Der Spezialist für Informationssicherheit Northwave hat eine wissenschaftliche Untersuchung zu den psychischen Auswirkungen großer Ransomware-Angriffe gegen Unternehmen durchgeführt. Die Ergebnisse zeigen, welch tiefe Spuren eine solche Krise bei allen Betroffenen hinterlässt.
Zugleich machen sie deutlich, dass es auch nach der Überwindung des Angriffs selbst noch lange dauern kann, bis bei den IT- und Sicherheitsteams wieder Normalität einkehrt.
Die wichtigsten Ergebnisse
„Die Untersuchung belegt, dass die psychischen Auswirkungen von Ransomware-Angriffen auf die Menschen in den betroffenen Unternehmen sehr lange anhalten können“, so die Organisationspsychologin Inge van der Beijl, Director Behaviour & Resilience, Northwave. „Wie die Ergebnisse zeigen, kann es sein, dass die Mitglieder der Krisenteams erst wesentlich später ernsthafte Symptome entwickeln. Die Unternehmensleitung und die Personalabteilung müssen dem entgegensteuern, und zwar schon zu Beginn der Krise. Schließlich tragen sie die Verantwortung für das Wohlergehen ihrer Mitarbeiter.“
Van der Beijl weiter: „Zudem stellten wir fest, dass sich in den Teams oft einige Zeit nach der Krise Zerfallserscheinungen zeigen, weil Mitglieder das Unternehmen verlassen oder krankgeschrieben werden müssen. Die Studie belegt, dass sich die Auswirkungen auf das gesamte Unternehmen erstrecken können. Alles in allem demonstriert sie, dass diese unsichtbaren Folgen eines schweren Cyberangriffs auf die Agenda der Unternehmensleitung und definitiv auch der Personalverantwortlichen gehören.“
Northwave sieht bei der Reaktion auf einen Cyberangriff drei Phasen. Zuerst kommt die eigentliche Krisensituation, die nach rund einer Woche in eine Vorfallsphase übergeht. Zu diesem Zeitpunkt steht ein Aktionsplan, und Wiederherstellungsmaßnahmen wurden eingeleitet. Nach etwa einem Monat ist der Brand weitgehend gelöscht, und die ersten (Basis-)Funktionen sind wieder verfügbar. Die vollständige Erholung kann ein bis zwei Jahre dauern. Jede Phase hat ihre spezifischen Auswirkungen auf die Psyche und den Körper der Beteiligten und damit auch auf das Unternehmen oder Teile davon. „Im Allgemeinen ist ein Unternehmen nach einem Malware-Angriff drei Wochen lang außer Gefecht“, so Van der Beijl. „Überrascht hat uns jedoch, dass die Auswirkungen danach noch so lange anhalten. Selbst ein Jahr nach der eigentlichen Krise werden noch psychische Probleme offenbar.“
- Einer von sieben Mitarbeitern, die direkt oder indirekt von dem Angriff betroffen waren, weist mehrere Monate später Symptome auf, die so schwerwiegend sind, dass sie über der klinischen Schwelle liegen, ab der eine professionelle Traumabehandlung erforderlich ist.
- Jeder fünfte Mitarbeiter gibt an, dass er mehr professionelle Hilfe gebraucht hätte, um mit dem Erlebten zurechtzukommen.
- Jeder Dritte hätte sich gewünscht, über mehr Wissen und konkrete Instrumente zu verfügen, um die psychischen Folgen des Angriffs zu bewältigen.
Ein Angriff hat nachhaltige Auswirkungen auf die Art und Weise, wie die Mitarbeiter die Welt sehen. Zwei Drittel der Mitarbeiter, einschließlich solcher, die von dem Angriff gar nicht betroffen waren, halten die Welt jetzt für weniger sicher. So erklärte ein IT-Verantwortlicher: „Ich bin viel misstrauischer geworden. Die Welt da draußen ist gefährlich.“
Diese langfristigen Auswirkungen haben auch Einfluss auf die Personalfluktuation:
- Jeder Fünfte, der direkt von dem Angriff betroffen war, hat einen Stellenwechsel in Erwägung gezogen oder tut dies immer noch.
- Über die Hälfte der Manager und IT-Mitarbeiter berichten, dass mehrere Beschäftigte Monate oder sogar ein Jahr nach dem Angriff längere Zeit abwesend waren. Zu beachten ist dabei, dass Personen, die eine Stelle außerhalb des Unternehmens angenommen haben, möglicherweise nicht in die Stichprobe aufgenommen wurden, da die Fragebogen durch die betroffenen Firmen selbst an die Arbeitnehmer verteilt wurden.
