Wenn er da ist, steht alles still. Den Worst Case einer Cyberattacke möchte kein Unternehmen erleben. Für Thomas Lang (valantic) gehören solche Vorfälle zum beruflichen Alltag. In seiner Kolumne für das IT-Onlinemagazin nimmt er die Krisenvorbereitung und ihre Tücken aus Sicht der Betroffenen genauer unter die Lupe.
Wie Krisenvorbereitung wirkt und warum es sich lohnt, früher an später zu denken
Ganz ohne ein paar Allgemeinsätze scheint kein Artikel über sogenannte Hackerangriffe oder Cybervorfälle auszukommen. Also auch hier einer, den man dieser Tage häufig hört: Es ist keine Frage, ob ein Unternehmen getroffen wird, sondern nur wann!
Bumm, das sitzt, jetzt ist jeder wach und das Thema auf der C-Level-Agenda! So oder so ähnlich dachten wir auch lange Zeit und mussten feststellen, dass das nur die halbe Wahrheit ist. Denn, obwohl das Thema omnipräsent ist und jedenfalls uns in letzter Zeit kaum ein verantwortungsbewusster Manager begegnet ist, der das Thema nicht auf der Agenda hat, zeigt sich insbesondere bei der Krisenvorbereitung ein höchst unterschiedlicher Umgang mit den Herausforderungen.
Wenn Sie zu diesem und weiteren aktuellen Themen aus der SAP-Community informiert bleiben möchten, abonnieren Sie jetzt den IT-Onlinemagazin Newsletter.
In kritischen Situation richtig reagieren: Übung macht den Profi
Doch wie sieht eine echte Krisenvorbereitung überhaupt aus? Und wie stampft man so ein Programm aus dem Boden? Eine gute Analogie bietet hier das Autofahren: Jeder weiß, dass es hierbei scheppern kann. Sicherheitssysteme und Gurt – check. Die Feuerwehr ist da, wenn’s wirklich brenzlig wird. In die Hände dieser in der Mehrzahl freiwilligen Frauen und Männer legen wir also unser Schicksal für den Fall, dass sich zum Versagen der Sicherheitsmechanismen auch noch Pech addiert und es „knallt“. Doch warum sind ausgerechnet diese Frauen und Männer eigentlich befähigt, uns in den vielleicht kritischsten und teilweise lebensbedrohlichen Situationen kompetent zu helfen? Richtig, Übung macht den Profi.
Genau wie die Einsatzkräfte beim Verkehrsunfall müssen auch Unternehmen in der Lage sein, in kritischen Situationen effektiv, angemessen und schnell auf die aktuelle Situation zu reagieren, um größeren Schaden vom Unternehmen abzuwenden und den geordneten Geschäftsbetrieb aufrechtzuerhalten oder schnellstmöglich wiederherzustellen.
Die Analogie macht deutlich, dass a) Nichtstun und das Vertrauen auf eine höhere Macht zwar eine Option ist und b) Papiertiger eine schöne Erfindung sind, sich aber im Krisenfall beides als wahrscheinlich wirkungslos entpuppt.
Wie es läuft, wenn es gut läuft
Als positives Praxisbeispiel soll im Folgenden der Ablauf eines erfolgreichen Cyberangriffs auf eines unserer Kundenunternehmen sowie dessen Abwehrreaktion dienen – es geht um ein mittelständisches Unternehmen mit mehr als einer Mrd. EUR Umsatz und über 1.000 Mitarbeitenden:
- Gegen 8 Uhr Alarm durch den Managed-XDR-Provider an die IT-Verantwortlichen
- Sofortige Systemisolierung samt umfassender Analyse eingeleitet.
- Aktivierung des Notfallplans, der zuletzt 14 Tage vor dem Vorfall mit dem gesamten Vorstandsteam einen ganzen Tag lang geübt wurde (weil Informationssicherheit eben Chefsache ist)
- Bis Mittag war das Ausmaß klar: Datenexfiltration durch Angreifer im Gange, aber gestoppt. Drei Domain-Controller betroffen und in der Hand der Angreifer
- Umgehende Remediation samt weiterer Maßnahmen in Gang gesetzt
- Um 16 Uhr: Remediation abgeschlossen, Systeme im Normalbetrieb!
