Thought Leadership
Die Royal Mail wurde im Januar Opfer eines Ransomware-Angriffs, die anschließende Kommunikation hat negatives Aufsehen erregt. Der Fall zeigt auf, wie Unternehmen nach einem Ransomware-Angriff nicht handeln sollten – und was stattdessen zu tun ist.
Auch für deutsche Unternehmen sind diese Schlüsse relevant, da eine durchdachte Kommunikationsstrategie im Falle eines Cyberangriffs mittlerweile für alle Betriebe unverzichtbar ist.
Die Mitteilung, dass Ransomware die Ursache für die Zwischenfälle bei der Royal Mail war, ließ lange auf sich warten und war schließlich trotzdem nicht detailliert genug. Viele Unternehmen sind auf die Royal Mail angewiesen, die Auswirkungen der Unterbrechung ihrer Dienste sind immer noch spürbar. Eine schnellere und detailliertere Information durch die Royal Mail hätte es diesen Unternehmen ermöglicht, alternative Versandmöglichkeiten zu planen und die Umsatzeinbußen zu verringern.
Es ist jedoch nicht einfach, mit Ransomware-Attacken umzugehen, und es erfordert einen hohen Zeit- und Ressourcenaufwand. Sobald ein Angriff festgestellt wird, muss sofort untersucht werden, welche Maßnahmen ergriffen werden müssen. Bei der Kommunikation mit den Kunden und der breiten Öffentlichkeit wird die Situation zu einer Gratwanderung: Man sollte eine gewisse Informationstiefe haben, um an die Öffentlichkeit zu treten, gleichzeitig sollte man nicht zu lange warten.
Verschiedene Faktoren
Dabei spielen mehrere Faktoren eine Rolle, die es schwer machen, den richtigen Zeitpunkt zu finden. Einer davon ist die Einbeziehung der Strafverfolgungsbehörden, denn wenn eine strafrechtliche Untersuchung eingeleitet wird, müssen bestimmte Richtlinien eingehalten werden. Es gibt eine Reihe von Vorschriften, die regeln, wie mit Cyberangriffen umzugehen ist und wie sie zu kommunizieren sind, vor allem, wenn sensible Daten betroffen sein könnten. Ein Aspekt, der ebenfalls Einfluss darauf hat, wie und wann ein Unternehmen über einen Cyberangriff kommuniziert, ist ganz einfach: Peinlichkeit. Denn die überwiegende Mehrheit der Cyberangriffe ist vermeidbar und konnte nur durch einen Fehler des Unternehmens funktionieren. Dies könnte bedeuten, dass ein bösartiger Link in einer Phishing-E-Mail angeklickt oder Arbeitsgeräte nicht gepatcht wurden, so dass sie für Eindringlinge anfällig wurden. Oft sind die Führungsteams der Meinung, dass das Eingeständnis eines Fehlers dem Ruf zu sehr schaden würde, sodass sie die Kommunikation über den Vorfall auf ein Minimum reduzieren.
Ein Beispiel für eine gute Kommunikation des Vorfalls war der Fall von Norsk Hydro im Jahr 2019. Das Unternehmen war ehrlich in Bezug auf den Vorfall und den entstandenen Schaden und zeigte, dass es auf einen Angriff vorbereitet war, indem es umfassende Datensicherungen und andere Maßnahmen ergriffen hatte. Norsk Hydro war sich über seine Reaktionsstrategie im Klaren – insbesondere als es darum ging, das Lösegeld nicht zu zahlen. An dieser Strategie können sich Unternehmen orientieren, die von Ransomware-Attacken betroffen sind.
Heutzutage gibt es eine breite Berichterstattung über Cyberangriffe, die breite Öffentlichkeit weiß also, dass solche Angriffe passieren können. Natürlich sind es immer schlechte Nachrichten, die die betroffenen Menschen verärgern und frustrieren. Es gibt jedoch ein gewisses Maß an Verständnis für die angegriffenen Organisationen, das vor einigen Jahren noch nicht vorhanden war. Heute machen sich die Menschen mehr Gedanken darüber, wie gut auf Sicherheitslücken reagiert wird, wie schnell und detailliert die Kommunikation erfolgt und wie gut man auf den Angriff vorbereitet war. Der letzte Punkt ist meiner Meinung nach entscheidend und der Bereich, in dem die meisten Verbesserungen möglich sind. Zu viele Unternehmen reagieren im Bereich der Cybersicherheit reaktiv und warten auf Angriffe, anstatt von vornherein eine Strategie und Technologie implementieren, die einen eher präventiven Ansatz verfolgen. Mit dem vorausschauenden Ansatz können die Auswirkungen eines Angriffs in Form von Rufschädigung, Geldstrafen für die Einhaltung von Vorschriften und Geschäftseinbußen minimiert werden, selbst wenn er die Schutzmaßnahmen durchbricht.
