Sicherung der Cyber-Zukunft Australiens - Teil 3: Warum die Reaktion auf Vorfälle die Aufgabe jedes Teams ist

Verstöße bringen Organisationen in eine sehr heikle Lage. Wenn du falsch reagierst, gibst du den Angreifern Zeit, mehr Schaden anzurichten.
Ihre Kunden werden in Panik versetzt und sind dem Risiko von Betrug ausgesetzt, und Aktionäre und Märkte werden alarmiert. Fehler können sich in einem Kreislauf anhäufen, der sogar tödlich sein kann. Wenn Ihre Reaktion jedoch gut durchdacht und geplant ist, können Sie den Unternehmenswert schützen und Kunden, Aufsichtsbehörden und Ihren eigenen Vorstand beruhigen - ganz abgesehen davon, dass Sie die Voraussetzungen für eine bessere Cyber-Resilienz schaffen.

Aus der jüngsten Welle von Sicherheitsverletzungen kann man viel lernen 

In diesem Jahr gab es mehr größere Sicherheitsverletzungen bei australischen Organisationen als je zuvor. Optus, Medibank, Vinomofo, MyDeal und EnergyAustralia gehören zu den bekannten Namen, die davon betroffen sind. Eine Kombination aus gestohlenen Zugangsdaten, API-Schwachstellen und unzureichend gesicherten Testplattformen wurde dafür verantwortlich gemacht. Die Auswirkungen der größten Vorfälle sind enorm, da die Daten von Millionen von Kunden in Gefahr sind.

Medibank hat vorausgesagt, dass der Hack sie mindestens 25 bis 35 Millionen Dollar kosten wird. In dieser Zahl sind keine Entschädigungszahlungen an Kunden, Rechts- oder Regulierungskosten enthalten. Die Sicherheitsverletzung bei Optus zeigt, dass das langfristige Kundenmanagement ein gigantisches Unterfangen sein kann. Das Unternehmen hat 140 Millionen Dollar für ein Maßnahmenprogramm für Kunden bereitgestellt, das eine unabhängige Überprüfung, die Überwachung der Kreditwürdigkeit durch Dritte und den Ersatz von Ausweisdokumenten umfasst. Angesichts dieser Kosten ist es umso wichtiger, dass die Organisationen die Folgen eines Auftrags so effizient wie möglich bewältigen.

Reaktion auf Vorfälle beginnt mit der Vorbereitung 

Ein Vorfall kann Sie überraschen, aber Sie sollten immer einen Plan haben, auf den Sie zurückgreifen können. Ein Notfallplan gibt den Teams für Cybersicherheit, IT und Kommunikation praktische Schritte an die Hand, die im Falle einer Krise zu befolgen sind. Die Erstellung eines Plans umfasst die Überprüfung der wichtigsten Bedrohungen und Reaktionen, die Festlegung der Zuständigkeiten für einzelne Aufgaben oder Entscheidungen und die Berücksichtigung rechtlicher Aspekte. Der Plan sollte von verschiedenen Abteilungen - einschließlich der Kommunikationsabteilung, der Rechtsabteilung und der Unternehmensleitung - abgezeichnet werden, und zwar lange bevor es tatsächlich zu einem Verstoß kommt. Aber Sie können nicht einfach abschalten, sobald Sie einen Plan erstellt haben: Schulungen müssen fortlaufend stattfinden, und die Richtlinien müssen regelmäßig auf der Grundlage interner Änderungen und Veränderungen in der Bedrohungslandschaft überprüft werden.

Ein guter Plan für die Reaktion auf einen Vorfall hilft Ihnen nicht nur bei der Bewältigung einer Sicherheitsverletzung, sondern beeinflusst auch die Art und Weise, wie der Vorfall in den Medien und von den Aufsichtsbehörden dargestellt wird. Nach dem Einbruch bei Optus lobten einige Beobachter das Unternehmen für sein "schnelles Handeln". Phillip Ivanci vom Automatisierungs- und Sicherheitsgiganten Synopsys sagte: "Die Tatsache, dass der CEO des Unternehmens in der Lage war, erste Details und eine öffentliche Erklärung scheinbar innerhalb weniger Stunden an einem nationalen Feiertag zu veröffentlichen, bedeutet, dass Optus über einen gut etablierten und gut eingeübten Plan zur Reaktion auf Vorfälle verfügen muss."

Klare Kommunikation ist entscheidend 

Die Versuchung ist groß, nach einem schweren Vorfall sofort zu handeln, ohne nachzudenken. "Das erste, was man in einer Krise tut", sagt Anthony Caruana, CEO von Media-wize, "macht die Sache in der Regel noch schlimmer. Anstatt "im Dunkeln zu tappen", rät Caruana, erst einmal durchzuatmen und sich an seinen Plan zu halten.  

Irreführende öffentliche Bekanntmachungen können zum Beispiel mehr Schaden anrichten als Schweigen. Nach dem Einbruch Mitte Oktober gab Medibank zunächst nur einen "kleinen Cybervorfall" bekannt, bei dem es "keine Beweise dafür gab, dass auf Kundendaten zugegriffen wurde". Am 27. Oktober teilte Medibank dann mit, dass die Daten von fast 4 Millionen Kunden kompromittiert worden waren. Wir wissen jetzt, dass fast 10 Millionen Kunden betroffen sind. Die Hacker haben Whatsapp-Chats geleakt, die offenbar Verhandlungen mit dem CEO von Medibank zeigen.