Positive Auswirkungen
Neben den negativen Folgen von Ransomware-Angriffen gab es durchaus auch positive Nachwirkungen. IT-Abteilungen stellten fest, dass sie endlich längst überfällige Sicherheitsmaßnahmen umsetzen konnten, da ihr Unternehmen der Cybersicherheit jetzt höhere Priorität einräumt. Auch die Kollegen außerhalb der IT-Abteilung zeigten mehr Solidarität und Empathie.
- Fast die Hälfte der Befragten ist der Meinung, dass sich die Zusammenarbeit erheblich verbessert habe.
- Jeder fünfte von einem Ransomware-Angriff betroffene Mitarbeiter gab an, er habe jetzt besseren Kontakt zu seinen Kollegen.
Empfehlungen
Die Forschungsergebnisse unterstreichen, wie wichtig es ist, dass sich die Unternehmensleitung aktiv an der Erholung sowohl von den sichtbaren als auch unsichtbaren Folgen eines Ransomware-Angriffs beteiligt.
Phase 1
Sorgen Sie in der Phase 1 für regelmäßige Check-ins. Einen Marathon kann man nicht im Sprinttempo laufen, und ein Ransomware-Angriff ist ein Marathon. Stellen Sie sicher, dass die Mitarbeiter regelmäßig Pausen machen und in Schichten arbeiten. Menschen fühlen sich verantwortlich, und manche wird man dazu auffordern müssen, sich Auszeiten zu nehmen. Achten Sie darauf, welche Bewältigungsstrategien die Mitarbeiter anwenden, denn ungesunde Strategien sind keine Seltenheit.
Phase 2
In der Phase 2 sollten Sie Richtlinien aufstellen, um die Arbeitsbelastung des Notfallteams zu steuern. Unterscheiden Sie dabei zwischen Arbeiten, die mit dem Vorfall zu tun haben, und den regulären Aufgaben. Wenn möglich, setzen Sie für die regulären Aufgaben zusätzliche Mitarbeiter ein. Schaffen Sie einen Rhythmus, bei dem Ruhe- und Erholungszeiten für alle sichergestellt sind.
Phase 3
In der Phase 3 sollten Sie Bewertungen durchführen. Seien Sie sich bewusst, dass Mitarbeiter, die von Ransomware-Angriffen betroffen sind, sehr oft psychische Symptome entwickeln. Da nach einem solchen Angriff auch das Zusammengehörigkeitsgefühl unter den Kollegen wächst, kann ein wirksames Instrument darin bestehen, ein offenes Umfeld zu schaffen, in dem negative Gefühle geäußert werden können. Die Menschen möchten über das sprechen, was geschehen ist und was es für sie bedeutet, und wenn sie diese Möglichkeit bekommen, kann das enorm hilfreich sein.
Über die Untersuchung:
Northwave möchte mit dieser Untersuchung das Verständnis für die oben beschriebenen Folgen von Cyberangriffen verbessern, damit Unternehmen geeignete Maßnahmen entwickeln können, um Schäden durch stressbedingte Beschwerden zu verhindern, zu erkennen und zu bewältigen. Für die groß angelegte, mehrere Studien umfassende Untersuchung wurden Personen, die in ihrer beruflichen Funktion mit der Bewältigung eines Ransomware-Angriffs zu tun hatten, zu psychosomatischen und stressbedingten Beschwerden befragt.
Die Untersuchung fand in drei Etappen statt. Zunächst führten die Forscher halbstrukturierte Interviews mit Mitarbeitern des Cyber Emergency Response Teams (CERT) von Northwave, nachdem diese an der Bewältigung von Ransomware-Angriffen mitgewirkt hatten. Anschließend wurden hochrangige Führungskräfte internationaler Unternehmen, die in den letzten 24 Monaten von Ransomware-Angriffen betroffen waren, zu ihren persönlichen Erfahrungen und den Auswirkungen auf ihr Unternehmen befragt. Die meisten dieser Firmen haben ihren Hauptsitz in den Benelux-Staaten oder der DACH-Region (Deutschland/Österreich/Schweiz). Und schließlich füllten die Mitarbeiter der betroffenen Unternehmen einen Fragebogen aus. Die Feldphase wurde Ende September abgeschlossen.
Inge van der Beijl: „Was die Interviews besonders wertvoll macht, ist das Bild, das sie uns von den Auswirkungen bis zu zwei Jahre nach einer solchen Krise vermitteln.“
northwave-security.com