An einen Tag der vergangenen Jahre kann ich mich noch erinnern, als wäre es gestern gewesen. Unser CEO rief mich in sein Büro und bat mich darum, mein Smartphone und meinen Laptop auf seinem Schreibtisch abzulegen.
„Wir wurden gehackt“, sagte er unverblümt. „Noch befinden wir uns in der Untersuchungsphase, doch fest steht, dass ein aktiver, hoch entwickelter, staatlich organisierter Angreifer in unserem Perimeter sein Unwesen treibt.“
Um ehrlich zu sein, traf uns diese Nachricht nicht völlig unerwartet. Unsere Spezialisten hatten sich damals bereits seit geraumer Zeit mit den Sicherheitslücken einiger Kunden befasst, und gerade wir als Cybersecurity-Unternehmen waren (und sind) ein gern gewähltes Zielobjekt. Dennoch handelte es sich in diesem Fall um eine relativ unangenehme Überraschung: Denn irgendjemand war in die Cyberabwehr eines Informationssicherheitsunternehmens eingedrungen. (Mehr dazu erfahren Sie übrigens hier.) Heute möchte ich über eine der wichtigsten Fragen sprechen, die wir uns zu diesem Zeitpunkt umgehend gestellt haben: „Wie teilen wir den Vorfall der Öffentlichkeit mit?“
Unsere fünf Phasen der Abfindung: Verleugnung, Wut, Verhandlung, Depression und Akzeptanz
Vor der DSGVO konnte ein jedes Unternehmen tatsächlich selbst entscheiden, ob es einen solchen Vorfall öffentlich kommunizieren oder lieber unter den Teppich kehren wollte. Letzteres war selbstverständlich keine Option für Kaspersky, ein Cybersicherheitsunternehmen, das für eine verantwortungsvolle Transparenz wirbt. Darüber waren wir uns in der gesamten C-Suite einig und begannen, uns auf eine öffentliche Bekanntgabe vorzubereiten, ganz nach dem Motto: volle Kraft voraus!
Diese Entscheidung war zweifellos die richtige; zumal wir damals schon die stetig zunehmende geopolitische Kluft auf dem Radar hatten und uns darüber im Klaren waren, dass die „riesigen Mächte“ hinter dem Cyberangriff, eine solche Verletzung definitiv gegen uns verwenden würden – die Frage war lediglich: Wie und Wann? Durch die proaktive Mitteilung des Vorfalls konnten wir ihnen also nicht nur diese Möglichkeit nehmen, sondern den Vorfall darüber hinaus zu unseren Gunsten nutzen.
Es gibt zwei Arten von Unternehmen – diejenigen, die gehackt wurden, und diejenigen, die nicht einmal wissen, dass sie gehackt wurden. Im ersten Fall ist das Paradigma simpel: Ein Unternehmen sollte einen Verstoß niemals vor der Öffentlichkeit verbergen. Denn auf diese Weise gefährdet man lediglich die Cybersicherheit von Kunden und Partnern.
Aber zurück zu unserem Fall. Nachdem wir die beteiligten Parteien – Rechts- und Informationssicherheitsteams versus Kommunikations-, Vertriebs-, Marketing- und Supportteams – eingerichtet hatten, begannen wir mit der mühsamen Vorbereitung der offiziellen Nachrichtenübermittlung und der Erstellung der notwendingen Q&As. All das lief zeitgleich mit den Untersuchungen der Experten unseres GReAT-Teams (Global Research and Analysis Team) ab; die beteiligten Teammitglieder führten die gesamte Kommunikation über verschlüsselte Kanäle durch, um die Möglichkeit einer Kompromittierung der Untersuchung auszuschließen. Erst als wir Antworten auf so gut wie alle möglichen Fragen hatten, fühlten wir uns dazu bereit, der Öffentlichkeit über unseren Vorfall zu berichten.
Das Ergebnis? Fast 2.000 Artikel, die auf einer von uns ins Leben gerufenen Nachrichtenpause beruhten, wurden von verschiedenen Medien veröffentlicht. Die meisten Beiträge (95%) waren neutral, und nur ein sehr geringer Anteil (weniger als 3%) der Artikel beinhalteten negative Konnotationen. Das Deckungsgleichgewicht ist verständlich, da die Medien die gesamte Geschichte und alle Hintergründe von uns, unseren Partnern und anderen Sicherheitsforschern erfahren hatten, die alle mit den richtigen Informationen arbeiteten. Ich verfüge über keine genauen Statistiken, aber die Art und Weise, wie die Medien auf die Geschichte eines Ransomware-Angriffs auf den norwegischen Aluminiumgiganten Hydro Anfang dieses Jahres reagierten, lässt vermuten, dass hier der Umgang mit dem gesamten Vorfall eher suboptimal ablief. Was lernen wir daraus? Kein Sicherheitsvorfall sollte geheimgehalten werden.
Lektion gelernt
Die gute Nachricht ist, dass wir aus dem Cyberangriff von 2015 nicht nur etwas über die technischen Fähigkeiten der fortschrittlichsten Cyberbedrohungs-Akteure gelernt haben, sondern auch darüber, wie wir auf die Sicherheitsverletzung reagieren und diese kommunizieren können.
Wir hatten Zeit, den Angriff gründlich zu untersuchen und daraus zu lernen. Wir hatten Zeit, die Phasen der Wut und der Akzeptanz zu durchlaufen und das gesamte Unternehmen angemessen auf das vorzubereiten, was wir der Öffentlichkeit mitteilen wollten. In dieser ganzen Zeit brach die Kommunikation zwischen den Cybersicherheitsexperten und den Experten für Unternehmenskommunikation nicht ein einziges Mal ab.
Heutzutage hat sich der Zeitrahmen für die Vorbereitung einer öffentlichen Bekanntmachung drastisch verkürzt: Beispielsweise verlangt die DSGVO, dass Unternehmen, die mit Kundendaten arbeiten, Behörden nicht nur über Sicherheitsverletzungen informieren, sondern dies innerhalb von 72 Stunden tun. Und ein Cyberunternehmen muss von diesem Moment an dazu bereit sein, in der Öffentlichkeit für diesen Vorfall gerade zu stehen.
„Mit wem sollten wir innerhalbs des Unternehmens kommunizieren? Welche Kanäle können wir nutzen und welche sollten wir vermeiden? Wie sollen wir handeln? „Diese und viele andere Fragen mussten wir während der laufenden Untersuchung beantworten. Möglicherweise haben Sie nicht das Glück, all diese Fragen in der kurzen Zeit, die Ihnen zur Verfügung steht, selbst zu beantworten. Deshalb bilden diese Informationen, gepaart mit unseren wertvollen Erfahrungen, die Grundlage unseres Kaspersky Incident Communications Service.
Zusätzlich zu den Standardschulungen durch zertifizierte Kommunikationsspezialisten, die sich mit den Strategien und der Beratung zur externen Nachrichtenübermittlung befassen, bietet der Service die Möglichkeit, von unseren GReAT-Experten zu lernen. Sie verfügen über aktuelle Informationen zu Kommunikationstools und -protokollen und können Sie hinsichtlich des Verhaltens im Falle einer Sicherheitsverletzung kompetent beraten.