Es gibt hier keinen perfekten Ansatz, und Medibank betonte, dass "unsere Untersuchung noch andauert". Indem das Unternehmen jedoch mit unvollständigen Informationen an die Öffentlichkeit ging, hat es seine Botschaft verwässert - und möglicherweise Zweifel bei Kunden und Aktionären gesät.

Zwar wird die externe Kommunikation in der Regel vom Kommunikationsteam entwickelt und verwaltet und von der Geschäftsleitung durchgeführt, aber in Wirklichkeit können sie nur das mitteilen, was sie bis zu diesem Zeitpunkt wissen. In diesem Fall ist eine schnelle Untersuchung durch das Cyberteam von entscheidender Bedeutung, um den wichtigsten Interessengruppen schnelle und genaue Informationen zu liefern, die dann in einer besseren Position sind, um klarere Botschaften zu entwickeln.   

Aufbau eines Muskelgedächtnisses hilft beim Krisenmanagement 

Ihre Entscheidungsfindung wird klarer sein, wenn Sie mögliche Szenarien durchgespielt haben. Ein Mitglied des Mimecast-Beirats weist auf die Vorteile hin, die sich aus der Zusammenarbeit mit anderen Abteilungen und der Durchführung möglichst realer Übungen ergeben.  "Unser Kommunikationsteam ist an der Gesamtstrategie beteiligt", sagen sie, "aber in der Vergangenheit wurde es nicht ernst genug genommen. Tabletops für Verstöße sollten so oft geübt werden, dass sie sich einprägen und nicht nur in einem Dokument stehen."

Es ist von entscheidender Bedeutung, die genaue Art des Eindringens zu ermitteln. Firewalls und Systeme zur Erkennung von Eindringlingen können die Überwachung übernehmen. Tools für das Sicherheitsinformations- und Ereignismanagement können Daten in Echtzeit kombinieren und analysieren und so die Zeit bis zur Erkennung verkürzen, und KI spielt eine immer wichtigere Rolle bei der Erkennung und Reaktion.  Für die Auswertung und Dokumentation der Ergebnisse benötigen Sie jedoch qualifizierte Mitarbeiter, und je nach Größe und Fachwissen Ihres Teams ist es vielleicht an der Zeit, externe Spezialisten hinzuzuziehen.

Das Herunterfahren, Löschen und Wiederherstellen von Systemen kann eine enorme Aufgabe sein, und wenn Kundendaten betroffen sind, müssen möglicherweise Aufsichtsbehörden eingeschaltet werden. Optus musste seine gesamte Kundendatenbank, die 20 Terabyte an Daten umfasst, neu aufbauen. Wenn Sie Ihre Systeme kennen und sich über die Schritte und Zuständigkeiten im Falle eines Vorfalls im Klaren sind, können Sie eher entschlossen handeln und diese Kosten begrenzen.

Die Fragen werden immer wieder kommen - halten Sie die Antworten bereit 

Im Falle eines Verstoßes müssen Sie möglicherweise Ihre Kunden, das OAIC, die Öffentlichkeit und Ihre Versicherer informieren. Die Erörterung verschiedener Szenarien und die Planung Ihrer Reaktion auf die Kunden im Voraus ist ein wesentlicher Bestandteil eines jeden Plans. Sie können beschließen, dass Sie Ransomware-Forderungen immer ablehnen werden (wie Medibank), aber Sie sollten auch mögliche Maßnahmen durchspielen, wenn Kriminelle als Reaktion darauf beginnen, Ihre Daten auszuspähen.

Die Kommunikation im Zusammenhang mit Sicherheitsverletzungen ist nie einfach. Während Aspekte der Reaktion von Optus gelobt wurden, wurde das Unternehmen auch von Innenministerin Clare O'Neil kritisiert, weil es den Angriff als "ausgeklügelt" bezeichnete, obwohl die derzeitigen Anzeichen auf einen Angriff mit stumpfer Gewalt auf eine nicht authentifizierte API hindeuten. Es ist eine Sache, seinen Fall öffentlich darzulegen, aber ehrlich zu sein und zu seinen Fehlern zu stehen, kommt vielleicht besser an als Ausreden.

Lernen und Vorbereitung sind das Fundament des Krisenmanagements 

Es gibt kein Patentrezept für jede Krise, und die jüngste Welle von Sicherheitsverletzungen hat gezeigt, dass die betroffenen Unternehmen sehr unterschiedlich vorgehen. Ein Mitglied des Mimecast-Beirats weist darauf hin, dass diese Vorfälle für das Lernen entscheidend sein können. "Die Optus-Situation wurde nicht gut gehandhabt", sagen sie, "aber sie hat uns dazu gebracht, unsere Strategie zu überdenken. Jetzt, da wir wissen, wie schlecht es aussieht, können wir ein Benchmarking durchführen und sehen, wo wir Verbesserungen vornehmen können.

CISOs und Vorstände sollten diesen Moment nutzen, um ihre Reaktionspläne für Zwischenfälle zu überprüfen und verschiedene Szenarien durchzuspielen. Wenn der nächste Einbruch Ihr eigener ist, atmen Sie tief durch und verlassen Sie sich auf die Vorbereitungen, die Sie getroffen haben. Sie könnten einen großen Unterschied für die Daten Ihrer Kunden und Ihr Endergebnis ausmachen - ganz zu schweigen von Ihrem Stresslevel - wenn der Sturm um Sie herum losbricht.