Bewusstsein für die Gefahr durch Cyberangriffe schaffen
KonBriefing Research möchte die Unternehmen und Organisationen positiv hervorheben, die bei einem Cyberangriff für eine hohe Transparenz sorgen, indem sie eine gute öffentliche Kommunikation führen. Denn damit wächst bei anderen das Bewusstsein für die Gefahr und das Wissen darüber - und führt hoffentlich zu mehr Prävention. Dazu beurteilen wir die Kommunikation in drei Kategorien bzw. Phasen:
- Direkt: Die Kommunikation unmittelbar nach einem Cyberangriff
- Aktuell: Aktualisierungen in der Folgezeit
- Nachhaltig: Abschließende Kommunikation
Direkt: Kommunikation unmittelbar nach einem Cyberangriff
Hier geht es um die ersten 2 bis 3 Wochen. In dieser Phase lassen sich Umfang und Auswirkungen des Angriffs noch nicht oder nur grob abschätzen. Trotzdem können die betroffenen Organisationen den Vorfall an sich benennen.
Kriterien bei der Beurteilung
- Wurde der Cyberangriff öffentlich kommuniziert?
- Wie bald nach dem Vorfall wurde er kommuniziert?
- Wie sichtbar wurde kommuniziert?
- Welche Informationen wurden gegeben?
Positive Aspekte
- Klare Benennung eines Cyberangriff
(zumindest nach wenigen Tagen sollte es nicht nur "technische Störung" heißen) - Kurze Zeit zwischen Entdeckung des Angriffs und erster Meldung
(ideal: wenige Stunden) - Zeitpunkt des Vorfalls bzw. der Entdeckung ist genannt
- Die Hinweise sind gut sichtbar auf der Website platziert
(ideal: Startseite oben) - Der Angriff wird auf den Social-Media-Kanälen der Organisation mitgeteilt
- Es gibt Hinweise zur grundsätzlichen Art des Angriffs
- Es sind erste Maßnahmen genannt
- Es sind Ansprechpartner genannt
- In den folgenden Tagen gibt es Aktualisierungen
- Top: Es gibt offizielle Eindrücke aus dem Inneren der Organisation zur aktuellen Lage
Aktuell: Aktualisierungen in der Folgezeit
In dieser Zeit beruhigt sich das durch den Angriff entstandene Chaos. Die betroffene Organisation bekommt konkretere Eindrücke vom Ausmaß der Schäden und von den Daten, die gehackt wurden.
Kriterien bei der Beurteilung
- Werden aktualisierte Informationen zum Cyberangriff veröffentlicht?
- Gibt es Einschätzungen, auf welche Daten zugriffen wurden und was die Auswirkungen sind?
- Gibt es Angaben zum Stand des Wiederaufbaus der IT-Systeme?
- Gibt es Schätzungen zu den Kosten, um den Angriff und seine Folgen zu bewältigen?
Positive Aspekte
- Es gibt regelmäßige Aktualisierungen
- Die über die Zeit wachsenden Erkenntnisse zu den Auswirkungen werden benannt
- Es gibt Informationen, wessen Daten betroffen sind
- Es gibt Hinweise, was Betroffene tun können bzw. sollen
Nachhaltig: Abschließende Kommunikation
Die forensische Untersuchung eines Cyberangriffs dauert in der Regel viele Monate. Zu diesem Zeitpunkt liegen oft auch konkretere Zahlen zu Schäden und den Folgekosten vor. Berichtet die betroffene Organisation darüber? Gibt sie anderen Organisationen die Möglichkeit, daraus zu lernen?
Kriterien bei der Beurteilung
- Wurden finale Untersuchungsergebnisse präsentiert?
- Wurde ein forensischer Bericht veröffentlicht? (passiert extrem selten, aber es gibt einzelne vorbildliche Fälle)
- Wurden die Maßnahmen dargestellt, die die ergriffen wurden, um solche Vorfälle zukünftig zu verhindern?
