Sie werden immer raffinierter: Kryptotrojaner bringen vermehrt kleine und mittelständische Unternehmen in Bedrängnis. Die Betriebe haben schon genug damit zu tun, sich gegen die klassischen Ursachen für IT-Katastrophen wie Brand, Überschwemmung und Defekte zu wappnen – das wird durch die gezielten Attacken noch schwieriger. Häufig zerstören die Angreifer zunächst das Backup, bevor sie dann Anwendungen und Daten verschlüsseln. Damit sind die Opfer wehrlos der nun folgenden Erpressung ausgeliefert: nur wer Lösegeld zahlt, kann seine Daten wieder entschlüsseln – wenn er Glück hat.
Laut der offiziellen Zahlen von Statista wurden im Jahr 2023 über die Hälfte der Unternehmen in Deutschland Opfer von Angriffen auf ihre IT. Die echten Zahlen liegen nach Meinung vieler Insider deutlich höher. Die Schäden aus Cyber-Angriffen sind erheblich und liegen laut Bitkom jenseits von 200 Milliarden Euro – allein in Deutschland. Auch die Zahl der Angriffe ist in den letzten Jahren deutlich angestiegen.
Unternehmen betreiben zu wenig Prävention
Viele Unternehmen unterschätzen die Gefahren aus dem Internet, sie zeigen sich nachlässig und unbeeindruckt von den genannten Zahlen. Folglich mangelt es an der Vorsorge für den Katastrophenfall ihrer IT. Die Nachlässigkeiten beginnen bei unregelmäßigen Security-Updates, unzureichenden Backupstrategien und vielen anderen Themen, die für einen halbwegs verlässlichen Schutz notwendig sind. Dabei kann ein Cyber-Angriff ein gesundes Unternehmen innerhalb weniger Stunden in die Todeszone befördern: keine Daten, kein Geschäft. Wer dann Lösegelder zahlt, ersetzt sprichwörtlich die Pest durch Cholera. Nur wer clever vorsorgt, übersteht diese Situationen.
Die Zahlen zeigen klar und unabhängig von der Betriebsgröße: Die Frage, ob Cyberangriffe kommen, stellt sich nicht, die Frage lautet nur: wann kommen sie. Daher ist es überlebenswichtig, einen ganzheitlichen Notfallwiederherstellungsplan (Disaster Recovery Plan) zu entwickeln, um das Unternehmen im Falle eines Angriffs vor den schlimmsten Folgen zu bewahren. Aus unserer Erfahrung gibt es – solange sie nicht Opfer von Angriffen wurden – bei den wenigsten KMU wirkliche Vorbereitungen und Pläne, wie man nach einem Angriff die IT wieder herstellen könnte. Das Krisenmanagement während einer Attacke mit klaren Verantwortlichkeiten und Kommunikationsstrategien ist übrigens ein Teil davon.
Unternehmen versuchen sich durch den Abschluss von Cyber-Versicherungen gegen die wirtschaftlichen Folgen von IT-Attacken abzusichern, Banken verlangen dies zunehmend vor der Gewährung größerer Kredite. Unternehmen werden jedoch zum Teil von den Versicherungen nicht akzeptiert, weil sie die Voraussetzungen nicht erfüllen und daher als Kunde zu riskant sind.
Disaster Recovery Planning
Die Erstellung eines DRB (Disaster Recovery Plan) ist ein Prozess, der mit einfachen Maßnahmen starten kann und schrittweise erweitert wird. Ohne externe Unterstützung gelingt es kaum, einen soliden DRP aufzustellen. Das liegt an Erfahrung, aber auch an Expertise und Zeit, die nicht immer vorhanden ist.
Die typische Vorgehensweise beim Erstellen eines DRPs kann wie folgt aussehen:
- Analyse der Geschäftsauswirkungen und Risikobewertung
- Ziele setzen
- Sicherungs- und Wiederherstellungsstrategien
- Entwicklung eines DRP
- Testen des Disaster Recovery Plans
Die einzelnen Schritte
(1) Will man sich gegen IT-Katastrophen schützen, sollten zunächst die geschäftlichen Risiken abgeschätzt werden und welche Schäden noch eben verträglich für den Geschäftsbestand sind. Basierend auf diesen Ergebnissen gilt es:
(2) Ziele zu setzen, die die weitere Existenz des Unternehmens auch nach einem Desaster sicherstellen. Meist werden einzelnen Bereichen und Themen unterschiedliche Prioritäten zugeordnet, ein „all or nothing“ ist hier nicht zielführend.
(3) Vor diesem Hintergrund gilt es zu eruieren, welche Maßnahmen vorab und nach Eintritt der Katastrophe ergriffen werden müssen, um die definierten Ziele inhaltlich und zeitlich zu erreichen.
(4) Ein Resultat daraus ist ein schriftlich dokumentierter DRP, der alle Aktivitäten im Detail auflistet.
(5) Mithilfe des DRP werden nun alle definierten Abläufe mit Bedingungen wie im Ernstfall durchgespielt. Dabei treten meist weitere, vorab nicht bedachte Problempunkte auf. Diese werden nachdokumentiert und im folgenden Testlauf überprüft.
Erstellungsprozess
Der Prozess hin zu einem soliden DRP ist komplex, anspruchsvoll und erfordert umfängliche Erfahrungen, die in einem Unternehmen üblicherweise nicht vorhanden sind. Die oben genannten Schritte (1) und (2) absolviert die IT Works AG daher in moderierten Workshops mit Teilnahme unterschiedlicher firmeninterner Interessengruppen. Alle Ergebnisse werden schriftlich dokumentiert. Die erforderlichen Maßnahmen aus Schritt (3) erarbeitet und dokumentiert zunächst die IT Works, um sie dann mit dem Kunden im Rahmen eines weiteren Workshops zu diskutieren. Dabei ergeben sich meist wichtige Ergänzungen.
Daraufhin erstellt die IT Works einen Entwurf des DRP. Auch dieser wird mit den unterschiedlichen Stakeholdern im Unternehmen durchgearbeitet und ergänzt, sodass final alle zu diesem Zeitpunkt bekannten Rahmenbedingungen Berücksichtigung finden.
Zuletzt wird zunächst der technische Teil (Recovery-Prozeduren mit Zeitvorgaben) des DRP durchlaufen, üblicherweise ohne Teilnahme des Kunden. In mehreren Iterationen werden Verbesserungen eingeführt, um die vorgegebenen Ziele sicher zu erreichen. Erst wenn die technischen Abläufe stabil funktionieren, wird der gesamte DRP mit Teilnahme der betroffenen Unternehmensmitarbeiter durchgespielt.
Die Widerstandskräfte stärken
Einen Disaster Recovery Plan zu erstellen, verbessert die Cyber-Resilienz eines Unternehmens präventiv, aber auch während einer Angriffssituation. Er dokumentiert alle getroffenen Annahmen, die daraus resultierenden Schlussfolgerungen und Maßnahmen. Zusammen mit dem ganzheitlichen Test erzeugt der erstellte Plan ein hohes Maß an Zuverlässigkeit und Vertrauen. Somit steht einer Cyber-Versicherung nichts mehr im Weg.
Generell empfehlen wir jedem Unternehmen, sich mit IT-Resilienz zu befassen, gerne stehen wir für ein unverbindliches Beratungsgespräch zur Verfügung.