Dr. Klaus Schäfer über effektives Krisenmanagement und digitale Souveränität in Unternehmen: Cyberattacken nehmen zu
Dr. Klaus Schäfer ist Experte für Cybersicherheit und Vice President für Technologie bei der F24 AG, dem führenden SaaS-Anbieter für Resilienz und Krisenmanagement in Europa. Im Interview erklärt er, was gute Cybersicherheit ausmacht und worauf es im Fall eines Cyberangriffs auf ein Unternehmen wirklich ankommt.

Advertorial
Kleine Betriebe, Mittelständler und börsennotierte Unternehmen – sie alle haben Daten, die gestohlen werden können, um die Unternehmen zu erpressen oder die Daten weiterzuverkaufen. Das Risiko als Unternehmen Opfer eines Cyberangriffs zu werden steigt merklich. Das zeigen auch aktuelle Studien wie die im August veröffentlichte branchenübergreifende Umfrage des Digitalverbands Bitkom. Rund 81 Prozent der in Deutschland befragten Unternehmen waren in den letzten zwölf Monaten Opfer von digitalen und analogen Attacken. Den überwiegenden Großteil des auf 266,6 Milliarden bezifferten wirtschaftlichen Schadens verursachten Cyberattacken. Dabei ist die Höhe des Schadens im Fall eines Angriffs zu einem großen Teil auch von dem sich anschließenden Krisenmanagement abhängig.
Herr Dr. Schäfer, was sind die wesentlichen Aspekte, auf die Sicherheitsverantwortliche bei einem Cyberangriff unbedingt achten sollten?
Dr. Klaus Schäfer: Das Ziel eines Unternehmens im Fall eines Cyberangriffs muss immer die maximale Schadensbegrenzung und die Rückkehr zum Normalzustand sein – so schnell wie möglich. Die wichtigsten Voraussetzungen dafür sind Kommunikation, Reaktionsschnelligkeit und eine lückenlos nachvollziehbare Dokumentation der Geschehnisse. Zur Bewertung des aktuellen Stands der Sicherheit in einem Unternehmen unterscheide ich gern zwischen der prozessualen und der technischen Ebene.
Wie genau kann man sich das vorstellen?
Dr. Klaus Schäfer: Bei der Sicherheit im prozessualen oder auch organisatorischen Sinn spielt der Mensch – und damit jeder einzelne Mitarbeiter – eine ganz entscheidende Rolle. Das beginnt schon beim Verhindern eines Cyberangriffs. In den meisten Fällen sind die erfolgversprechendsten Taktiken oder Einfallstore von Hackern nicht die direkten Angriffe von außen, sondern die Wahl über einen bereits bestehenden Zugang, beispielsweise einen Mitarbeiter. Oft reicht schon eine kleine Unachtsamkeit wie ein USB-Stick fremder Herkunft oder das Öffnen einer E-Mail. Im ersten Schritt ist es also besonders wichtig, die Mitarbeiter zu sensibilisieren und regelmäßig zu trainieren. Gerade in kleinen und mittelständischen Unternehmen gerät das leider oft in den Hintergrund.
Angenommen, ein Cyberangriff ist in vollem Gange und wird bemerkt. Was dann?
Dr. Klaus Schäfer: Dann kommt es vor allem darauf an, einen bestehenden Krisen- und Notfallplan zu aktivieren, der eine schnelle und zielgerichtete Kommunikation vorsieht. Das bedeutet, dass für einen solchen Fall Verantwortlichkeiten, Rechte und Rollen festgelegt und standardisierte – besser noch automatisierte – Kommunikationswege etabliert sind. Anstatt bei der Alarmierung auf die Handlungsschnelligkeit des Personals zu vertrauen, empfiehlt es sich immer, Kommunikationskaskaden vorzubereiten, die dann mittels eines Knopfdrucks ausgelöst und automatisiert ablaufen können.
