Es geschah an einem helllichten Tag … Das ist nicht nur der Titel eines Films, es ist auch ein Fakt bei Cyberattacken. Ob Mitarbeitende oder Vorgesetzte – Data Breaches und andere Sicherheitsvorfälle strapazieren die Nerven aller Beteiligten und geschehen meistens während der Arbeitszeit und immer zu Unzeiten. Weil ein gross angelegter Cyberangriff das Unternehmen in eine Ausnahmesituation bringt, ist es ratsam, möglichst schnell professionelle Unterstützung an Bord zu holen und den Schaden gründlich zu analysieren.
Management muss Ruhe bewahren
Führungskräfte sowie das gesamte Management müssen bei einem solchen Vorfall Ruhe ausstrahlen, um die schon angespannte Situation nicht noch anzuheizen. «Im besten Fall bestehen Notfallpläne, auf die zurückgegriffen werden kann und für die Mitglieder einer Taskforce bestimmt sind», sagt Daniel Gsponer, Head of Financial Lines und Cyberrisk-Spezialist bei Howden Schweiz AG. «Eine Best Practice ist, transparent mit dem Thema umzugehen und allen Involvierten und Betroffenen regelmässige Updates zu geben.»
Dabei gelte es, stets die Kontrolle zu behalten und proaktiv zu kommunizieren, um Unsicherheiten und Gerüchten entgegenzuwirken. Damit es möglichst nicht oder nur beschränkt zu einem negativen Cybervorfall kommt, setzen viele Unternehmen auf Resilienz. In den meisten Fällen ist damit primär die technische Resilienz gemeint, die mittels Bug-Bounty-Programmen, Verletzlichkeits-Scans oder Awareness-Kampagnen gestärkt wird.
Dieser Artikel ist Teil der Market Opinion «Cyberrisiken: Angriff, Schäden, Konsequenzen», die in Zusammenarbeit mit Howden Schweiz realisiert wurde.
Menschliches Verhalten muss mehr Beachtung finden
Dabei wäre die menschliche Dimension mindestens genauso wichtig. «Paradoxerweise ist in der Praxis eine latente ‹Unterinvestition› in menschliche Verhaltensweisen zu beobachten», weiss Stefan Hunziker, Professor für Enterprise Risk Management und Internal Control an der Hochschule Luzern. Erklärungen dafür, so Hunziker, gebe es aus der Psychologie und Verhaltensökonomik:
- Übermässiger Optimismus: Je komplexer und technischer etwas wirkt (Cyberrisiken), desto mehr neigen Menschen aus Selbstschutz dazu, die Dinge zu optimistisch und zu kontrollierbar zu sehen. Für die Praxis bedeutet dies, dass Cyberrisiken in die Geschäftssprache «übersetzt» werden müssen, damit die Leitungsgremien die Auswirkungen von negativen Cybervorfällen auf die Geschäftsziele verstehen.
- Blindes Vertrauen in Technologie: Das (übermässige) Vertrauen in die Technologie und Sicherheitslage einer Organisation aufgrund von technischen Verteidigungsmassnahmen kann kontraproduktiv sein. Hier gilt es klarzustellen, dass in den meisten Fällen der Mensch ursächlich für das Eintreten von Cyberrisiken verantwortlich ist und nicht die Technologie per se.
- Fluch des Wissens: Cybersicherheitsexperten und -expertinnen mit umfassender Erfahrung sind für Organisationen sehr wertvoll. Manchmal fällt es Expertinnen und Experten aber schwer, sich in die Lage von IT-Sicherheits-Laien zu versetzen. Dieses unbewusste Unverständnis kann mitunter ein Hinderungsgrund sein, dass eine effektive, benutzerfreundliche IT-Sicherheit entwickelt wird.
- Überschätzung der eigenen Cybersicherheit: Leitungsgremien könnten das bisherige Ausbleiben von negativen Cybervorfällen auf ausreichende Investitionen in die Cybersicherheit zurückführen. Allerdings könnte es aber auch einfach Glück sein, bis anhin von einem folgenreichen Vorfall verschont geblieben zu sein. Heutzutage macht es Sinn, sich das «Assume-Breach-Paradigma» zu verinnerlichen und davon auszugehen, dass man selbst einmal betroffen sein wird.
- Prävention vor Resilienz: Cyberrisiken möglichst zu verhindern und deshalb viel in die Prävention zu investieren, ist attraktiver, als sich mit Schadensbegrenzung bei Risikoeintritt befassen zu müssen. Im klassischen Risikomanagement haben «präventive Massnahmen» einen hohen Stellenwert. Es könnte jedoch der falsche Eindruck entstehen, dass präventive Massnahmen negative Cybervorfälle verunmöglichen und Organisationen deshalb weniger auf Resilienz fokussieren müssen.
- Geschäft vor Sicherheit: Digitale Geschäftsmodelle und neue Technologien eröffnen Wachstumschancen, denen sich Unternehmen nicht entziehen können. Dies führt zu Entscheidungssituationen, in denen Erfolgsaussichten (zumindest kurzfristig) die Cybersicherheit dominieren können.
- Verinnerlichung der (Cyber-)Hygiene: In der Medizin weiss man schon lange, dass angewöhnte menschliche Verhaltensweisen viele Ansteckungen und Übertragungen von Krankheiten verhindern (man denke zum Beispiel an diszipliniertes Händewaschen, Abstand einhalten etc.). Die Cyberhygiene ist heute unbestritten ein ebenfalls wichtiges Thema. Allerdings zeigen aktuelle Beispiele immer wieder, dass hier noch grosses Optimierungspotenzial besteht.
Die absolute Sicherheit in Sachen Cyberangriffe gibt es nicht. Stefan Hunzikers Fazit ist pragmatisch: «Eine angemessene Cyberresilienz in Abhängigkeit der Risikobereitschaft von Unternehmen ist aber durchaus realisierbar.» Die Kenntnis der Gründe für die latente Unterinvestition in den Menschen, so Hunziker, schaffe eine wichtige Basis auf dem Weg zu wirkungsvoller Cyberresilienz.