Schadensbegrenzung: Was ein CEO aus einem Cyberangriff lernte

27. Januar 2017

3 Min. Lesezeit

Eine klare Wiederherstellungsstrategie ist nicht nur für eine Schadensbegrenzung hilfreich, sie sorgt auch dafür, dass Unternehmen widerstandsfähiger aus einem Cyberangriff hervorgehen.

Schadensbegrenzung: Was ein CEO aus einem Cyberangriff lernte (Desktop)

Schon eine mittelschwere Datenpanne kann Ihr Unternehmen den Ruf, den Gewinn, ja sogar die Überlebenschancen kosten. Cyberkriminalität ist klar auf dem Vormarsch. Die Angriffe werden immer raffinierter – es geht daher nicht mehr darum, ob, sondern nur, wann ein Unternehmen betroffen sein wird. Wenn es soweit ist, hängt es von der Wiederherstellungsstrategie ab, ob Kundenvertrauen zurückgewonnen werden kann und ob das Unternehmen letztendlich widerstandsfähiger aus dem Angriff hervorgeht.

TalkTalk: Erfolgreich wiederhergestellt

Niemand kann die Bedeutsamkeit einer Wiederherstellung besser beurteilen als Dido Harding, CEO des britischen Kabelnetzbetreibers TalkTalk. Sie wurde in aller Öffentlichkeit von Cyberkriminellen erpresst.

„Es ist der Alptraum eines jeden Unternehmers. Ich hielt eine Telefonkonferenz mit meinem Führungsteam, um herauszufinden, warum unser System derart langsam geworden war. Unter dem DDoS-Angriff brachen unsere Webseiten zusammen. Der CTO sagte zu mir: ‚Ich glaube, jemand ist eingedrungen.‘ Dann lag ein an mich gerichtetes Erpresserschreiben in meinem Posteingang.“

Was war passiert? Die persönlichen Daten von 157 000 TalkTalk-Kunden waren gestohlen worden – 4 % des gesamten Kundenbestands, darunter Angaben zur Person (für Spam-E-Mails) sowie Kontodaten und Kreditkarteninformationen. Infolge dieser Datenschutzverletzung verlor das Unternehmen 95 000 Kunden und es entstand ein Schaden von 60 Millionen Pfund.

Harding setzte dabei ganz auf Transparenz, indem sie den Vorfall sofort bekanntgab. Sie warnte alle ihre Kunden, dass möglicherweise ihre Bankkonten ausgeraubt worden sein könnten. Auch bot sie allen Kunden ein kostenloses Upgrade an. Ein Angebot, dass immerhin fast 500 000 Kunden annahmen. Diese Transparenz und der kundenzentrierte Ansatz machten sich bezahlt. Heute, davon ist Harding überzeugt, wird TalkTalk mehr Vertrauen geschenkt als jemals zuvor.

„[Unsere Kunden] vertrauen uns mehr noch als im letzten Jahr, weil wir uns getraut haben und ganz ehrlich waren. Wenn Sie versuchen, das zu tun, was richtig ist, läuft es am Ende tatsächlich richtig – und so haben sich die Dinge für mein Unternehmen zum Guten gewendet.“

Wie erholt man sich und geht gestärkt aus der Situation hervor?

Das erfolgreiche Beispiel von TalkTalk hat gezeigt, dass es klare Prinzipien gibt, die im Angriffsfall zu beachten sind, ganz unabhängig von der jeweiligen Größe des Unternehmens.

Seien Sie Ihren Kunden gegenüber ehrlich. Wenn Sie den Eindruck haben, dass Ihre Daten gehackt worden sein könnten, müssen Sie Ihre Kunden informieren. Berichten Sie von Ihrem Verdacht, erwähnen Sie, welche Daten betroffen sein könnten und welche Risiken bestehen.

Das Gebot der Stunde in einem solchen Fall ist schnelle Information. Die Kunden sind dazu angehalten, aufmerksam jede ungewöhnliche Kontobewegung zu beobachten und ihre E-Mails und ihr Telefon im Auge zu behalten. Immerhin sind es ihre Daten und sie haben ein Recht zu erfahren, was mit ihnen passiert. Ein Recht, das in der ab nächstem Jahr in Kraft tretenden europäischen Datenschutz-Grundverordnung (EU DSGVO/GDPR) bald bestätigt wird.

Informieren Sie die Medien. Wenn Sie die Medien über den Vorfall aufklären, entschärfen Sie den Erpressungsversuch und können gewährleisten, dass alle veröffentlichten Informationen korrekt und nicht darauf ausgerichtet sind, Angst und Schrecken zu verbreiten.

Der Angriffsplan. Für den Angriffsfall vorzuplanen, kann einen Vorfall zwar nicht verhindern. Gute Vorbereitung sorgt jedoch für Geschäftskontinuität und eine schnellere Wiederherstellung. Jede Stand- bzw. Ausfallzeit steigert Ihre Kosten erheblich.

Lässt sich ein Cyberangriff denn überhaupt verhindern?

Im Internet operierende Unternehmen können nie zu 100 % vor Cyberangriffen geschützt werden. Hacker haben ihren Platz gefunden. Ihre Methoden, in Datenbanken einzubrechen, sind raffinierter denn je. Deshalb sollten sich laut Harding Unternehmen vielmehr fragen, ob „sie ausreichend geschützt“ sind. Es geht hier schlicht und ergreifend um die Rechenschaftspflicht des Vorstands. Unternehmen müssen sich eingestehen, dass es keinen 100 %igen Datenschutz gibt, die Risiken jedoch gemildert werden können.

Mindern Sie das Risiko eines Cyberangriffs

  • Prüfen Sie jeden Endpunkt

    Jeder Endpunkt Ihres Netzwerks muss überprüft und nachverfolgt werden. Ihre IT-Sicherheitsbeauftragten oder externen Spezialisten, falls dieser Bereich in Ihrem Unternehmen ausgelagert ist, sind in der Lage, dies mithilfe von CIS Critical Security Controls durchzuführen und einen ausreichenden Schutz zu gewähren.

  • Sichern Sie Ihr schwächstes Glied

    Ganz leicht werden im Netzwerk Geräte übersehen, die man normalerweise nicht in Verbindung mit der Kommunikation sensibler Daten bringen würde, wie etwa Drucker. Ungeschützt können Sie das schwächste Glied in der Unternehmenskette darstellen.

  • Holen Sie sich Hilfe von Cybersicherheitsexperten

    Um den neuen Bestimmungen zu entsprechen, Ihre persönlichen Daten zu schützen und empfindliche Strafen zu vermeiden (bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes), zahlt es sich aus, Ihre Cybersicherheit Experten anzuvertrauen, die auf Ihre IT-Infrastruktur und Prozesse Zugriff haben.

Aus der Krise bei TalkTalk zog Harding drei wichtige Lektionen.

  1. Niemand nimmt Cybersicherheit ernst genug.
  2. Machen Sie das, was für Ihre Kunden richtig ist, denn damit liegen Sie richtig.
  3. Man kann sich nie genug schützen.

Unabhängig von der Größe des Unternehmens, des Wirtschaftszweigs oder des Erfolgs – Cybersicherheitsmaßnahmen sind unumgänglich, sobald man mit Kundendaten umgeht. Verriegeln Sie dem Datenklau das Einfallstor; Ihr Unternehmen ist dann bestmöglich geschützt.

Lesen Sie hier weitere Experten-Tipps zum Thema IT-Sicherheit für Unternehmen.

Cyber Security eBook