- Gibt es Angaben zum entstandenen Schaden und zu den Kosten für die Wiederherstellung?
- Werden die Informationen so präsentiert, dass andere Organisationen daraus lernen können?
Positive Aspekte
- Es gibt eine abschließende Einschätzung zum Vorfall
- Die Einschätzung hat eine angemessene Tiefe, so dass andere Organisationen davon lernen können
- Die Angriffsvektoren sind beschrieben
- Maßnahmen zur Eindämmung und Bewältigung des Angriffs sind beschrieben
- Der Zeitverlauf des Geschehens ist erkennbar
- Die technischen Auswirkungen sind beschrieben: z.B. Anzahl der betroffenen Rechner und Nutzer
- Die datenschutzrechtlichen Auswirkungen sind beschrieben: z.B. Anzahl der freigesetzten Datensätze, Art der Daten
- Geschäftliche Auswirkungen sind beschrieben: z.B. entstandene Kosten, Umsatzausfälle
- Es sind die Maßnahmen beschrieben, um solche Vorfälle zukünftig zu verhindern
- Top: Es sind eigene Schwächen benannt, die den Angriff begünstigt hatten
- Top: Es sind frühe Hinweise auf einen Angriff genannt, die nicht beachtet wurden
- Top: Es gibt einen forensischen Bericht bzw. Auszüge daraus, zumindest auf Anfrage
- Top: Es gab einen Vortrag für Interessierte
- Top: Der Vortrag ist öffentlich als Video oder Text verfügbar
Wie wird bewertet?
Organisationen, denen die Kommunikation in einer Kategorie besonders gut gelingt, werden in den folgenden Stufen gewürdigt, die im jeweiligen Eintrag angezeigt werden:
- ⭐⭐⭐ sehr gut
- ⭐⭐⭐⭐ ausgezeichent
- ⭐⭐⭐⭐⭐ herausragend
Berücksichtigt werden dabei die in der Kategorie genannten Aspekte. Diese können jedoch nicht als absoluter Maßstab angelegt werden, sondern müssen immer im Kontext der Organisation und der Situation betrachtet werden, denn ...
- Passiert ein Cyberangriff an einem Wochenende - was bei Ransomware-Angriffen häufig der Fall ist - so kann es auch bei guter Kommunikations-Absicht ein oder zwei Tage länger brauchen, bis die erste Information veröffentlicht wird.
- Kleine Unternehmen und Organisationen, die nicht für jede Aufgabe eine eigene Ressource haben, können selbst bei guten Absichten u.U. nicht so schnell und umfassend kommunizieren.
- Im B2C-Bereich und bei öffentlichen Institutionen besteht ein wesentlich höherer Bedarf an öffentlichen Informationen als im B2B-Bereich.
- Börsennotierte Unternehmen müssen je nach Auswirkung darüber informieren, haben also u.U. keine Wahl.
- Es ist nachvollziehbar und legitim, dass am Markt tätige Unternehmen nicht alle Details publizieren, um dem Wettbewerb keine unangemessenen Vorteile zu geben, besonders im B2B-Bereich.
- Öffentliche Institutionen kommunizieren einen Cyberangriff in der Regel sofort, weil es zu ihren Aufgaben gehört und weil sie keine negativen Folgen durch Imageverlust befürchten müssen, da es für die Bürger ohnehin keine Alternativen gibt.
- ...
Damit ist die Bewertung nicht vollständig objektivierbar und hat auch einen subjektiven Anteil.
Die Bewertung betrachtet nur den Teil der Kommunikation. Fiktives Beispiel: Bei einem Unternehmen kommt es zu einem Cyberangriff, weil es grob fahrlässig war, nicht den Stand der Technik beachtete und es wurden Millionen von Datensätzen mit persönlichen Informationen gestohlen. Wenn das Unternehmen nun trotzdem eine super Kommunikation betreibt, dann würde diese hier entsprechend positiv gewürdigt werden.