Krisenstabsübungen gehören seit langem zur unternehmerischen Agenda. Oftmals sind solche Übungen auf Katastrophen, Umfälle oder Ausfall von IT Systemen ausgelegt. Doch wie aktuelle Fälle aus den Medien entnommen werden kann, finden immer öfters Cyber Angriffe auf Unternehmen statt, ein Szenario, auf welches die wenigsten Unternehmen wirklich vorbereitet sind. Aussagen wie “Wir sind viel zu klein um Ziel eines Angriffs zu werden!”. “Bis jetzt lief auch alles gut!” oder “Wir haben dafür eine Firewall gekauft, wir sind geschützt.” sind leider keine Seltenheit. Obwohl seit ein paar Jahren vermehrt und durchaus regelmässig Zeitungen und Nachrichten von Angriffen auf Unternehmen berichten, scheint die Thematik der IT Security und dazugehörende IT Krisenstabsübungen an vielen Orten immer noch nicht ernst genommen zu werden. Wie kommt das?!
Das grosse Ganze erkennen
Kleine Unternehmen sehen sich als oftmals als zu uninteressant an um als Ziele zu dienen. Eine falsche Annahme, denn betrachtet man die Welt durch die Augen eines Angreifers, wird diese gleich ein wenig verständlicher: Angenommen es ist das Ziel ein grösseres Unternehmen anzugreifen. Die Chancen, dass die IT Sicherheit mittlerweile thematisiert wird und entsprechende, auch wenn auch rudimentäre, Abwehrmassnahmen vorhanden sind, ist relativ hoch. Um ein solches Unternehmen direkt anzugreifen, braucht es fachspezifisches Know-How, ein gutes Mass an Vorsicht und viel Geduld. Auf den ersten Blick scheinbar nicht das optimale Angriffsziel. Der erste Blick täuscht bekanntlich oft, auch hier ist dies der Fall. Die Ziele bleiben nämlich die Gleichen, doch die Herangehensweise wird heutzutage auf die Situation angepasst.
Was also tun, wenn viele grössere Unternehmen nun an ihrer IT Sicherheit arbeiten?
Genau sie suchen sich kleinere Zulieferer aus, welche mit dem eigentlichen Unternehmen zusammenarbeiten. Denn wie vorher erwähnt, sehen sich kleinere Unternehmen nicht als Ziel solcher Angriffe. Diese Art von Angriff wird im Fach auch «Supply Chain Attack» genannt. Durch die Infiltration der Zulieferer ist es anschliessend meist ein Leichtes das eigentliche Unternehmen zu infizieren. Daher ist es wichtig, solche IT Krisenstabsübungen und generell IT Sicherheit auch in allen Unternehmen zu thematisieren, denn du gefährden nicht nur die Sicherheit deines eigenes Unternehmen, sondern auch das deiner Partner solltest du es nicht tun.
Nützliche Tipps und Tricks
Vorbereitung ist alles! Im Ernstfalle korrekt zu reagieren und zu versuchen Prozesse einzuhalten, ohne diese jemals geübt zu haben, ist fast unmöglich. Ihr müsst nicht ins kleinste Detail der komplette Ablauf auswendig können, dass würde vermutlich über das Ziel hinausschiessen, doch ein Gefühl für die internen Abläufe und Ansprechpersonen zu bekommen kann der entscheidende Unterschied sein. Um eine Krise erfolgreich zu meistern, musst du jedoch aus meiner Sicht folgende fünf Punkte beachten bevor du eine Krisenstabsübung durchführst:
«Ich hab ein Glas voll Dreck. Ich hab ein Glas voll Dreck und rat mal was da drin ist.»
– Fluch der Karibik 2 (2006)
Eine klassische Frage, welche ich auch oft einem Kunden stelle ist: «Welche Systeme, Daten, Informationen sind für Sie überlebenswichtig?” Eine im Grunde genommen einfache Frage, welche dennoch meistens nicht eindeutig beantwortet werden kann. Sensible Systeme müssen vorgängig identifiziert werden, ansonsten können diese nicht entsprechend geschützt werden. Klassischerweise kannst du zur Identifikation ein Risk Assessment durchführen, dass sollte dir die nötigen Antworten liefern können. Ein Angreifer übrigens, stellt sich exakt dieselben Fragen in der Vorbereitungsphase. Eine Krisenstabsübungen soll nicht nur, aber auch, auf solche Systeme und Informationen abzielen.