Ergebnis: Was ein Totalschaden hätte werden können, wurde zu einem kleinen Kratzer. Und das, obwohl zweifelsohne einige Sicherheitsmaßnahmen, die dem Managed-XDR vorgeschaltet waren, versagt hatten.
Erkenntnisse:
- Informationssicherheit ist kein Projekt, sondern eine Frage der Haltung.
- Die Wichtigkeit regelmäßiger Notfallübungen ist nicht zu unterschätzen (siehe Beispiel oben)
- Kritische Sicherheitsempfehlungen sollten sofort umgesetzt werden – die Behebung einiger Findings aus unserem letzten Security-Assessment stand bei dem Kunden noch aus und hat letztlich dazu geführt, dass die ersten Verteidigungslinien „gefallen“ sind.
- Die richtigen Partner sind in der Krise unersetzlich, sie sollten vorab an Bord geholt und die Zusammenarbeit geübt werden.
Was zu tun ist, damit es gut läuft
Was für die Vorbereitung auf einen Notfall, zur Erhaltung der Geschäftsfähigkeit und damit der Wertschöpfung zu tun ist, ist umfassend dokumentiert. Offen und unserer Erfahrung nach entscheidend ist aber die Frage nach der Praktikabilität der Umsetzung im Unternehmen. Der schon erwähnte Papiertiger ist dabei maximal als Bettvorleger zu gebrauchen, nicht jedoch als handhabbares Werkzeug „wenn die Hütte brennt“. BCM – Business Continuity Management – ist das Zauberwort. Es geht um die zeitkritischen Geschäftsprozesse, die Ihr Unternehmen am Laufen halten.
Die zentrale Frage in Krisenfällen lautet: Was brauchen Sie wirklich, wenn’s hart auf hart kommt? Wo liegen die höchsten Prioritäten der Geschäftstätigkeit? Und häufig bekommen wir hierauf keine strukturierte Antwort.
Wichtigste Geschäftsprozesse: Oft fehlt der Überblick
Ein paar Beispiele: Häufig sind die Geschäftsprozesse selbst nicht klar definiert, so dass im Unternehmen keine abteilungsübergreifende Definition als Grundlage für den Austausch vorhanden ist. Während einzelne Abteilungen ihre Kernprozesse meist benennen können, fehlt eine gemeinschaftliche Basis, um aus vielen kritischen Prozessen die wichtigsten für das Gesamtunternehmen auszuwählen.
Und wie wird diese Wichtigkeit eigentlich definiert? Sind Umsatzausfall, Ergebnisauswirkung, Vertragsstrafen, Mitarbeiterzufriedenheit, der Aktienkurs oder die Liquidität das Maß der Dinge, durch das die Priorisierung festgelegt wird?
Stellen wir uns vor, dass Ihr Unternehmen aktuell einem großen Cybervorfall ausgesetzt ist. Typischerweise stehen alle Systeme still, nichts geht mehr. Die vorhandene Notfallplanung stellt sich als „nicht ganz auf dem neusten Stand“ heraus – eine Situation, wie wir sie in über 90 Prozent aller Fälle erleben. Nun kommt die Forderung nach „SAP“, ausgesprochen vom CFO. Bevor die erste SAP-Anwendung wieder in Betrieb gehen kann, muss die IT zunächst die Basis-Dienste (Active Directory, DHCP, DNS, Print usw.) wieder in Betrieb nehmen. Vorher ist die Frage zu klären, ob und wie die Infrastruktur überhaupt sicher wieder angefahren werden kann. Diskussionen, die nicht selten emotional, ausführlich und oft ohne Kompetenz für die Situation geführt werden. Als nächstes braucht es die Infrastruktur. Dies betrifft meist Virtualisierungssysteme, auf denen die Backups wiederhergestellt werden können.
