allein mit der angedrohten Veröffentlichung zu einer Lösegeldzahlung zu zwingen. Um zusätzlichen Druck auszuüben, gehen einige Angreifer auch aktiv auf Kundinnen und Kunden des Opfers oder die Öffentlichkeit zu. Welche Unterstützung benötigen Unternehmen in solch einer Krise? Kommunikationsberater Ralf Kunkel und Rechtsanwältin Diana Nadeborn beantworten die wichtigsten Fragen.
Wie kommen Informationen über einen Cyberangriff gegen ein Unternehmen an die Öffentlichkeit?
Kunkel: Unsere Welt ist hochgradig vernetzt. Es wäre ein Wunder, wenn ein großangelegter Cyberangriff nicht bekannt würde. Unternehmen tun daher gut daran, ihre Kunden und Stakeholder transparent über Hackerangriffe zu informieren. Natürlich nicht in jedem Fall – die meisten Angriffe können ja abgewehrt werden. Aber sind etwa Login-Daten von Endkunden bei einem Hackerangriff betroffen, führt um die aktive Kommunikation mit den Kunden kein Weg herum. Der Imageschaden für das Unternehmen wäre fatal, wenn es versuchen würde, einen Hackerangriff mit Abfluss von Daten zu verschleiern. Vor krimineller Energie ist niemand gefeit. Auch nicht mit den besten Schutzmechanismen. Das kann und muss man dann auch erklären.
Welche rechtlichen Implikationen hat ein Cyberangriff?
Nadeborn: Zunächst führt ein Cyberangriff, insbesondere ein Ransomware-Angriff, dazu, dass die Mitarbeiter eines Unternehmens nicht auf die IT-Infrastruktur zugreifen können, also nicht arbeiten können. Darüber hinaus löst ein Cyberangriff rechtliche Folgeprobleme aus. Ein Cyberangriff ist in der Regel der Landesdatenschutzbehörde zu melden, die im Anschluss prüfen kann, ob das Unternehmen genug dafür getan hat, die Kunden- oder Lieferantendaten zu schützen. Hier drohen dem Unternehmen Sanktionen nach der DSGVO. Auch das Abrufen von Versicherungsleistungen klappt nicht immer so einfach, wie erhofft.
Gibt es Beispiele für gelungene und weniger gelungene Kommunikation von Unternehmen nach Cyberangriffen? Was kann man daraus lernen?
Kunkel: Ja. Der norwegische Aluminiumhersteller Norsk Hydro konnte etwa vor wenigen Jahren aufgrund einer Cyberattacke zeitweise nur im Notbetrieb produzieren. Norsk Hydro gelang es, durch gutes Krisenmanagement die Schäden minimal zu halten. Da sämtliche Kommunikationskanäle des Unternehmens von der Attacke betroffen waren, informierte das Unternehmen via Social Media über den aktuellen Sachstand. Das werteten viele Medien als Beispiel für eine gelungene Krisenkommunikation. Negativbeispiele gibt es natürlich ebenfalls. Ein Fabrikleiter eines europäischen Verfahrenstechnikers stoppte aufgrund eines Hackerangriffs die Produktion. Der finanzielle Schaden war immens. Und hätte vermieden werden können. Für solche Fälle lag nämlich ein Notfallplan in der Schublade, der war aber nicht so gut im Unternehmen implementiert, dass alle Beteiligten davon wussten. Also: Notfall- und Krisenpläne aufstellen ist unabdingbar. Genauso unabdingbar ist die saubere Implementierung im Unternehmen und die regelmäßige Übung, um in „Friedenszeiten“ den Ernstfall zu erproben.
Wieso sollte ein Unternehmen schon vor einem Cyberangriff Zeit und Geld investieren, wenn er sich dann doch kaum verhindern lässt?
Nadeborn: Neben technischen Sicherungsmaßnahmen, die vor Datenverlust schützen, ist ein Notfallkonzept sinnvoll. Dem liegt zwar die Annahme zugrunde, dass ein Cyberangriff passieren wird, dabei soll aber der Schaden des Unternehmens so gering wie möglich gehalten werden. Die Betriebsabläufe sollen schnell fortgeführt und Kunden, die an der Integrität und Sicherheit des Unternehmens und ihrer Kundendaten zweifeln, gehalten werden. Ein Notfallkonzept, welches vor allem wichtige Ansprechpartner und wichtige Daten / Datenträger benennt, kann man vorbereiten und vorher erproben. Nach meiner Erfahrung können Manager dann mit dem Ausnahmezustand, den ein Cyberangriff erst einmal bedeutet, gut umgehen.
Kann es sinnvoll sein, neben einer zwingend notwendigen Kommunikation mit Mitarbeitern, Kunden und Lieferanten, den Cyberangriff aktiv an die Presse zu kommunizieren?
Kunkel: Das ist eine Frage, die je nach Schwere und Tragweite immer im Einzelfall beantwortet werden muss. Ja, Cyberangriffe rücken zunehmend in den Fokus der Öffentlichkeit. Die eingetrübte weltweite Sicherheitslage mit dem russischen Überfall auf die Ukraine tut hier ein Übriges. In unserer täglichen Arbeit beobachten wir, dass die Öffentlichkeit sehr sensibel darauf reagiert, wie Unternehmen mit Krisen umgehen. Ich plädiere daher immer für ein aktives Stakeholdermanagement und intensives Monitoring. Das heißt nicht automatisch, dass man wegen jeder Kleinigkeit die Pferde scheu machen und große Pressemitteilungen verschicken sollte. Aber die Wachsamkeit muss man mitbringen und bei jeder Einzelfallentscheidung immer berücksichtigen, welche Weiterungen möglich sind – budgetär, juristisch und im Hinblick auf die Reputation. Danach bemisst sich dann der konkrete Maßnahmenmix.
These: Mein Unternehmen fliegt unter dem Radar der öffentlichen Aufmerksamkeit – Hackerbanden kommen gar nicht auf uns.
Nadeborn: Es gibt verschiedene Angriffsmethoden. Prominente und umsatzstarke Unternehmen werden geplant und zielgerichtet angegriffen. Kleine und mittelständische Unternehmen werden hingegen Opfer von breit angelegten Kampagnen, wie Phishing-Emails an Privatpersonen. Aus einer ganz anderen Richtung, nämlich aus dem Inneren des Unternehmens, von den eigenen Mitarbeitern, droht zudem ein weiterer Datenverlust. Wer die Daten nicht ausreichend schützt und zu vielen Personen auf zu viele Bereiche Zugriffsmöglichkeiten einräumt, kann ebenfalls mit einem Cyberangriff konfrontiert werden. Diese Fälle spielen in meiner Beratungspraxis eine große Rolle, da die Täter hier keine technischen Sicherungen überwinden müssen, sondern ihre bestehenden Befugnisse ausnutzen und damit zum Zuge kommen. Der wirtschaftliche Schaden und der Imageschaden sind beim Innenangriff ebenfalls groß.
Diana Nadeborn leitet den Berliner Standort der Strafrechtskanzlei Tsambikakis & Partner. Cybercrime und die Weiterentwicklung des IT- und Datenschutzstrafrechts ist eines ihrer Spezialthemen. Tsambikakis & Partner Rechtsanwälte mbB
Ralf Kunkel ist Geschäftsführer der Bernstein Communications GmbH. Die Vorbereitung von Unternehmen auf Krisen aller Art und die krisenbegleitende Beratung ist einer seiner Arbeitsschwerpunkte