«Sie wissen, was Sie da tun, ja? Sie haben so etwas ja sicher schon mal gemacht?»
– Projekt: Peacemaker (1997)
Lege dir einen Plan zurecht, einen guten Plan. Drehbücher stellen einen zentralen Bestandteil des Krisenmanagements dar. Dazu gehört nicht nur ein Ablaufplan, sondern beispielsweise auch die Klassifizierung, Eskalationsstufen, Ansprechpartner und die Kommutation (intern, sowie extern). Meiner Erfahrung nach sollten die Drehbücher einfach gehalten werden. Bis ins kleinste Detail durchstrukturiert bergen sie ansonsten die Gefahr, im hektischen Durcheinander einer Krise, mehr Chaos zu verursachen als Nutzen zu bringen. Ach ja, druckt die Drehbücher aus und haltet sie griffbereit. Jederzeit. Oftmals musst du in einer IT Krise auf deine geliebten Systeme verzichten, da sie gar nicht mehr verfügbar sind.
«Wer hat Ihnen erlaubt, mich Vollzulabern? Das dürfen nur 100-jährige in Begleitung ihrer Eltern.»
– Hot Shots! – Die Mutter aller Filme (1991)
Lernt euch kennen. Oftmals scheitern Krisenstäbe an der internen Kommunikation, da ihr euch nicht kennt oder euch misstraut. Die Folgen sind absehbar – statt die Krise gemeinsam zu bewältigen gebt ihr den “Schwarze Peter” einfach an den nächsten weiter. Die Schuld immer brav von sich weisen. Nur so funktioniert es leider nicht. Nur durch eine offene und vor allem ehrliche Kommunikation kann effizient nach einer Lösung gesucht werden. Schämt euch nicht Fehler und Unfeinheiten in eurer Infrastruktur zu geben, denn dies führt zu falschen Annahmen und falsche Annahmen führen auf den Holzweg – nicht hilfreich in einer solchen Situation, oder?
«Ich spreche nur meine Sprache und selbst damit hab ich schon Probleme!»
– Das fünfte Element (1997)
Schreibt alles auf, verwertet jede Information und notiert diese, sei es auf einem Flipchart, Papier, Whiteboard oder die Wand selbst — I don’t care! Da der Betrieb in einer Krise sehr hektisch wird, ist es wichtig, dass alle Personen auf einen Blick die wichtigsten Informationen erfassen können. Macht Aufgabenlisten, notiert und erweitert diese fortlaufend und hackt Punkte ab, welche erledigt sind. Nach der Krise hat man somit bereits einen Teil der Dokumentation erledigt und während einer Krise hilft es auch mal den Kopf frei zu bekommen und die Gedanken und das Geschehen zu strukturieren.
«Aufregende Zeiten, was!?»
– Aimée & Jaguar (1998)
Krisenstabsübungen neigen dazu hektisch und unübersichtlich zu sein. Wenn du das auch schon erlebt hast, weisst du von was ich rede. Alle Personen in einem Raum, gesprochen wird mit allen gleichzeitig, je lauter desto besser. Eben nicht. Versucht Ruhe zu bewahren. Ich weiss, dass klingt einfach, ist es aber ganz und gar nicht. Gerade in einer Übung, wo nicht wirklich Systeme im Rücken in einem lichterlohen Spektakel zu Grunde gehen, solltet ihr euch die Zeit nehmen, durchzuatmen und strukturiert vorzugehen. Behaltet einen kühlen Kopf und geht überlegt vor. Getraut euch Personengruppen zu trennen und nicht alle in einen Raum zu pferchen, das sorgt zusätzlich für Stress, von welchem ihr in einer Krise sicherlich bereits genug habt.
Ich hoffe ich konnte euch die Grundlegenden Problemfelder in einer Krise aufzeigen. Krisenstabsübungen machen Spass, solange sie richtig durchgeführt werden. Es ist ein bisschen wie Dungeons & Dragons für CISO und Entscheidungsträger, helfen jedoch im Ernstfalle enorm.