Wer Opfer eines Cyber-Angriffs wird, hat viel zu tun und steht noch dazu allzu oft vor einem Scherbenhaufen. Besser kommt davon, wer sich vorab darauf vorbereitet hat. Doch immer wieder passieren die gleichen Fehler.
Opfern eines Cyber-Angriffs droht im Nachgang ein zweites Fiasko, wenn keine Notfallvorsorge betrieben wurde. Sie laufen Gefahr einen lang andauernden und teuren Ausfall zu erleiden, manchmal sogar Konkurs, weil es das Unternehmen nicht wieder schafft, in einen Regelbetrieb zu kommen. Wir nennen typische Fehler.
In letzter Zeit wurden mehrere deutsche Medienhäuser Opfer von Cyber-Angriffen. Dazu zählten zunächst die „Heilbronner Stimme“, die Madsack Mediengruppe und die Funke Mediengruppe, sowie ein IT-Dienstleister der Nachrichtenagentur dpa. Jetzt reihte sich auch die Rheinische Post (RP) in die Liste der Angegriffenen ein. Eine Cyber-Attacke auf den hauseigenen IT-Dienstleister der Rheinischen Post Mediengruppe CircIT war die Ursache. Das zog gleich mehrere andere Publikationen wie den Bonner General-Anzeiger, die Aachener Nachrichten, die Saarbrücker Zeitung und den „Trierischen Volksfreund“ mit ins Off.
Angriff zieht weite Kreise: auch Handelsblatt betroffen
Später stellte sich heraus, dass der erfolgreiche Angriff sogar noch weitere Kreise zog: „Auch das Handelsblatt ist Kunde des Unternehmens und kann aufgrund des Ausfalls des Dienstleisters temporär nur eine im Umfang reduzierte Druckausgabe herausgeben“, hieß es dazu in Presseberichten.
Die RP Mediengruppe zog externe Spezialisten für IT-Security hinzu: „Gemeinsam mit externen Sicherheitsexperten arbeite die Mediengruppe nun daran, einen gesicherten Betrieb wieder zu ermöglichen“, erklärte das Unternehmen laut tagesschau.de gegenüber dem Evangelischen Pressedienst (epd). Datenverlust soll es nicht gegeben haben: „Daten von Nutzern und Kunden wurden weder entwendet noch in irgendeiner Form kompromittiert“, wie die Mediengruppe erklärte. Anschließend würde in Zusammenarbeit mit Fachpersonal an der Wiederherstellung des Normalbetriebs gearbeitet.
Dennoch waren über etliche Tage hinweg Online-Ausgaben offline oder Nachrichtenportale nur eingeschränkt zu erreichen. Häufig erschienen gedruckte Zeitungen nur als Notausgabe, so auch die RP.
Unterschiede in der Vorsorge werden sichtbar
Bald nach den Angriffen wurden Unterschiede in den Auswirkungen deutlich, die auf die Wirksamkeit der Vorsorgemaßnahmen verweisen. Während manche nur einige Tage mit Einschränkungen und Ausfällen zu kämpfen hatten beziehungsweise im Notbetrieb arbeiten mussten, waren andere erst nach mehreren Wochen wieder im Normalbetrieb. Ein Sprecher der RP betonte in einer Stellungnahme deshalb explizit „das gut funktionierende Notfall-Management“.
Die Relevanz einer Notfallprophylaxe wird von Security-Spezialisten daher zunehmend hervorgehoben, denn nach einem erfolgreichen Angriff ist es meistens zu spät. Ohne Vorkehrungen und fremde Unterstützung sind die Folgen häufig nicht oder nur mit sehr großem Aufwand zu bewältigen.
Typische Fehler bei der Notfallvorsorge:
- Fehlende oder unzureichende Sicherungskopien.
- In vielen Unternehmen fehlen Notfallpläne für verschiedene Szenarien.
- Notfallpläne wurden nicht ausreichend getestet, Fehler stellen sich erst im Notfall heraus.
- Unterschätzung von Risiken und Bedrohungen
Die wenigstens Unternehmen verfügen über hinreichend geschultes Personal, um Extremsituationen vollständig aus eigener Kraft bewältigen zu können. Doch der Rückgriff auf externe Dienstleister gestaltet sich nach einem Schaden meist schwierig, wenn nicht vorab ein Vertrag mit einem Dienstleister für IT-Security abgeschlossen wurde. Kurzfristig Hilfe von Spezialisten zu bekommen ist fast unmöglich, da diese in der Regel gut bebucht sind. Außerdem benötigen die externen Experten einen Überblick über die unternehmensspezifischen IT-Strukturen. Müssen diese nach einem Notfall erst erarbeitet werden, geht wertvolle Zeit verloren. Größere Unternehmen wissen das und haben zumeist entsprechende Vorkehrungen getroffen. Anders sieht es jedoch im Mittelstand aus. Viele denken, es könne sie nicht betreffen, andere glauben, mit den Folgen eines Angriffs selbst klarkommen zu können. Dabei unterschätzen sie jedoch häufig die notwendigen Maßnahmen, angefangen von eventuellen Verhandlungen mit Lösegelderpressern, bis hin zur Bereinigung und dem Wiederanlauf betroffener Systeme.
Die Bundesregierung hat der Notfallprävention in der kürzlich vorgestellten nationalen IT-Sicherheitsstrategie daher einen großen Stellenwert beigemessen.