Die Hacker waren erfolgreich – was jetzt?

Deutsche Unternehmen unterschätzen die Gefahr, zum Opfer von Cyberattacken zu werden. Sie reagieren zu langsam – und oft falsch. Wir sagen, was nach einem Hacker-Angriff zu tun ist.

Um kurz das Gedächtnis aufzufrischen: 46 Prozent der deutschen Unternehmen wurden 2020 zu Opfern von Cyberattacken, und das ist nur der Anteil, der den Angriff überhaupt bemerkt hat. Diese Zahl wird gern aus dem Gedächtnis gestrichen, denn sie besagt: Morgen können wir dran sein – und dann?

Dann sollte man es den Hackern so schwer wie möglich gemacht haben. Genau da hakt es, wie eine PwC-Umfrage belegt: 93 Prozent der deutschen Unternehmen halten einen gezielten Angriff für unwahrscheinlich – entsprechend gering ist ihr Schutzbedürfnis.

Unterschätztes Risiko: der Reputationsverlust

Wer sein Augenmerk allerdings nur auf die IT-Sicherheit legt, unterschätzt eine fast noch größere Gefahr: die Schäden an der Reputation. Nur 36 Prozent der Unternehmen ist laut Hiscox Cyber Readiness Report bewusst, wie sehr beispielsweise der Verlust von Geschäftspartner- oder Kundendaten dem Image der Marke schadet. Es sei ein langer und mühsamer Prozess, heißt es im Report, nach einem Hacker-Angriff das Vertrauen der Kunden und der Öffentlichkeit zurückzugewinnen.

Also einfach die Klappe halten? Mag die Versuchung auch groß sein: Schweigen und Vertuschen bringt’s nicht. Dafür sorgt schon die Datenschutz-Grundverordnung (DSGVO). Sie schreibt vor, bei allen Vorfällen, die den Datenschutz betreffen, die Aufsichtsbehörde zu informieren. Wer das unterlässt, macht sich strafbar. Und die Strafen gegen DSGVO-Verstöße sind empfindlich hoch.

Fünf Schritte für mehr IT-Sicherheit nach einem Cyberangriff

Unternehmen sollten daher nach einem erfolgreichen Hacker-Angriff auf drei Ebenen reagieren: die Behörden informieren, ihre IT-Sicherheit aufrüsten und den Vorfall so kommunizieren, dass die Reputation möglichst wenig leidet. Die Chance, mit Halbwahrheiten durchzukommen, ist eher gering. Deshalb lohnt es sich, sofort PR-Experten für Krisenkommunikation einzubinden und rasch und angemessen zu reagieren. Ebenso wichtig ist es, auf Datenschutz spezialisierte Anwälte einschalten zu können. Es ist durchaus möglich, von Geschäftspartnern verklagt zu werden, denen durch den Hackerangriff ein spürbarer Schaden entstanden ist.

Um Vertrauen wieder aufzubauen, muss die IT-Sicherheit gestärkt werden (dafür können auch Dienstleister wie TA Triumph-Adler beauftragt werden). Sonst werden Hacker die gefundenen Lücken wieder und wieder nutzen. Nach einem Cyberangriff bieten sich folgende fünf Schritte an:

  1. Keine vorschnellen Resets
    Ein Neustart der Systeme kann die Ursachenforschung erschweren. Die Systeme sollten nur nach Rücksprache mit Experten abgeschaltet werden – dann aber so schnell wie möglich, um den Schaden einzudämmen.
  2. Den Angriff analysieren und bewerten
    Zu klären ist: Woher kam der Angreifer? Wie ist er in die Systeme gelangt? Welche Systeme sind von dem Angriff betroffen? Wurden Daten entwendet und wenn ja, welche und in welchem Umfang?
  3. Den Angriff und das eigene Vorgehen dokumentieren
    Betroffene Unternehmen, Behörden und andere Organisationen sollten festhalten, was sich wann ereignet hat und wer nach dem Angriff was an welchen Systemen geändert hat. Diese Informationen sind wichtig für die Aufarbeitung.
  4. Beweise erfassen
    Systemprotokolle, Logfiles, Datenträger, Notizen und eventuell Fotos von Bildschirminhalten sind als Beweise zu sichern: Sie ermöglichen eine IT-forensische Untersuchung. Über das Netzwerk-Monitoring lassen sich oft Spuren des Angreifers erkennen und nachvollziehen.
  5. Sicherheits-Level erhöhen
    Sämtliche IT-Assets (Software, Hardware, Anwendungen, Infrastruktur und Applikationen) werden überprüft, um den Schaden und mögliche Schutzmaßnahmen bewerten zu können. Daraus ergeben sich Ansätze, um den Level an IT-Sicherheit zu erhöhen. Ebenso sinnvoll: ein Penetrationstest, bei dem ein Hacker-Angriff simuliert wird. So lassen sich Lücken in der IT-Sicherheit aufspüren – und schließen.

Denn eines ist sicher: Die Hacker kommen wieder. Was nicht heißen muss, dass sie auch beim nächsten Mal erfolgreich sein werden.

Das könnte Sie auch interessieren: