Die Prävention in der IT-Sicherheit muss auch die Unternehmenskommunikation miteinbeziehen: Integrierte Ansätze sind gefragt
Immer mehr Unternehmen vertrauen bei der IT-Sicherheit externen Dienstleistern. 2020 werden laut Marktforschungsinstitut statista in Deutschland mit Hardware, Software und Services für IT-Sicherheit 4,9 Milliarden Euro umgesetzt, Tendenz weiter steigend. Als Konsequenz dieser Ausgaben nehmen die Kompetenz und die Sensibilisierung zur Prävention gegen Cyberattacken unternehmensseitig deutlich zu.
Die Präventionsaufgabe endet aber nicht bei der IT-Abteilung. Der Unternehmenskommunikation kommt eine vergleichbar bedeutende Rolle zu. Die Kernfrage, die sich ein Unternehmen stellen muss, lautet: Erfüllen wir die Voraussetzungen, um im Krisenfall schnell, transparent und glaubwürdig zu kommunizieren? Hier besteht Handlungsbedarf: Die IT-Angriffe auf die Online-Bank N26 etwa haben gezeigt, dass die Reputation des Gesamtunternehmens im Feuer steht – und das mitten in einer neuen Finanzierungsrunde. Nichts passte da dem Start-up-Star schlechter in den Plan, als Medienberichte über massiv geschädigte Kunden und das unzulängliche Krisenmanagement der Bank.
Immer mehr Firmen digitalisieren ihre Geschäftsabläufe, beispielsweise Versicherungen mit Predicitve Analytics, oder verfolgen ein ausschließlich digitales Geschäftsmodell, wie Uber, Airbnb oder FinTechs. Somit sind Cyberattacken niemals nur ein Angriff auf die Sicherheit der IT-Infrastruktur von Unternehmen. Sie bedrohen immer auch sein Geschäftsmodell, seine Reputation und im schlimmsten Fall die Existenz. Die heutigen Cyber-Bedrohungen erfordern daher einen Schulterschluss von IT-Security-Verantwortlichen, dem Risikomanagement und der Kommunikationsabteilung.
Aus unserer Erfahrung lässt sich die Zusammenarbeit der verschiedenen Abteilungen in drei Stufen abbilden: die Risikoanalyse, die Krisenprävention und das Handeln im akuten Krisenfall:
In der Risikoanalyse wird die Selbsteinschätzung zur Krisenbereitschaft des Unternehmens abgefragt und die Ergebnisse mit externen Experten abgestimmt. Zu ihr gehören außerdem ein Audit der Information-Management-Systeme, eine Prüfung vorhandener Krisendokumente, Interviews mit den Mitarbeitern des Krisenteams sowie ein Test der Infrastruktur und der Prozesse. Die Ergebnisse werden in einem Risikoreport zusammengefasst.
Die Krisenprävention umfasst dann vor allem die Entwicklung und Zertifizierung der Informationssysteme, die Beratung zur Informationssicherheit sowie Penetration Tests und Kommunikationstrainings. Bestenfalls wird auch der Ernstfall unter realen Bedingungen geprobt, um Schwachstellen aufzudecken.
Integrierte Maßnahmen im Krisenfall sind schließlich der Aufbau einer 24/7-Notfall-Hotline mit garantierten Antwortzeiten, das komplette Krisenmanagement über einen zentralen Krisenstab, forensische Analysen und natürlich die laufende Krisenkommunikation mit Medien, Influencern und der Öffentlichkeit.
Nur der integrierte Ansatz, bei dem die IT-Sicherheit, das Risikomanagement und die Kommunikation bei Cyberattacken eng zusammenwirken, erhöht den Schutz des Unternehmens und die Schlagkraft im Ernstfall.