Der größte Schaden entsteht manchmal nicht durch die Angreifer sondern durch die Angegriffenen.
Große Imageschaden durch falsches Handeln
Mit dem Anstieg an Cyberattacken und den immer weiter steigenden Schäden bei diesen Attacken kann es dir so vorkommen als würdest eine Kampf kämpfen den Du nicht gewinnen kannst. Eine Welt der finanziell getriebenen Bosheit steht dir und deinem Unternehmen gegenüber und ein erfolgreicher Angriff auf dein Unternehmen ist quasi garantiert. Es kann ein Schaden entstehen welcher dein Unternehmen in den Ruin treibt. Kann, muss aber nicht. Nicht jeder Angriff kostet viel Zeit, Geld oder weitere Ressourcen, wenn man richtig handelt.
Das Problem ist, Du selber kannst es noch schlimmer machen. Du kannst deinen eigenen Schaden vergrößern in dem Du dich falsch verhältst. Manchmal ist der wahre Schaden der, der entsteht wenn andere davon mitbekommen. Der Lack auf deinem Unternehmensimage bekommt dann nicht nur einen kleinen Steinschlag ab, Du nimmst deinen Autoschlüssel und ziehst ihn einmal über die gesamte linke Seite deines Unternehmens. Schön ist das nicht, gut ist das auch keinen Fall.
Was kann passieren?
Wie kommt es denn zu so einem großen Kratzer in deinem Unternehmensimage? Denn bewusst willst Du deinem Unternehmen ja keinen Schaden zufügen. Vielleicht hast du sogar eine Idee was das Richtige wäre zu tun, oder zumindest ein gutes Problembewusstsein. Mangelnde Notfallpläne und Stress führen jedoch gerne zu Fehlern. Generell machen wir uns auch deshalb Gedanken was passiert wenn es brennt, bevor es brennt und nicht wenn umringt sind von einem Flammenmeer.
Was kann also nun passieren? Wir gehen mal davon aus, Du hast einen Cyberangriff bemerkt und Schritte eingeleitet um den Schaden zu minimieren. Das heißt das gesamte System sofort vom Strom genommen und deine IT-Infrastruktur wird von Profis auseinandergenommen und wieder zusammengebaut damit dein Unternehmen schnell wieder sich dran machen kann die verlorene Zeit wieder aufzuholen.
Einer der Schäden die entstanden sind ist, dass die Kundendaten geleakt wurden. Das heißt der Klarname, die Adresse und sogar die Kreditkarteninformationen sind in den Händen der Hacker. Ungünstig, aber ja an sich nicht so schlimm für dich, oder? Der Schaden ist minimal und dein Unternehmen kann wieder arbeiten. Alles gerade nochmal gut gegangen? Falsch.
Deine Kunden sind nicht über das Problem informiert worden und mit den Daten der Kreditkarten sind die Angreifer ordentlich ne Runde shoppen gegangen. Wahrscheinlich etwas mehr als ein paar neue Sneaker. Es kommt ans Licht, dass der Angriff auf dein Unternehmen der Ursprung des Problems war und es wird Schadensersatz gefordert. Kein Problem, Du bist ja Cyberrisk versichert, oder?
Wahrscheinlich bist du es nicht, denn wärest du wirklich Cyberrisk versichert wäre das ganze so überhaupt nicht passiert. Dafür ist die Versicherung im Falle von Angriffen da: Krisenmanagement und PR-Unterstützung. Wenn das Haus brennt willst du wahrscheinlich auch eher die Feuerwehr rufen als selber mit dem Gartenschlauch löschen. Dafür zahlst Du Steuern und im Falle von Cyberangriffen versicherst Du dich.
„Wissen“ schützt vor Dummheit nicht
Dass auch „die Großen“ von gutem Krisenmanagement eher Abstand halten hat die CDU im Laufe diesen Jahres bereits gezeigt. Die Softwareentwicklerin Lilith Wittmann hatte bei der App CDU connect gravierende Sicherheitslücken entdeckt und die CDU darüber informiert. Das heißt, es war gar kein richtiger Angriff, sondern eher ein „Hey, passt mal auf was ihr da macht“. Der logische Schritt an diesem Punkt wäre es, sich brav zu bedanken und die Sicherheitslücken sofort zu schließen. Das schien die CDU aber nicht zu wollen und ging nach dem Prinzip „Shooting the messanger“ vor. Sie stellten Strafanzeige gegen Lilith Wittmann. Diese wurde in einem Verfahren jedoch sehr eindeutig vom Tisch geräumt, da das System der CDU so schlecht gesichert war, dass man den „Angriff“ von Frau Wittmann gar nicht als Hack beschreiben kann. Die CDU bekam dafür viel Aufmerksamkeit und vor allem Häme zu spüren.
Das Rodeo geht nun in die zweite Runde. Nun gibt es ein laufendes Verfahren gegen die Betreiber der App, da die Daten der Bürger ungeschützt im Netzt standen.
Das heißt am Ende ist aus einer Information über Sicherheitslücken bei der CDU eine Untersuchung gegen CDU durch die Verhaltensweisen der CDU geworden. Das ist kein gutes Krisenmanagement. Vielleicht ist für die Partei das Internet wirklich noch Neuland.
Das sollte dir nicht passieren, was kannst Du dagegen tun?
Da das Internet nun uns nun aber schon länger begleitet, ist klar: Das hat nichts mehr mit Neuland zu tun. Unternehmen die langfristig auf dem Markt bleiben wollen wissen um die Gefahren von Cyberattacken und sind dementsprechend nicht nur technisch abgesichert sondern auch versichert. Für Cyberangriffe sind Notfallpläne ausgearbeitet und im Falle eines erfolgreichen Angriffs sind Profis zur Stelle die die benötigte Erfahrung, das Wissen und die Ruhe haben die in einem solchen Falle benötigt sind. Der Notfall wird aus einem chaotischen Horrorszenario zu einem Routinefall.
Versicherung als Absicherung
Es gibt in der heutigen Zeit kein Grund mehr nicht versichert zu sein gegen Schäden und deren Folgen durch Cyberattacken. Deine Aufgabe als Unternehmer ist die Zukunft deines Unternehmens zu sichern und somit auch die Sicherheit für deine Angestellten. Es ist naiv zu glauben, dass dein Unternehmen ungeschoren davon kommt. Die Frage ist nicht, ob der Notfallplan gebraucht wird, sondern wann.
Fazit
Ungeübt verhalten sich Menschen in Notfallsituationen komplett falsch. Auch im Falle von Cyberattacken. Sich dagegen abzusichern und ein Problembewusstsein zu haben ist eine Pflicht für jeden Unternehmer der etwas von sich hält.