Das sorgt dann dafür, dass alle Mitarbeiter und alle Verantwortlichen über unterschiedliche Kanäle die auf sie zugeschnittenen Warnungen und Anweisungen erhalten und die Krisenstäbe über automatisiert erstellte Links in Telefonkonferenzen zusammengeschaltet werden. So können schnellstmöglich Informationen fließen, Entscheidungen schnell und vor allem fundiert getroffen werden und rechtzeitig die Belegschaft, Behörden, Shareholder und die Öffentlichkeit informiert und koordiniert werden.
Weil bei solchen Angriffen auf die IT häufig aber auch Telefonverbindungen – Stichwort: Voice-over-IP – betroffen sind, ist es in solchen Fällen besonders wichtig, unabhängig von der hauseigenen IT- und Kommunikationsinfrastruktur agieren zu können.
Womit wir zu den technischen Voraussetzungen kommen.
Dr. Klaus Schäfer: Genau, hier geht es vor allem um Redundanz, Aktualität und Datenschutzverordnungen. Wie eben schon beschrieben, kann es bei Cyberangriffen auch zum Ausfall des internen IT-Systems kommen, weshalb es wichtig ist, Redundanzen mittels Backups zu schaffen.
Viele technisch notwendige Standards lassen sich bereits aus rechtlichen Vorgaben wie der DSGVO, DORA oder NIS-2 ableiten. Das sind natürlich nur Beispiele. Die größte Herausforderung aus technischer Perspektive besteht darin, mit den ständigen Neuerungen in der IT, den immer neuen Angriffsmöglichkeiten, aber auch mit den immer neuen regulatorischen Anforderungen Schritt zu halten.
Das klingt nicht ganz einfach.
Dr. Klaus Schäfer: Das stimmt, einfach ist das nicht. Doch wer darauf verzichtet, einen entsprechenden Notfallplan zu erstellen und kein professionelles Notfallmanagement etabliert, gefährdet schnell die Sicherheit und im schlimmsten Fall die Existenzgrundlage des Unternehmens. Auf der anderen Seite können sich Unternehmen mit Resilienz-Anbietern wie uns verhältnismäßig leicht und zu vertretbaren Kosten über cloudbasierte Lösungen umfangreich absichern.
Das empfiehlt sich vor allem dann, wenn sie nicht die notwendige Expertise und entsprechenden Ressourcen für ein solches Krisenmanagement im eigenen Unternehmen haben. Es ist unser tägliches Brot, bei unseren Cloud-Lösungen in Sachen Sicherheit und Verfügbarkeit auf dem neuesten Stand zu sein – sowohl technisch als auch prozessual. Wir führen regelmäßig Sicherheitsupdates durch, aktualisieren die Firewall und führen Schulungen des Personals und Trainings im Rahmen von Zertifizierungs-Audits durch. Mit der Entscheidung für F24 greifen Unternehmen im Ernstfall zudem auf eine extern gehostete SaaS-Lösung zu.
Der klare Vorteil dabei: Das Notfallmanagement ist vom eigenen IT-System komplett unabhängig und daher bei einem eigenen Systemausfall auch nicht direkt betroffen. Um die hohe Sicherheit und Verfügbarkeit unserer Systeme sicherzustellen, stehen alle unsere Rechenzentren in Europa. Auch die Sicherheitsstandards der cloudbasierten Systeme sind deutlich höher als bei Insellösungen. F24 ist beispielsweise nach der ISO/IEC 27001 zertifiziert, die deutlich über die ISO 27001 auf Basis des BSI-IT-Grundschutzes hinausreicht. In Kombination mehrfach redundant angelegter Systeme können unsere Kunden selbst bei einem direkten Angriff die Software FACT24 ohne Probleme weiternutzen – mit einer vertraglich garantierten Verfügbarkeit von 99,50 Prozent.
Vielen Dank für das Gespräch!

Dr. Klaus Schäfer, Vice President Technology bei F24 AG