Was beim Kälteanlagenleck selbstverständlich ist – und beim Cybervorfall oft fehlt

In Zürich schlug kürzlich in einem Unternehmen eine Kälteanlage leck. Die aufgebotenen Rettungskräfte mussten rund 300 Personen evakuieren. Durch den Einsatz musste der Verkehr umgeleitet und der Trambetrieb zwischen der Bahnhofstrasse/HB und dem Paradeplatz auf mehreren Linien unterbrochen werden. (Medienmitteilung der Stadt Zürich)

Feuerwehr, Polizei, Sanität und technische Einsatzkräfte haben unmittelbar nach dem Erkennen des Ereignisses damit begonnen, die notwendigen Schritte einzuleiten. Massnahmen, die den Betrieb der öffentlichen Verkehrsmittel und der umliegenden Unternehmen sowie den Privatverkehr massiv beeinträchtigten oder teilweise sogar verunmöglichten. Und trotzdem, die Massnahmen waren für alle das Normalste auf der Welt. Weil sie noch grösseren Schaden verhindert haben. Weil sie Menschen geschützt haben. Weil sie notwendig waren.

Bei einem Brand, einem Unfall, einem Sicherheitsvorfall oder einer technischen Störung in der Gebäudeinfrastruktur existieren in Unternehmen in der Regel vorbereitete Erstmassnahmen. Diese Massnahmen sind fest verankert und das Verhalten bei entsprechenden Ereignissen wird in Unternehmen oft auch regelmässig geübt. In Unternehmen sind sie zum Schutz von Menschen und Sachwerten von allen akzeptiert und werden befolgt.

Ich habe mich gefragt, wie die Bewältigung des Kälteanlagenlecks ausgesehen hätte, wenn man bei dem Vorfall in Zürich die Entscheidungsprozesse eines Cybervorfalls angewendet hätte. Diese Vorstellung inspirierte mich zu diesem Artikel.

Stellen wir uns deshalb einmal vor, es wäre kein Kälteanlagenleck gewesen, sondern ein Cybervorfall, der sich gerade anbahnt oder bereits stattfindet. Ähnlich wie das Leck in der Kälteanlage, jedoch mit einem entscheidenden Unterschied: Er ist nicht unmittelbar sichtbar und wird deshalb oft nur von Spezialisten erkannt.

Bei einem Cybervorfall kommen in der Regel keine Rettungskräfte mit klarer Ereignishoheit. Oft ist auch kein eingespieltes, fachübergreifendes Team innerhalb von Minuten bereit, um den betroffenen Bereich einzugrenzen und unmittelbar mit Erstmassnahmen zu beginnen. Massnahmen werden, wenn überhaupt, nur zögerlich umgesetzt. Zum einen, da die Unsicherheit gross ist und zum anderen, da die Massnahmen für die Unternehmensprozesse zu einschneidend sein könnten. Es ist gut möglich, dass deshalb zunächst Gremien einberufen werden müssten. Dort müsste geklärt werden, welche Massnahmen möglich sind, wer entscheiden darf und welche Freigaben dafür notwendig sind.

Dabei geht Zeit verloren, welche bei einem Cybervorfall nicht mehr aufzuholen ist. Bildlich gesprochen würde man bei einem Feuer erst dann mit dem Löschen beginnen, wenn das Gebäude bereits abgebrannt ist.

Auch ein Cybervorfall schädigt Menschen und Unternehmen.

Vertrauliche Daten können öffentlich werden, Geschäftsprozesse können stillstehen, Lieferfähigkeit kann verloren gehen und Vertrauen kann nachhaltig beschädigt werden.

Trotzdem fehlt bei Cybervorfällen in der Regel das Äquivalent zu Feuerwehr, Sanität und technischem Dienst, mit klarer Handlungshoheit und Entscheidungskompetenz. Noch mehr fehlt die Akzeptanz für allfällige Massnahmen, welche bei einem sich möglicherweise anbahnenden Cybervorfall notwendig wären.

Nicht die IT ist zu langsam. Die Erstmassnahmen bei einem Cybervorfall sind von der Organisation nicht ausreichend legitimiert.

Was würde bei einem Cyberereignis wirklich helfen?

Unternehmen benötigen auch für Cybervorfälle unmittelbar ausführungsfähige Erstmassnahmen. Diese müssen vorbereitet, individuell auf das Unternehmen zugeschnitten, mit der Unternehmensführung abgesprochen und von dieser vorgängig freigegeben sein. Die vorgängige Freigabe durch das Management stellt sicher, dass diese Erstmassnahmen bei einer entsprechenden Situation unmittelbar und ohne weitere Entscheide auf der zuständigen operativen Ebene umgesetzt werden können.

Dazu gehört auch die Akzeptanz, dass solche Massnahmen fälschlicherweise ausgelöst werden können, ähnlich wie bei einem Fehlalarm der Feuerwehr.

Kontrolliert umgesetzte Massnahmen lassen sich jedoch zeitnah und geordnet rückgängig machen. Dagegen dauert eine Schadensbehebung nach einem Cybervorfall ohne umgesetzte Erstmassnahmen oft mehrere Wochen oder noch länger.

Erkenntnis: Cybervorfälle brauchen unmittelbare Erstmassnahmen.

Der Schutz von Geschäftsprozessen vor Cyberbedrohungen hat heute einen vergleichbaren Stellenwert wie der Schutz von Menschen und Gebäuden. Unternehmen benötigen deshalb auch für Cyberbedrohungen vorbereitete Massnahmen, welche bei einem Ereignis zum Schutz von Menschen und Sachwerten unmittelbar umgesetzt werden können.

Vorbereitung reduziert Schäden und entlastet das Management.

Mit vorbereiteten Massnahmen wird der Schaden bei einem Cybervorfall mit hoher Wahrscheinlichkeit geringer und die Wiederherstellung der Geschäftsprozesse somit rascher möglich. Gleichzeitig kann sich das Management bei einem Vorfall auf die Auswirkungen auf das Unternehmen und seine Stakeholder konzentrieren und muss sich nicht um operative IT-Themen kümmern.

Wer mit dem Vorbereiten von Erstmassnahmen zuwartet, bis ein Ernstfall eintritt, hat ungünstige Voraussetzungen geschaffen.

Krisenmanagement heisst: Klarheit schaffen. Entscheiden können. Handlungsfähig bleiben.

Willkommen bei Desisera: Unternehmen befähigen, in Krisen und unter Druck besser zu entscheiden.

Kontakt

Dieser Beitrag wurde zuerst als LinkedIn-Artikel veröffentlicht. Der begleitende LinkedIn-Post mit der Diskussion ist hier abrufbar.