Zeiträume zur Wiederherstellung werden oft unterschätzt
Wenn diese Fragen also alle nicht nur abschließend beantwortet, sondern die Arbeiten dahinter auch alle erfolgreich umgesetzt werden können – wir sprechen meist von deutlich unterschätzten Zeiträumen – geht es an „das“ SAP-System. Meist bestehend aus mehreren Systemen, deren Wiederherstellung dauern kann. Integritätstests sind doch sicher geplant (oder?) und werden auch noch durchgeführt, bevor das System einsatzbereit ist. Doch was macht der CFO eigentlich, wenn das System dann endlich wieder zur Verfügung steht?
Wir kürzen die Geschichte an dieser Stelle ab. Denn was die meisten Unternehmen – zumal im Eifer der Situation – meist unterschätzen, ist, dass es weit mehr als „nur“ SAP braucht, um wieder an den Start zu gehen. Es braucht die Basis, es braucht arbeitsfähige Endgeräte, die so vertrauenswürdig sind, dass sie Zugriff auf die Finanzdaten haben dürfen. Es braucht ein Netzwerk, in dem Anwendung und Client sicher kommunizieren können und es wird – das ist der Kern unserer Bemerkung – weitere Systeme erfordern, damit die Finanzabteilung ihre Arbeit wieder aufnehmen kann: Vom Bank-Server bis hin zu weiteren Zahlungs-, Finanz-, Controlling-Anwendungen sind uns schon unzählige Beispiele begegnet, ohne die „wir brauchen nur SAP“ leider schnell zum Rohrkrepierer wurde.
Vorbereitung auf die Krise ist Aufgabe für alle
Was also ist der Kern vom Kern? Wie oben beschrieben müssen Unternehmen damit anfangen, ihre wichtigsten Prozesse Ende-zu-Ende zu betrachten. Welche Systeme, Applikationen, Schnittstellen (Cloud wie On-Prem), User, Daten usw. werden benötigt, wie kann die Integrität, Konsistenz der Daten und ein Wiederanlaufplan im Crashfall aussehen? Diese Fragen kann die IT-Abteilung schlechterdings nicht allein beantworten. Die Vorbereitung auf die Krise ist eine Aufgabe für das gesamte Unternehmen.
Mein Appell: Unternehmen müssen regelmäßige Übungen durchführen, sich mit dem Notfall beschäftigen und auf das vorbereiten, was hoffentlich nie eintreten wird, aber schon morgen eintreten kann. Wenn Sie zudem die – ebenfalls schon etwas abgedroschene, aber sehr richtige – Aufforderung mitnehmen, dass Informationssicherheit Chefsache ist und diese Prozesse „von oben“ initiiert und begleitet werden müssen, dann haben Sie den ersten Schritt gemacht, um die Krise wie das oben beschriebene Unternehmen mit einem sprichwörtlich blauen Auge zu überstehen.
Wenn Sie, lieber Leser, über unsere Zeilen nur kopfschüttelnd schmunzeln, weil Sie alles längst etabliert haben, freuen wir uns ausdrücklich für Sie! Denn Sie und Ihr Unternehmen gehören, jedenfalls nach unserer Erfahrung, zu einer kleinen Minderheit, die schon früher an später gedacht hat.
Über den Autor:
Thomas Lang ist Partner bei valantic. Als Experte für Informationssicherheit agiert er u.a. als „Breach Coach“. Zu seinen weiteren Beratungsschwerpunkten gehören unter anderem die Themen IT-Governance & -Compliance, IT-Strategie, Krisenmanagement sowie IT-Infrastruktur & Betrieb.
Cybersecurity und SAP-Sicherheit: Thementage mit Kundenberichten am 23./24.09.2024
Wir diskutieren zur IT-Onlinekonferenz über Cyberangriffe, Sicherheitsstrategien, hybride SAP Security-Szenarien, die Umsetzung von gesetzlichen Anforderungen und vieles mehr. Wenn Sie dabei sein möchten – hier geht es zum Programm mit Anmeldung.